Limitation du trafic sur un switch cisco 2960-S [Résolu/Fermé]

Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
- - Dernière réponse : miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
- 26 juin 2013 à 18:28
bonjour à tous,

je souhaite configurer un switch cisco 2960-S pour limiter le trafic udp sur le port 53 de telle sorte que les gros paquets soit dropés.
j'ai consulté la documentation cisco j'ai trouvé que le switch 2960 peut faire du contrôle de flux mais dans ce cas ça concerne tout le trafic et pas uniquement les paquets DNS.
si qlq un a une idée où une piste que je pourrai explorer je suis preneuse.

merci d'avance .
Afficher la suite 

2 réponses

Messages postés
789
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 février 2014
94
0
Merci
je souhaite configurer un switch cisco 2960-S pour limiter le trafic udp sur le port 53 de telle sorte que les gros paquets soit dropés.


matcher DNS avec une ACL ne pose pas de problème mais tu ne pourras pas matcher sur la taille du paquet(je viens de consulter la doc du 2960 et je ne vois pas cette fonctionnalité dans les ACLs supportées).

Je suppose qu'il s'agit des réponses que tu veux matcher car les requêtes sont limitées à 512 bytes de payload, en ce qui concerne les réponses les anciennes implémentations si elles doivent envoyer plus que 512 bytes vont utiliser TCP et les nouvelles vont suivre cette rfc: http://www.ietf.org/rfc/rfc2671.txt
brupala
Messages postés
87425
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
9 décembre 2019
8376 -
je disais simplement que les attaques par amplification dns peuvent générer des réponses dns comportant des datagrammes segmentés, à vérifier, je n'ai heureusement pas l'occasion d'en voir.
c'est expliqué ici
Donc les paquets dns segmentés ont toutes les chances de ne pas être légitimes
à tester...
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2 -
merci pour vos réponses,
maintenant je voudrai savoir si c'est possible d'appliquer la limitation de bande passante uniquement sur le trafic dns, c'est à dire je créer une ACL du genre access-list 101 permit udp @sce any eq 53 que j'attache à une class-map et sur laquelle j'applique une politique de limitation de bande passante .
vous en pensez quoi?
ciscowarrior
Messages postés
789
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 février 2014
94 -
c'est tout à fait possible bien sur.
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2 -
ok merci beaucoup, ciscowarrior et brupala pour votre aide je vais tester ça
brupala
Messages postés
87425
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
9 décembre 2019
8376 -
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2
0
Merci
salut à tous,
j'ai encore besoin de votre aide j'ai configuré les interfaces mais je ne sais pas comment tester si ça marche, avec iperf ça n'a pas l'air de marcher (pour l'instant je n'ai pas spécifié de port, je limite tout le trafic udp )
voici les résultats que ça me donne:

C:\Users\Utilisateur\Desktop\iperf-2.0.5-2-win32> iperf -c 192.168.1.6 -i 2 -t 20
-u -b 10000m
------------------------------------------------------------
Client connecting to 192.168.1.6, UDP port 5001
Sending 1470 byte datagrams
UDP buffer size: 64.0 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.1.3 port 50012 connected with 192.168.1.6 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0- 2.0 sec 137 MBytes 574 Mbits/sec
[ 3] 2.0- 4.0 sec 181 MBytes 758 Mbits/sec
[ 3] 4.0- 6.0 sec 189 MBytes 791 Mbits/sec
[ 3] 6.0- 8.0 sec 189 MBytes 793 Mbits/sec
[ 3] 8.0-10.0 sec 189 MBytes 794 Mbits/sec
[ 3] 10.0-12.0 sec 188 MBytes 789 Mbits/sec
[ 3] 12.0-14.0 sec 188 MBytes 790 Mbits/sec
[ 3] 14.0-16.0 sec 189 MBytes 794 Mbits/sec
[ 3] 16.0-18.0 sec 189 MBytes 793 Mbits/sec
[ 3] 18.0-20.0 sec 189 MBytes 794 Mbits/sec
[ 3] 0.0-20.0 sec 1.79 GBytes 767 Mbits/sec
[ 3] Sent 1304492 datagrams
[ 3] WARNING: did not receive ack of last datagram after 10 tries.

sachant que j'utilise deux pc reliés au switch
serveur> iperf -s -i 2
brupala
Messages postés
87425
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
9 décembre 2019
8376 -
Salut,
j'ai crû comprendre qu'une police ne s'appliquait qu'au traffic entrant, non ?
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2 -
salut,

oui c'est une faute de frappe, et non je n'avais pas mis "mls qos" maintenant ça marche en faisant des tests avec des ACL udp et tcp,
et malheureusement il refuse l'application de la police au trafic sortant, mais je testerai qd même ta solution ciscowarrior.

j'ai encore une autre question, comme je souhaitais à la base limiter le trafic Dns, je voudrai savoir comment pourrai-je faire des tests pour ce genre de trafic?
merci
ciscowarrior
Messages postés
789
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 février 2014
94 -
oui brupala a raison le policing ne peut se faire que en inbound, c'est le shaping qui peut se faire en in ou en out.
Ma solution ne fonctionnera donc pas avec le policing en out et si l'ACL fonctionne alors pas besoin de marquer le traffic.
brupala
Messages postés
87425
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
9 décembre 2019
8376 -
comme je souhaitais à la base limiter le trafic Dns, je voudrai savoir comment pourrai-je faire des tests pour ce genre de trafic?
iperf peut le faire, il suffit de modifier le port par défaut (5001) sur le serveur (et le client aussi, bien sûr) pour mettre le port 53 de dns
tcp ou udp
paramètre -p 53
iperf est un outil souple et complet ;-)
miss155159
Messages postés
73
Date d'inscription
vendredi 19 avril 2013
Statut
Membre
Dernière intervention
18 janvier 2015
2 -
pourtant j'ai lu la doc de iperf!! j'ai du zappé le -p
merci brupala et ciscowarrior grâce à votre aide ça marche :)