Port-security множественный err-disabled

@SwkIrgups · Регистрация: 16.01.2013

Студворк — интернет-сервис помощи студентам

Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco. Практически всюду на портах включен порт-секьюрити с violation shutdown. Периодически, где-то раз в два месяца, происходит такая катастрофа: одновременно переходят в состояние err-disabled огромное количество портов на всех коммутаторах, за исключением основного шлюза cisco 6513. Все порты болкируются неизвестными мас-адресами, принадлежащими компании Microsoft. На машинах, которые блокируют порты стоит, в основном, ХР, местами семерка.
Поиск в гугле показал, что такая проблема довольно распространенная, но внятного объяснения я не нашел. Можно было бы решить проблему переходом на violation restrict, но такое противоречит политике пользования сетью учреждения, поэтому и приходится бросать все и снимать блокировки весь день. Может кто сталкивался с этой бедой? Как боролись?

@SwkIrgups · 26.02.2014, 14:01 **[ТС]**

Проблема самоликвидировалась при грамотной модернизации структуры сети в соответствии с рекомендациями циско. Тема закрыта.

@SwkIrgups · 22.04.2014, 15:09 **[ТС]**

А нифига! У меня пердимоноколь из глаза сегодня выпал, когда телефон техподдержки порвало от звонков пользователей, а на сервере snmp я не успевал замечать, как страницы лога залистываются. Множественный error-disabled, порты блокируются мак-адресами 00-0D-3A-D7-XX-XX (где X - переменное число). Начал рыть уже более профессионально, чем в прошлом году, выяснил, что работает протокол LLTD.
судя по этой спецификации:
http://msdn.microsoft.com/en-u... 63061.aspx (нужно поставить галочку, и нажать download),
в сети существует вполне реальная угроза, о которой гугл почему-то не пишет. Очень странно, что только у меня возникла проблема с блокировкой портов посредством port-sequrity, судя по тому, что гугл опять же ничего не пишет об этом.
Опишу, что происходит. Какой-то неведомый процесс запускает протокол LLTD, который предназначен для определения топологии и параметров сети через второй уровень модели OSI, т.е. распространяется только на тот же сетевой сегмент, что и хост, который ведет разведку (я понял так). Хост, который имеет ответчик LLDT и получил Emit-фрейм от хоста, который строит топологию сети, отвечает на этот фрейм Probe фреймом, который в качестве source MAC address использует что-то типа 00-0D-3A-D7-F1-41, вместо реального адреса сетевой карты. Он и блокирует порт. Если port-security не настраивать, злоумышленник, при помощи бесплатно распространяемой софтины может получить через этот протокол нехилое количество информации о сети, хорошее подспорье для организации всяческих DDoS атак. Надеюсь, хотя бы кому-нибудь будет полезна эта инфа.

@MonaxGT · 22.04.2014, 17:48

SwkIrgups, я думаю все слышали и видили плод данного протокола в виде карты сети в windows. Наверняка эту службу можно отключить. Как вариант поставить другой тип portsec

@SwkIrgups · 23.04.2014, 13:50 **[ТС]**

В том то и дело, что и я сам и слышал и видел эту карту, только это не помогло мне никак в решении моей проблемы, равно как и то, что все об этом слышали и видели - более чем за год в этой ветке ни одного сообщения. Поэтому, разобравшись в проблеме, изучив работу этого протокола, я кратко изложил ее суть здесь, с тем, что бы тот, кто с этой проблемой столкнется как я (а это действительно проблема, когда несколько сотен портов одновременно переходит в состояние err-disabled), мог достаточно оперативно найти для себя пути ее решения, найдя эту ветку на форуме. Еще бы тему изменить, чтоб проще было найти. По части, касаемо конкретно моей сети, переключение с режима shutdown на restrict и отключение служб невозможно в большинстве случаев, так как проблема носит системный характер и требует комплексного решения. Этот комплекс уже разработан и исполняется.

Новые блоги и статьи Все статьи Все блоги /
Автозаполнение реквизита при выборе элемента справочника Maks 27.03.2026 Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. При выборе "Спецтехники" (Тип Справочник. Спецтехника), заполняется. . .	Сумматор с применением элементов трёх состояний. Hrethgir 26.03.2026 Тут. https:/ / fips. ru/ EGD/ ab3c85c8-836d-4866-871b-c2f0c5d77fbc Первый документ красиво выглядит, но без схемы. Это конечно не даёт никаких плюсов автору, но тем не менее. . . всё может быть. . .	Автозаполнение реквизитов при создании документа Maks 26.03.2026 Программный код из решения ниже размещается в модуле объекта документа, в процедуре "ПриСозданииНаСервере". Алгоритм проверки заполнения реализован для исключения перезаписи значения реквизита,. . .	Команды формы и диалоговое окно Maks 26.03.2026 1. Команда формы "ЗаполнитьЗапчасти". Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. В качестве источника данных. . .
Кому нужен AOT? DevAlt 26.03.2026 Решил сделать простой ланчер Написал заготовку: dotnet new console --aot -o UrlHandler var items = args. Split(":"); var tag = items; var id = items; var executable = args;. . .	Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95

	Port-security множественный err-disabled 02.03.2013, 18:33. Показов 3015. Ответов 4 Метки нет (Все метки) Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco. Практически всюду на портах включен порт-секьюрити с violation shutdown. Периодически, где-то раз в два месяца, происходит такая катастрофа: одновременно переходят в состояние err-disabled огромное количество портов на всех коммутаторах, за исключением основного шлюза cisco 6513. Все порты болкируются неизвестными мас-адресами, принадлежащими компании Microsoft. На машинах, которые блокируют порты стоит, в основном, ХР, местами семерка. Поиск в гугле показал, что такая проблема довольно распространенная, но внятного объяснения я не нашел. Можно было бы решить проблему переходом на violation restrict, но такое противоречит политике пользования сетью учреждения, поэтому и приходится бросать все и снимать блокировки весь день. Может кто сталкивался с этой бедой? Как боролись? 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	26.02.2014, 14:01 [ТС]
	Проблема самоликвидировалась при грамотной модернизации структуры сети в соответствии с рекомендациями циско. Тема закрыта. 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	22.04.2014, 15:09 [ТС]
	А нифига! У меня пердимоноколь из глаза сегодня выпал, когда телефон техподдержки порвало от звонков пользователей, а на сервере snmp я не успевал замечать, как страницы лога залистываются. Множественный error-disabled, порты блокируются мак-адресами 00-0D-3A-D7-XX-XX (где X - переменное число). Начал рыть уже более профессионально, чем в прошлом году, выяснил, что работает протокол LLTD. судя по этой спецификации: http://msdn.microsoft.com/en-u... 63061.aspx (нужно поставить галочку, и нажать download), в сети существует вполне реальная угроза, о которой гугл почему-то не пишет. Очень странно, что только у меня возникла проблема с блокировкой портов посредством port-sequrity, судя по тому, что гугл опять же ничего не пишет об этом. Опишу, что происходит. Какой-то неведомый процесс запускает протокол LLTD, который предназначен для определения топологии и параметров сети через второй уровень модели OSI, т.е. распространяется только на тот же сетевой сегмент, что и хост, который ведет разведку (я понял так). Хост, который имеет ответчик LLDT и получил Emit-фрейм от хоста, который строит топологию сети, отвечает на этот фрейм Probe фреймом, который в качестве source MAC address использует что-то типа 00-0D-3A-D7-F1-41, вместо реального адреса сетевой карты. Он и блокирует порт. Если port-security не настраивать, злоумышленник, при помощи бесплатно распространяемой софтины может получить через этот протокол нехилое количество информации о сети, хорошее подспорье для организации всяческих DDoS атак. Надеюсь, хотя бы кому-нибудь будет полезна эта инфа. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	22.04.2014, 17:48
	SwkIrgups, я думаю все слышали и видили плод данного протокола в виде карты сети в windows. Наверняка эту службу можно отключить. Как вариант поставить другой тип portsec 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	23.04.2014, 13:50 [ТС]
	В том то и дело, что и я сам и слышал и видел эту карту, только это не помогло мне никак в решении моей проблемы, равно как и то, что все об этом слышали и видели - более чем за год в этой ветке ни одного сообщения. Поэтому, разобравшись в проблеме, изучив работу этого протокола, я кратко изложил ее суть здесь, с тем, что бы тот, кто с этой проблемой столкнется как я (а это действительно проблема, когда несколько сотен портов одновременно переходит в состояние err-disabled), мог достаточно оперативно найти для себя пути ее решения, найдя эту ветку на форуме. Еще бы тему изменить, чтоб проще было найти. По части, касаемо конкретно моей сети, переключение с режима shutdown на restrict и отключение служб невозможно в большинстве случаев, так как проблема носит системный характер и требует комплексного решения. Этот комплекс уже разработан и исполняется. 0