Limitation du trafic sur un switch cisco 2960-S
Résolu/Fermé
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
-
20 juin 2013 à 10:48
miss155159 Messages postés 73 Date d'inscription vendredi 19 avril 2013 Statut Membre Dernière intervention 18 janvier 2015 - 26 juin 2013 à 18:28
miss155159 Messages postés 73 Date d'inscription vendredi 19 avril 2013 Statut Membre Dernière intervention 18 janvier 2015 - 26 juin 2013 à 18:28
A voir également:
- Limitation du trafic sur un switch cisco 2960-S
- Google maps trafic - Guide
- Logiciel switch - Télécharger - Conversion & Extraction
- Trafic exceptionnel google iphone - Forum Virus
- Samsung switch pc - Télécharger - Divers Bureautique
- Brancher switch sur pc - Forum Nintendo Switch
2 réponses
ciscowarrior
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
100
20 juin 2013 à 11:26
20 juin 2013 à 11:26
je souhaite configurer un switch cisco 2960-S pour limiter le trafic udp sur le port 53 de telle sorte que les gros paquets soit dropés.
matcher DNS avec une ACL ne pose pas de problème mais tu ne pourras pas matcher sur la taille du paquet(je viens de consulter la doc du 2960 et je ne vois pas cette fonctionnalité dans les ACLs supportées).
Je suppose qu'il s'agit des réponses que tu veux matcher car les requêtes sont limitées à 512 bytes de payload, en ce qui concerne les réponses les anciennes implémentations si elles doivent envoyer plus que 512 bytes vont utiliser TCP et les nouvelles vont suivre cette rfc: https://www.ietf.org/rfc/rfc2671.txt
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2
25 juin 2013 à 18:31
25 juin 2013 à 18:31
salut à tous,
j'ai encore besoin de votre aide j'ai configuré les interfaces mais je ne sais pas comment tester si ça marche, avec iperf ça n'a pas l'air de marcher (pour l'instant je n'ai pas spécifié de port, je limite tout le trafic udp )
voici les résultats que ça me donne:
C:\Users\Utilisateur\Desktop\iperf-2.0.5-2-win32> iperf -c 192.168.1.6 -i 2 -t 20
-u -b 10000m
------------------------------------------------------------
Client connecting to 192.168.1.6, UDP port 5001
Sending 1470 byte datagrams
UDP buffer size: 64.0 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.1.3 port 50012 connected with 192.168.1.6 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0- 2.0 sec 137 MBytes 574 Mbits/sec
[ 3] 2.0- 4.0 sec 181 MBytes 758 Mbits/sec
[ 3] 4.0- 6.0 sec 189 MBytes 791 Mbits/sec
[ 3] 6.0- 8.0 sec 189 MBytes 793 Mbits/sec
[ 3] 8.0-10.0 sec 189 MBytes 794 Mbits/sec
[ 3] 10.0-12.0 sec 188 MBytes 789 Mbits/sec
[ 3] 12.0-14.0 sec 188 MBytes 790 Mbits/sec
[ 3] 14.0-16.0 sec 189 MBytes 794 Mbits/sec
[ 3] 16.0-18.0 sec 189 MBytes 793 Mbits/sec
[ 3] 18.0-20.0 sec 189 MBytes 794 Mbits/sec
[ 3] 0.0-20.0 sec 1.79 GBytes 767 Mbits/sec
[ 3] Sent 1304492 datagrams
[ 3] WARNING: did not receive ack of last datagram after 10 tries.
sachant que j'utilise deux pc reliés au switch
serveur> iperf -s -i 2
j'ai encore besoin de votre aide j'ai configuré les interfaces mais je ne sais pas comment tester si ça marche, avec iperf ça n'a pas l'air de marcher (pour l'instant je n'ai pas spécifié de port, je limite tout le trafic udp )
voici les résultats que ça me donne:
C:\Users\Utilisateur\Desktop\iperf-2.0.5-2-win32> iperf -c 192.168.1.6 -i 2 -t 20
-u -b 10000m
------------------------------------------------------------
Client connecting to 192.168.1.6, UDP port 5001
Sending 1470 byte datagrams
UDP buffer size: 64.0 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.1.3 port 50012 connected with 192.168.1.6 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0- 2.0 sec 137 MBytes 574 Mbits/sec
[ 3] 2.0- 4.0 sec 181 MBytes 758 Mbits/sec
[ 3] 4.0- 6.0 sec 189 MBytes 791 Mbits/sec
[ 3] 6.0- 8.0 sec 189 MBytes 793 Mbits/sec
[ 3] 8.0-10.0 sec 189 MBytes 794 Mbits/sec
[ 3] 10.0-12.0 sec 188 MBytes 789 Mbits/sec
[ 3] 12.0-14.0 sec 188 MBytes 790 Mbits/sec
[ 3] 14.0-16.0 sec 189 MBytes 794 Mbits/sec
[ 3] 16.0-18.0 sec 189 MBytes 793 Mbits/sec
[ 3] 18.0-20.0 sec 189 MBytes 794 Mbits/sec
[ 3] 0.0-20.0 sec 1.79 GBytes 767 Mbits/sec
[ 3] Sent 1304492 datagrams
[ 3] WARNING: did not receive ack of last datagram after 10 tries.
sachant que j'utilise deux pc reliés au switch
serveur> iperf -s -i 2
ciscowarrior
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
100
25 juin 2013 à 20:07
25 juin 2013 à 20:07
montre nous ta conf
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2
26 juin 2013 à 09:45
26 juin 2013 à 09:45
voilà ce que j'ai configuré sur les interfaces:
class-map match-all test2
match access-group 102
!
policy-map ptest2
class test2
police 20000 20000 exceed-action drop
!
!
interface GigabitEthernet1/0/1
service-policy input ptest2
!
!
interface GigabitEthernet1/0/2
service-policy input ptest2
!
!access-list 102 permit udp any any
ça ne change rien c'est comme si je n'avais rien fait!!
class-map match-all test2
match access-group 102
!
policy-map ptest2
class test2
police 20000 20000 exceed-action drop
!
!
interface GigabitEthernet1/0/1
service-policy input ptest2
!
!
interface GigabitEthernet1/0/2
service-policy input ptest2
!
!access-list 102 permit udp any any
ça ne change rien c'est comme si je n'avais rien fait!!
brupala
Messages postés
110731
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 janvier 2025
13 883
26 juin 2013 à 10:04
26 juin 2013 à 10:04
c'est une faute de frappe ou ton access-list 102 est vraiment en commentaire ?
tu as fait mls qos ?
tu as fait mls qos ?
ciscowarrior
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
100
26 juin 2013 à 11:28
26 juin 2013 à 11:28
essaye ceci:
class-map match-all UDP_TRAFFIC
match access-group 102
no policy-map ptest2
policy-map MARK_UDP
class UDP_TRAFFIC
set dscp AF41
class-map match-all POLICED_TRAFFIC
match dscp AF41
policy-map POLICE_UDP
class POLICED_TRAFFIC
police 20000 20000 exceed-action drop
interface GigabitEthernet1/0/1
service-policy input MARK_UDP
interface GigabitEthernet1/0/2
service-policy output POLICE_UDP
class-map match-all UDP_TRAFFIC
match access-group 102
no policy-map ptest2
policy-map MARK_UDP
class UDP_TRAFFIC
set dscp AF41
class-map match-all POLICED_TRAFFIC
match dscp AF41
policy-map POLICE_UDP
class POLICED_TRAFFIC
police 20000 20000 exceed-action drop
interface GigabitEthernet1/0/1
service-policy input MARK_UDP
interface GigabitEthernet1/0/2
service-policy output POLICE_UDP
brupala
Messages postés
110731
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 janvier 2025
13 883
26 juin 2013 à 12:56
26 juin 2013 à 12:56
Salut,
j'ai crû comprendre qu'une police ne s'appliquait qu'au traffic entrant, non ?
j'ai crû comprendre qu'une police ne s'appliquait qu'au traffic entrant, non ?
20 juin 2013 à 16:03
20 juin 2013 à 16:15
par contre, si tu ne peus pas effectivement filtrer la taille, tu dois pouvoir aux paquets dns fragmentés de rentrer, ce sera déjà pas mal, les attaques en amplification dns provoquant souvent des datagrammes bien plus gigantesques que 1500
mot clé fragments dans l'ACL étendue ou nommée.
21 juin 2013 à 09:58
21 juin 2013 à 10:50
Si tu as un serveur DNS qui supporte la rfc 2671 alors il peut envoyer des réponses supérieures à 512 bytes en UDP.
21 juin 2013 à 12:07
c'est expliqué ici
Donc les paquets dns segmentés ont toutes les chances de ne pas être légitimes
à tester...