Devoter Опубликовано 5 апреля, 2011 · Жалоба Имеется подсеть /23 с коммутатором d-link DES-3028 во главе и коммутаторами d-link DES-1016D на сегментах, сеть общественная. Ранее в сети было 200-230 пользователей - проблем не возникало. Сейчас число пользователей достигло ~400. На L2 включены dhcp relay и ip-mac-port binding защита. Защита требуется от любителей "красивых" адресов, а также от любителей раздавать адреса (подключают роутеры, а некоторые личности, даже ADSL-модемы). Наблюдаются следующие проблемы: по вечерам, в пик нагрузи, "с завидной" регулярностью включается Safeguard Engine EXHAUSTED mode в логах наблюдается огромное количество Blat Attack Есть несколько идей по реорганизации сети. Первый вариант: Так как в коммутаторах d-link DES-1016D есть поддержка изоляции портов посредством port-based vlan - осуществлять обмен всеми пакетами на L2. Таким образом, будет "заглушена" работа сторонних dhcp-серверов, и перекрыт broadcast Заменить DES-3028 на более мощный, так как при отключении защиты ip+mac - коммутатор справляется с нагрузкой Второй вариант: Аналогичным образом включить изоляцию портов на DES-1016D Разбить сеть на ~200 tagged vlan (на каждый порт DES-1016D - по 1 vlan) без разбиения на подсети На каждый vlan выдавать свой уникальный pool адресов из этой подсети Отключить привязку ip+mac на L2 Установить маршрутизатор L3 для управления vlan'ами Какой из вариантов лучше (или Ваш вариант)? Если заменять L2 - на какой (cisco не предлагать по финансовым соображениям)? - смотрели в сторону d-link DGS-3100-24. Имеется возможность заменить DES-3028 на Allied Telesyn AT-FS750/24, стоит ли? Если брать маршрутизатор - какой, или лучше собрать сервер для маршрутизации - связать его по гигабитному каналу с L2 - не будет ли потерь в производительности? И последний вопрос: что может быть причиной такого количества Blat Attack - вирусы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 6 апреля, 2011 · Жалоба в список проблем, при более тщательном анализе на первое место можете воткнуть коллизии хэшей маков на 3028. для /23 сетки это ожидаемо. единого идеального пути реорганизации нет - у каждого он свой. кто то меняет железки, кто то переделывает сетку в влан на свитч или влан на пользователя.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guest80 Опубликовано 6 апреля, 2011 · Жалоба я по Д-линкам не спец, но разве DES-1016D умеет VLAN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 6 апреля, 2011 · Жалоба я по Д-линкам не спец, но разве DES-1016D умеет VLAN? По-моему, да. Но для этого нужно местами допаивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 6 апреля, 2011 · Жалоба Помойму автор вообще не понимает что делает, что происходит в его сети, что надо делать и зачем это надо делать. Имеет смысл помогать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Devoter Опубликовано 6 апреля, 2011 · Жалоба Автор как раз-таки понимает, что делает. А вот что происходит в точности - это и был вопрос. Что надо делать - тоже. Я только предложения вывдвинул. Знал бы как поступить - вообще б не спрашивал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 6 апреля, 2011 · Жалоба 1. 3028 заменить на что то другое, ему в центре не место. Хотя бы 3526 2.Изоляцию портов включить на всех 1016 3. Настроить ACL на центральном свчие -убить весь netbios и броадкасты, убить DHCP ответы - это по минимуму. 4.Убрать IP-MAC. Сделать привязку ип-порт. 5.Отключить все blat attack за ненужностью 6.Вывести управление свичами в отдельный влан Должно работать. работало нормально на похожих конфигурациях. Не поможет - рубить подсети хотя бы на /24 а лучше влан на дом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Devoter Опубликовано 6 апреля, 2011 · Жалоба netbios, broadcast и dhcp и сейчас глушатся. А вот насчет пунктов 4 и 5 есть вопросы: Blat Attack - это определение атаки, а Вы, стало быть, предлагаете отключить защиту от подобных атак? Или же я неверно понял? Каким образом сделать привязку ip+port? В текущем DES-3028 есть только общая опция ip+mac+port binding. Или же на каждый порт DES-1016D завести по vlan'у, а на них уже выдавать свои адреса? Если можно, пожалуйста, более подробную схему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 6 апреля, 2011 · Жалоба Blat Attack - это определение атаки Вы действительно знаете как оно работает? О каких атаках вообще речь? Наверняка есть ложные срабатывания. Каким образом сделать привязку ip+port? ACL Или же на каждый порт DES-1016D завести по vlan'у, а на них уже выдавать свои адреса? можно и так. Вообще то я не использовал 3028 на больших сегментах из за проблем с хешем. Но 3526 в подобной схеме работали и не жужжали. Было и по 700 абонов в сегменте. Позже разделили влан на дом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadya Опубликовано 7 апреля, 2011 · Жалоба Спрошу за одно и сам. Сейчас сеть около 180 пльзователей. 3028 на дом. Все идут в центр волокном на 3627G. маска /16. к одному из 3028 подключен неуправляемый комм. с 20 пользователями. acl включен -Запрет левых DHCP -Запрет netbios -броадкаст шторм -луп детект Читал что после 500 пользователей начинаются проблемы с хешем. А то раз в неделю бывает проблема с мак адресом, меняем клиенту мак. Что предложите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 7 апреля, 2011 · Жалоба на каждый 3028 выделить отдельный влан с подсетью /24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 7 апреля, 2011 · Жалоба Сейчас сеть около 180 пльзователей. 3028 на дом. Читал что после 500 пользователей начинаются проблемы с хешем. Это про 3200. У меня на 3028 менее 50 маков и уже 3 конфликтных пары. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...