noname.com.ua - Вклад [ru]

Catalyst PBR

2009-06-30T06:59:08Z

Nata: опечатки

=Policy Routing=
Маршрутизация на основе политики (Policy Routing) - это маршрутизация при которой критерием для выбора next-hop служит не адрес получателя, а некоторое условие (в случае с cisco - описанное в route-map)
На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с соответствующей деградацией производительности.
==Примеры использования==
Для всех пакетов попавших в PBR_ACL установить next-hop 172.16.1.1 (т.е. использовать альтернативный шлюз)
<PRE>
route-map PBR permit 10
match ip address PBR_ACL
set ip next-hop 172.16.1.1
</PRE>

Если я хочу написать ACL вида:
* Для всех пакетов идущих на "серые" (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) сети использовать стандартную таблицу маршрутизации
* Для всех пакетов идущих на ДНС-сервера использовать стандартную таблицу маршрутизации
* Для остальных (уходящих в "Мир") использовать шлюз 172.16.1.1

Есть 2 варианта, оба абсолютно рабочих, но производительностью они будут отличаться в разы.<BR>
Первый - использовать простой ACL
<PRE>
ip access-list extended PBR_ACL
deny ip any 192.168.0.0 0.0.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 10.0.0.0 0.255.255.255
deny ip host 193.33.хх.хх 10.0.0.0 0.255.255.255
deny ip host 193.33.хх.хх 10.0.0.0 0.255.255.255
permit ip host any any
</PRE>
В этом случае будем наблюдать увеличение счетчиков срабатывания ACL что применительно к коммутаторам говорит о том, что пакеты были обработаны программно. Пропорционально трафику растет загрузка процессора.
<BR>

Второй вариант иллюстрирует альтернативный подход - практически не используется deny (кроме как для выделения трафика DNS которого немного и который не создает нагрузки на коммутатор).
При использовании этого ACL в route-map маршрутизация будет происходить wire-speed. Естественно, при условии что число ACE (правил всех ACL) не будет превышать допустимое для текущего профия (sdm preffer)
<PRE>
ip access-list extended PBR_ACL
permit ip any 0.0.0.0 7.255.255.255
permit ip any 8.0.0.0 1.255.255.255
permit ip any 11.0.0.0 0.255.255.255
permit ip any 0.0.7.255 12.0.0.0 3.255.255.255
permit ip any 16.0.0.0 15.255.255.255
permit ip any 32.0.0.0 31.255.255.255
permit ip any 64.0.0.0 15.255.255.255
permit ip any 80.0.0.0 7.255.255.255
permit ip any 88.0.0.0 3.255.255.255
permit ip any 0.0.0.0 255.0.0.0
permit ip any 95.0.0.0 0.63.255.255
permit ip any 95.64.0.0 0.3.255.255
permit ip any 95.68.0.0 0.0.255.255
permit ip any 95.69.0.0 0.0.127.255
permit ip any 95.70.0.0 0.1.255.255
permit ip any 95.72.0.0 0.7.255.255
permit ip any 95.80.0.0 0.15.255.255
permit ip any 96.0.0.0 15.255.255.255
permit ip any 112.0.0.0 7.255.255.255
permit ip any 120.0.0.0 3.255.255.255
permit ip any 124.0.0.0 1.255.255.255
permit ip any 126.0.0.0 0.255.255.255
permit ip any 128.0.0.0 31.255.255.255
permit ip any 160.0.0.0 7.255.255.255
permit ip any 168.0.0.0 3.255.255.255
permit ip any 172.0.0.0 0.15.255.255
permit ip any 172.32.0.0 0.31.255.255
permit ip any 172.64.0.0 0.63.255.255
permit ip any 172.128.0.0 0.127.255.255
permit ip any 173.0.0.0 0.255.255.255
permit ip any 174.0.0.0 1.255.255.255
permit ip any 176.0.0.0 15.255.255.255
permit ip any 192.0.0.0 0.127.255.255
permit ip any 192.128.0.0 0.31.255.255
permit ip any 192.160.0.0 0.7.255.255
permit ip any 192.169.0.0 0.0.255.255
permit ip any 192.170.0.0 0.1.255.255
permit ip any 192.172.0.0 0.3.255.255
permit ip any 192.176.0.0 0.15.255.255
permit ip any 192.192.0.0 0.63.255.255
deny ip any host 193.33.xx.xx
deny ip any host 193.33.xx.xx
permit ip any 193.0.0.0 0.255.255.255
permit ip any 194.0.0.0 1.255.255.255
permit ip any 196.0.0.0 3.255.255.255
permit ip any 200.0.0.0 7.255.255.255
permit ip any 208.0.0.0 15.255.255.255
permit ip any 248.0.0.0 7.255.255.255
</PRE>

DHCP snoop

2009-06-30T06:54:53Z

Nata: опечатки

=DHCP Snooping=
==Введение==
DHCP Snooping - функционал коммутаторов (DES-3028, 3052,3526,3528), позволяющий стоить ACL на основе ответов от DHCP-Сервера. Коммутатор перехватывает ответы и на основании этих ответов создает правила вида "с порта Х разрешить IP 123.123.123.123 с маком AA:BB:CC:DD:EE:FF на время lease-time". Весь остальной трафик запретить.
Начиная с 5-й ветки прошивок, в коммутаторах Длинк этот функционал работает на приемлемом уровне.
В случае если клиент не пошлет запрос на получение адреса, весь трафик для данного мака будет блокирован. В случае если клиент не пошлет повторный запрос по истечении lease-time весь трафик для данного мака будет блокирован.

==Настройка на коммутаторе==

Для примера использован DES-3526
<PRE>
Boot PROM Version : Build 5.00.009
Firmware Version : Build 5.01.B52
Hardware Version : 0A3G
</PRE>

<PRE>
# IPBIND
config address_binding ip_mac ports 1-24 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
config address_binding ip_mac ports 1-24 forward_dhcppkt disable
disable address_binding acl_mode
disable address_binding trap_log
enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-26 limit 5
</PRE>

allow_zeroip enable - включить опцию пропускать пакеты с нулевым src-ip.
Без этой опции возникают проблемы с Вистой.

Обязательно запретить DHCP на всех портах кроме аплинковых.
<PRE>
# ACL

create access_profile ip udp src_port_mask 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id 11 ip udp src_port 68 port 1 deny
config access_profile profile_id 10 add access_id 12 ip udp src_port 68 port 2 deny
config access_profile profile_id 10 add access_id 13 ip udp src_port 68 port 3 deny
config access_profile profile_id 10 add access_id 14 ip udp src_port 68 port 4 deny
config access_profile profile_id 10 add access_id 15 ip udp src_port 68 port 5 deny
config access_profile profile_id 10 add access_id 16 ip udp src_port 68 port 6 deny
config access_profile profile_id 10 add access_id 17 ip udp src_port 68 port 7 deny
config access_profile profile_id 10 add access_id 18 ip udp src_port 68 port 8 deny
config access_profile profile_id 10 add access_id 19 ip udp src_port 68 port 9 deny
config access_profile profile_id 10 add access_id 20 ip udp src_port 68 port 10 deny
config access_profile profile_id 10 add access_id 21 ip udp src_port 68 port 11 deny
config access_profile profile_id 10 add access_id 22 ip udp src_port 68 port 12 deny
config access_profile profile_id 10 add access_id 23 ip udp src_port 68 port 13 deny
config access_profile profile_id 10 add access_id 24 ip udp src_port 68 port 14 deny
config access_profile profile_id 10 add access_id 25 ip udp src_port 68 port 15 deny
config access_profile profile_id 10 add access_id 26 ip udp src_port 68 port 16 deny
config access_profile profile_id 10 add access_id 27 ip udp src_port 68 port 17 deny
config access_profile profile_id 10 add access_id 28 ip udp src_port 68 port 18 deny
config access_profile profile_id 10 add access_id 29 ip udp src_port 68 port 19 deny
config access_profile profile_id 10 add access_id 30 ip udp src_port 68 port 20 deny
config access_profile profile_id 10 add access_id 31 ip udp src_port 68 port 21 deny
config access_profile profile_id 10 add access_id 32 ip udp src_port 68 port 22 deny
config access_profile profile_id 10 add access_id 33 ip udp src_port 68 port 23 deny
config access_profile profile_id 10 add access_id 34 ip udp src_port 68 port 24 deny
</PRE>

==Известные проблемы==
На некоторых версиях прошивок (под нагрузкой?) происходит размножение DHCP-запросов, в результате сервер отправляет клиенту DHCPNACK (При использовании DHCP Relay)
Иногда помогает следующее
<PRE>
# DHCP_LOCAL_RELAY
enable dhcp_local_relay
</PRE>

Время lease-time не должно быть слишком большим, иначе неактивные записи на коммутаторе будут удаляться (баг признан производителем)
5-10 минут оптимально.

==Мониторинг==
Посмотреть состояние:

<PRE>
#show address_binding
Command: show address_binding

ACL_mode : Disabled
Trap/Log : Disabled
DHCP_Snoop : Enabled
</PRE>

<PRE>
#show address_binding dhcp_snoop
Command: show address_binding dhcp_snoop

DHCP_Snoop : Enabled
</PRE>

Посмотреть успешные привязки
<PRE>
#show address_binding ip_mac
IP Address MAC Address Ports Mode
--------------- ----------------- ------------------------------ ----
10.3.3.22 00-1E-58-46-4B-5D 18 AUTO
10.3.3.40 00-1A-4D-86-55-65 8 AUTO
10.3.3.56 00-50-8D-6B-A6-27 13 AUTO
10.3.3.81 00-02-2A-E1-85-13 11 AUTO
</PRE>

Посмотреть заблокированные (в моей сети не смог найти для примера)
<PRE>
#show address_binding blocked
Command: show address_binding blocked

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
Total entries : 0
</PRE>
==Выводы==
Насколько я могу судить, данный функционал коммутатора (совместно с [http://wiki.sirmax.noname.com.ua/index.php/D-LINK_DHCP_Relay_option_82 DHCP Relay with option 82] ) позволяет гаранировать валидность src-ip клиента.