Forum
Bildirimler
Hepsini Temizle
HP Networking
4
Yazılar
2
Üyeler
2
Reactions
152
Görüntüleme
Konu başlatıcı
Merhabalar;
Dhcp-snooping ve arp-protect ayarlarını switchler üzerinde yapıyoruz.
Broadcast atağını port-security komutu ile limit koyarak çözüyoruz.
port-security 1-24 address-limit 20 learn-mode limited-continuous action send-disable
Kullanıcı portlarında ayrıca 802.1x açmak istiyoruz.
aaa authentication port-access eap-radius
aaa port-access authenticator 1-24
aaa port-access authenticator 1-24 unauth-vid 11
aaa port-access authenticator active
aaa accounting network start-stop radius
aaa port-access authenticator 1-24 komutunu girdiğimde aşağıdaki uyarıyı veriyor.
1: 802.1x-protected port can have only continuous or port-access learn mode.
Learn-mode ile beraber komutları kullanamıyoruz.
Bu durumda 802.1x ayarlı portlarımızda broadcast atağını engelleyemiyoruz. Bunun için bir çözüm önerisi olan varsa müteşekkir oluruz.
Şimdiden teşekkür ederim.
Gönderildi : 31/10/2024 14:41
Merhaba;
Bahsi geçen Port Security çok farklı bir protokol, Bunun yerine Broadcast limitlerine yoğunlaşmalısınız.
Kullandığınız Sw üzerinde hangi OS kurulu bilmiyorum ama Fault-monitör yada fault-finder ile ilerleyebilirsiniz.
fault-finder broadcast-storm 1 action warn-and-disable 60 percent 5 // Bir storm oluşur ise port'u kapat gibi düşünün
veya
(HP_Switch_name#) interface 3
HP Switch(eth-3#) rate-limit bcast in percent 10 // Bant genişliğinin %10'unu geçme gibi
Hataya gelecek olursak Port üzerinden Port security'i kapatıp deneyin.
Bu ileti 3 hafta önce Berkay GÜZELBEYOĞLU tarafından düzenlendi
Gönderildi : 31/10/2024 15:21
Konu başlatıcı
Cevabınız için teşekkür ederim.
Evet. Hali hazırda bu komut üzerinde de çalıştık.
fault-finder broadcast-storm sensitivity high
fault-finder broadcast-storm 1-24 action warn-and-disable 60 pps 20
Şeklinde kullandık. Bu şekilde sorun çözülüyor.
Aslında fault-finder'dan vazgeçme sebebimiz geç tepki vermesiydi. CPU %99'a vuruyor portu çok geç kapatıyordu. 802.1x komutları ile kullanınca çok hızlı tepki verdi.
Peki sizin tecrübenize dayanarak bir soru daha sormak istiyorum. Eğitimlerde dhcp-snooping ve arp-protect komutlarını sadece Core switchler üzerinde çalıştırmamız yeterli olduğu söyleniyor. Ama işin içine girdiğimizde tüm switchler üzerinde yapmamız gerekiyor gibi.
Biz tüm uç switch'ler üzerinde dhcp ve arp çalıştırdık. Sabit ip olan cihazları manuel ekledik (ip source-binding 5 10.2.5.24 487a55-2c9200 23). Uplinkleri de trust olarak ayarladık.
Siz ne dersiniz?
Gönderildi : 31/10/2024 15:45
Sorununuzun çözülmesine sevindim.
Çok konunun dışına çıkmadan kısaca sorunuza şöyle dönebilirim.
Bu sizin mimarinize bağlı biraz da. Örnek verecek olursak sadece core tarafta yapıldığını düşünelim.
Kenar nokta sw üzerine Bir ip kamera bağladığınız ve DHCP rolünde ip dağıtıyor. O kenar SW üzerindeki cihazlar bundan etkilenebilir.
ya da arp zehirlenmesi bu kenar noktadaki cihazları etkileyebilir.
Bu ileti 3 hafta önce Berkay GÜZELBEYOĞLU tarafından düzenlendi
Gönderildi : 31/10/2024 15:55
Hakan Uzuner and Fatih Mustafa reacted
