Multumesc pentru raspuns, ai fost cel mai aproape, restu am zis clar, 1. oameni buni nu toate switch-urile au loop guard, loop protect sau cum vreti sa ii mai ziceti, am scris asta de la inceput. 2. STP NU te apara de loop cazul 2 descris de mine in ipoteza. 3. NU mai faceti referire la implemetari pe sw-uri decat cele legate de snmp etc. in rest cele legate de linux - intrebarea mea. 4. Cioby te poti pisa la propriu pe root guard. In teorie Cisco face multe, in practica, sa zicem ca am avut destule experiente neplacute. 5. Intrebarea mea e strict legata de linux pus in bridge, ce pot scoate dintr-un trafic captat pe un port mirror/uplink. Thats it. Nu aveti un raspuns, nu raspundeti doar de dragul de a va da cu parerea, Am vazut destui viteji/ISP cu implementari de te doare capu.
2014/1/14 manuel "lonely wolf" wolfshant <[email protected]> > On 01/14/2014 09:57 AM, Munteanu Alexandru wrote: > > Salut, > > > > Se da o retea de 1000 calculatoare. RSTP este activat pe uplink-uri > dar nu > > si catre pc-uri (normal). > > Switch-urile au un fel de network loop protect dar nu toate suporta > > capabilitatea asta. > > Multe birouri au in podea o cutie cu mai multe prize de retea grupate. > > > > Sunt 2 cazuri in care se produce bucla: > > 1. cablu conectat in podea dintr-o priza in alta, dar fara stp activat > nu > > se blocheaza niciun port. > > 2. bucla formata local intr-un switch virtual dintr-un calculator sau > pe > > un switch pe masa unui X, conectat in priza de retea din podea. > > > > In cazul 2 sa zicem ca majoritatea switch-urilor stiu loop guard si > pune > > portul in errdisable. (dar sunt cazuri in care nu) > > In cazul 1 e monster kill. > > > > Se pot implementa diferite politici de securitate dar nu fac obiectul > > acestui mail (Sticky Mac si altele dar nu se pot aplica) > > > > Intrebarea: Cum pot face cu o masina care are linux pusa in bridge in > > swich (port mirror uplink),sa detectez bucla eventual cat mai multe > > informatii. > > Ok pot folosi TCPdump-ul si un script sa identific volumul > de > > broadcast la fiecare cateva minute si la un threshold sa alerteze. > > Cred ca si Cacti poate face asta nu neaparat cu tcpdump. > Dar > > asta nu ma ajuta decat sa depistez cand a inceput bucla. > > O alta metoda ar fi sa folosesc momentul t cand s-a produs > > bucla si un logwatch sa vad ce cabluri s-au conectat si unde. > > Tot nu este de ajuns, caut o metoda prin care analizand > > traficul de broadcast/unicast cu tcpdump pus pe un port mirror/uplink sa > > pot obtine cat mai multe detalii din ce switch provine, mac-urile > > porturilor implicate in loop (probabil in arp-uri) ..si altele care imi > > scapa din vedere. Nu neaparat tcpdump dar poate exista alt soft etc... > > Astept orice propunere. > daca nu poti tine STP activat pe toate porturile, atunci seteaza > switchurile sa iti dea snmp trap cind apar mac-uri noi pe un port. iar > apoi daca ai un threshold oarecare ("convenabil ales" ca sa il citez pe > un fost prof de mate ), iei si implementezi o decizie. dupa parerea mea > trebuie sa stai de vorba cu fiecare switch in parte (si sa decizi un > shutdown la nevoie), nu e ceva ce sa faci pe un singur link pus in > mirror din simplul motiv ca in acel punct nu mai ai toata informatia > necesara. cel mult poti ca in acel linux sa observi ca s-a intimplat > ceva si sa speri ca poti sapa luind-o pe firul apei > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
