Дополнительные настройки D-Link

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan’е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit
config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit
config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny

Включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.
config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5
Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp
config stp ports 1-8 fbpdu disable state disable

Настроить tarffic segemntation, что бы пользователи гарантировано не видели друг-друга в пределах одного коммутатора

config traffic_segmentation 1-8 forward_list 9-10

Настроить loopback detection, чтобы:

1) глючные сетевые карточки, которые отражают пакеты обратно

2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable
Настроим чтобы в логи писалось что обнаружена петля и не отправлялись трапы:
config loopdetect log state enable
config loopdetect trap none
Включение шифрования пароля:
enable password encryption
Отключение доступа через web интерфейс:
disable web 80
Удаление стандартного VLAN:
config vlan default delete 1-26
config vlan default advertisement disable
Включение ограничения broadcast трафика для всех портов:
config traffic control 1-18 broadcast enable multicast disable unicast disable action drop threshold 100 countdown 0 time_interval 5
config traffic control auto_recover_time 0
config traffic trap none
config traffic control log state enable
Настройка сегментации трафика, запрет хождения между портами:
config traffic_segmentation 1-16,18 forward_list 17
config traffic_segmentation 17 forward_list all
Разрешение управлением коммутатора только с указанных IP адресов:
create trusted_host network 192.168.1.1/24 snmp telnet ssh http https ping
create trusted_host network 172.16.100.100/32 snmp telnet ssh http https ping
Время хранения (сек) mac адреса в таблице:
config fdb aging_time 300
config block tx ports 1-18 unicast disable
Разрешим нулевые IP для связки адресов mac + ip:
config address_binding ip_mac ports 1-18 allow_zeroip enable
Включить фильтрацию NetBios на портах, так сказать запретить доступ к расшареным дискам:
config filter netbios 1-18 state enable
config filter extensive_netbios 1-18 state enable
Настройка фильтрации вредных DoS пакетов:
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state enable
config dos_prevention dos_type ping_death_attack action drop state enable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log disable
Блокировка DHCP серверов на всех портах кроме входящего:
config filter dhcp_server ports all state disable
config filter dhcp_server ports 1-16,18 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable
Защита от BPDU флуда:
enable bpdu_protection
config bpdu_protection recovery_timer 300
config bpdu_protection trap none
config bpdu_protection log attack_detected
config bpdu_protection ports 1-16,18 state enable
config bpdu_protection ports 1-18 mode drop
Включение функции SAFEGUARD ENGINE:
config safeguard_engine state enable utilization rising 98 falling 90 trap_log enable mode fuzzy
Отключение отправки сообщений на электронную почту по SMTP:
disable smtp
Настройка SNTP параметров времени:
enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 40000
config dst disable
Отключение управлением мультикаст трафиком и немного стандартных параметров:
disable igmp_snooping
disable mld_snooping
Параметры ARP:
config arp_aging time 20
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable
Настройка уведомлений о изменении температуры:
config temperature threshold high 79
config temperature threshold low 11
config temperature trap state disable
config temperature log state enable

Дополнительный ACL:

## CPU Filter
delete cpu access_profile profile_id 1

## — Deny Multicast traffic
create cpu access_profile profile_id 1 ip destination_ip_mask 240.0.0.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny
enable cpu_interface_filtering

## ACL
delete access_profile all

## — Deny clients with BRAS MAC’s
create access_profile ethernet source_mac FF-FF-FF-FF-FF-00 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac 00-18-82-AD-34-00 port 1-24 deny

## — Deny fake PPPoE Servers on clients ports
## — PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07)
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff00ff profile_id 2
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88630007 port 1-24 deny

## — Deny PPPoE Session (0x8864) + Protocol IP (0x0021),
## — Version 4 + Destination port 135,137,138,139,445
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00870000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00890000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008a0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008b0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x01bd0000 port 1-28 deny

## — Deny PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Protocol: TCP (0x06), UDP (0x11) +
## — Destination port TCP/53, UDP/67, UDP/1900, TCP/2869
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x00000000 0x000000ff offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 4
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x00350000 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x00430000 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x076c0000 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x0b350000 port 1-28 deny

## — Permit EtherType PPPoE Discovery (0x8863), PPPoE Session (0x8864)
create access_profile ethernet ethernet_type profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-28 permit
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-28 permit

## — Deny broadcasts
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 6
config access_profile profile_id 6 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny

## — Deny IPv6 EtherType
create access_profile ethernet ethernet_type profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet ethernet_type 0x86dd port 1-28 deny

## — Deny all
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

## — Other
config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 0 time_interval 5
config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25-28
enable flood_fdb

Добавить комментарий