Forum

802.1x ayarlı portt...
 
Bildirimler
Hepsini Temizle

802.1x ayarlı portta Broadcast atağı engelleme

4 Yazılar
2 Üyeler
1 Reactions
47 Görüntüleme
(@fatihmustafa)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Merhabalar;

Dhcp-snooping ve arp-protect ayarlarını switchler üzerinde yapıyoruz.

Broadcast atağını port-security komutu ile limit koyarak çözüyoruz.

port-security 1-24 address-limit 20 learn-mode limited-continuous action send-disable

Kullanıcı portlarında ayrıca 802.1x açmak istiyoruz.

aaa authentication port-access eap-radius
aaa port-access authenticator 1-24
aaa port-access authenticator 1-24 unauth-vid 11
aaa port-access authenticator active
aaa accounting network start-stop radius

 

aaa port-access authenticator 1-24 komutunu girdiğimde aşağıdaki uyarıyı veriyor.

1: 802.1x-protected port can have only continuous or port-access learn mode.

Learn-mode ile beraber komutları kullanamıyoruz.

 

Bu durumda 802.1x ayarlı portlarımızda broadcast atağını engelleyemiyoruz. Bunun için bir çözüm önerisi olan varsa müteşekkir oluruz.

Şimdiden teşekkür ederim.

 
Gönderildi : 31/10/2024 14:41

(@berkayguzelbeyoglu)
Gönderiler: 250
Reputable Member
 

Merhaba;

Bahsi geçen Port Security çok farklı bir protokol, Bunun yerine Broadcast limitlerine yoğunlaşmalısınız.

Kullandığınız Sw üzerinde hangi OS kurulu bilmiyorum ama Fault-monitör yada fault-finder ile ilerleyebilirsiniz.

 

fault-finder broadcast-storm 1 action warn-and-disable 60 percent 5  // Bir storm oluşur ise port'u kapat gibi düşünün

 

veya

(HP_Switch_name#) interface 3

HP Switch(eth-3#) rate-limit bcast in percent 10  // Bant genişliğinin %10'unu geçme gibi

 

Hataya gelecek olursak Port üzerinden Port security'i kapatıp deneyin.

Bu ileti 2 saat önce Berkay GÜZELBEYOĞLU tarafından düzenlendi
 
Gönderildi : 31/10/2024 15:21

(@fatihmustafa)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Cevabınız için teşekkür ederim.

Evet. Hali hazırda bu komut üzerinde de çalıştık.

fault-finder broadcast-storm sensitivity high

fault-finder broadcast-storm 1-24 action warn-and-disable 60 pps 20

Şeklinde kullandık. Bu şekilde sorun çözülüyor.

Aslında fault-finder'dan vazgeçme sebebimiz geç tepki vermesiydi. CPU %99'a vuruyor portu çok geç kapatıyordu. 802.1x komutları ile kullanınca çok hızlı tepki verdi.

 

Peki sizin tecrübenize dayanarak bir soru daha sormak istiyorum. Eğitimlerde dhcp-snooping ve arp-protect komutlarını sadece Core switchler üzerinde çalıştırmamız yeterli olduğu söyleniyor. Ama işin içine girdiğimizde tüm switchler üzerinde yapmamız gerekiyor gibi.

Biz tüm uç switch'ler üzerinde dhcp ve arp çalıştırdık. Sabit ip olan cihazları manuel ekledik (ip source-binding 5 10.2.5.24 487a55-2c9200 23). Uplinkleri de trust olarak ayarladık.

Siz ne dersiniz?

 
Gönderildi : 31/10/2024 15:45

(@berkayguzelbeyoglu)
Gönderiler: 250
Reputable Member
 

Sorununuzun çözülmesine sevindim.

Çok konunun dışına çıkmadan kısaca sorunuza şöyle dönebilirim.

Bu sizin mimarinize bağlı biraz da. Örnek verecek olursak sadece core tarafta yapıldığını düşünelim.

Kenar nokta sw üzerine Bir ip kamera bağladığınız ve DHCP rolünde ip dağıtıyor. O kenar SW üzerindeki cihazlar bundan etkilenebilir.

ya da arp zehirlenmesi bu kenar noktadaki cihazları etkileyebilir.  

Bu ileti 1 saat önce Berkay GÜZELBEYOĞLU tarafından düzenlendi
 
Gönderildi : 31/10/2024 15:55

Paylaş: