Перейти к содержимому
Калькуляторы

Подсеть /23 и коммутатор d-link DES-3028 L2

Имеется подсеть /23 с коммутатором d-link DES-3028 во главе и коммутаторами d-link DES-1016D на сегментах, сеть общественная.

Ранее в сети было 200-230 пользователей - проблем не возникало.

Сейчас число пользователей достигло ~400.

На L2 включены dhcp relay и ip-mac-port binding защита. Защита требуется от любителей "красивых" адресов, а также от любителей раздавать адреса (подключают роутеры, а некоторые личности, даже ADSL-модемы).

 

Наблюдаются следующие проблемы:

  • по вечерам, в пик нагрузи, "с завидной" регулярностью включается Safeguard Engine EXHAUSTED mode
  • в логах наблюдается огромное количество Blat Attack

 

Есть несколько идей по реорганизации сети.

 

Первый вариант:

  • Так как в коммутаторах d-link DES-1016D есть поддержка изоляции портов посредством port-based vlan - осуществлять обмен всеми пакетами на L2. Таким образом, будет "заглушена" работа сторонних dhcp-серверов, и перекрыт broadcast
  • Заменить DES-3028 на более мощный, так как при отключении защиты ip+mac - коммутатор справляется с нагрузкой

 

Второй вариант:

  • Аналогичным образом включить изоляцию портов на DES-1016D
  • Разбить сеть на ~200 tagged vlan (на каждый порт DES-1016D - по 1 vlan) без разбиения на подсети
  • На каждый vlan выдавать свой уникальный pool адресов из этой подсети
  • Отключить привязку ip+mac на L2
  • Установить маршрутизатор L3 для управления vlan'ами

 

Какой из вариантов лучше (или Ваш вариант)? Если заменять L2 - на какой (cisco не предлагать по финансовым соображениям)? - смотрели в сторону d-link DGS-3100-24. Имеется возможность заменить DES-3028 на Allied Telesyn AT-FS750/24, стоит ли? Если брать маршрутизатор - какой, или лучше собрать сервер для маршрутизации - связать его по гигабитному каналу с L2 - не будет ли потерь в производительности?

И последний вопрос: что может быть причиной такого количества Blat Attack - вирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в список проблем, при более тщательном анализе на первое место можете воткнуть коллизии хэшей маков на 3028. для /23 сетки это ожидаемо.

единого идеального пути реорганизации нет - у каждого он свой.

кто то меняет железки, кто то переделывает сетку в влан на свитч или влан на пользователя..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я по Д-линкам не спец, но разве DES-1016D умеет VLAN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я по Д-линкам не спец, но разве DES-1016D умеет VLAN?

По-моему, да. Но для этого нужно местами допаивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помойму автор вообще не понимает что делает, что происходит в его сети, что надо делать и зачем это надо делать.

Имеет смысл помогать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Автор как раз-таки понимает, что делает. А вот что происходит в точности - это и был вопрос. Что надо делать - тоже. Я только предложения вывдвинул. Знал бы как поступить - вообще б не спрашивал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. 3028 заменить на что то другое, ему в центре не место. Хотя бы 3526

2.Изоляцию портов включить на всех 1016

3. Настроить ACL на центральном свчие -убить весь netbios и броадкасты, убить DHCP ответы - это по минимуму.

4.Убрать IP-MAC. Сделать привязку ип-порт.

5.Отключить все blat attack за ненужностью

6.Вывести управление свичами в отдельный влан

 

Должно работать. работало нормально на похожих конфигурациях.

 

Не поможет - рубить подсети хотя бы на /24 а лучше влан на дом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

netbios, broadcast и dhcp и сейчас глушатся. А вот насчет пунктов 4 и 5 есть вопросы:

Blat Attack - это определение атаки, а Вы, стало быть, предлагаете отключить защиту от подобных атак? Или же я неверно понял?

Каким образом сделать привязку ip+port? В текущем DES-3028 есть только общая опция ip+mac+port binding. Или же на каждый порт DES-1016D завести по vlan'у, а на них уже выдавать свои адреса? Если можно, пожалуйста, более подробную схему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Blat Attack - это определение атаки

Вы действительно знаете как оно работает? О каких атаках вообще речь? Наверняка есть ложные срабатывания.

 

Каким образом сделать привязку ip+port?

 

ACL

 

Или же на каждый порт DES-1016D завести по vlan'у, а на них уже выдавать свои адреса?

можно и так.

 

Вообще то я не использовал 3028 на больших сегментах из за проблем с хешем.

Но 3526 в подобной схеме работали и не жужжали. Было и по 700 абонов в сегменте.

Позже разделили влан на дом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спрошу за одно и сам.

 

Сейчас сеть около 180 пльзователей. 3028 на дом. Все идут в центр волокном на 3627G. маска /16.

к одному из 3028 подключен неуправляемый комм. с 20 пользователями.

 

acl включен

-Запрет левых DHCP

-Запрет netbios

-броадкаст шторм

-луп детект

 

Читал что после 500 пользователей начинаются проблемы с хешем.

А то раз в неделю бывает проблема с мак адресом, меняем клиенту мак.

Что предложите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на каждый 3028 выделить отдельный влан с подсетью /24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас сеть около 180 пльзователей. 3028 на дом.

 

Читал что после 500 пользователей начинаются проблемы с хешем.

Это про 3200. У меня на 3028 менее 50 маков и уже 3 конфликтных пары.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.