Jump to content
Калькуляторы

ACL 3028 & 3526

Имеем: локальная сеть в районе 10000 абонентов.

Используемые коммутаторы:

DES 3028, 3526, 2108 (пластик и железо)

DGS 3610, 3100-24TG

Топологии: Кольца, звезды.

 

Переходим на схему Vlan на дом.

Раньше у нас на 3028 и 3526 были ACL, резали netbios, IPX, multicast, broadcast storm....

Настраивалось администратором, у когорого нет сейчас времени состовлять новые ACL и чтобы все нормально работало :)

Мы их все удаляем т.к. не работают через них вланы и мультикаст (iptv).

 

Схему Влан на дом, только только начинаем вводить. И больше 99% абонентов все еще находятся в 1 дефолтном влане.

Посоветуйте аццес листы, чтобы резать мусорный траффик в 1 влане и чтобы небыло проблем с другими вланами и мультикастом.

Желательно с описанием.

А то уже начинаем испытывать проблемы, куча мусора. На коммутаторах срабатывает safeguard, приходится иногда ждать по 5 минут пока коммутатор выйдет из ступора.

 

Share this post


Link to post
Share on other sites

1. Где терминируете абонентские vlan доступа? На агрегации района? Микрорайона?

2. Собственно делайте сразу DHCP Snooping и выдачу IP по Opt82

3. Acl в принципе простые, что то вроде такого для DES3028:

 

//запрет левых DHCP

create access_profile ip udp vlan src_port_mask 0xFFFF profile_id 9

config access_profile profile_id 9 add access_id 1 ip udp src_port 67 port 25-28 permit

config access_profile profile_id 9 add access_id 2 ip udp src_port 67 port 1-28 deny

config access_profile profile_id 9 add access_id 3 ip udp src_port 68 port 1-28 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 10

config access_profile profile_id 10 add access_id 1 ip udp dst_port 68 port 1-24 deny

config access_profile profile_id 10 add access_id 2 ip udp dst_port 67 port 1-24 permit

config access_profile profile_id 10 add access_id 3 ip udp dst_port 68 port 25-28 permit

 

//Запрет netbios

create access_profile ip tcp dst_port_mask 0xFFFF vlan profile_id 11

config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 vlan v101 port 1-28 deny

 

create access_profile ip udp dst_port_mask 0xFFFF vlan profile_id 12

config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 vlan v101 port 1-28 deny

 

Не очень понятно что для вас "мусорный трафик".

 

А вообще полезно на клиентских портах включить Multicast_Filter_Group для запрета мультикаста.

Обнаружение колец в клиентских портах:

config loopdetect ports 1-24 state enabled

config loopdetect interval 1 recover_timer 600

enable loopdetect

 

Ну соотвественно если 1 дом = 1 влан = 1 коммутатор то в STP необходимости нет.

Если у вас кольцо на доступе - избавляйтесь.

 

ну а броадкаст шторм

config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 128 countdown 0 time_interval 5

 

Так же может быть полезным использование Traffic Segmentation на L2 и включенеи Local Proxy ARP на L3

 

И чем же таким занят админ что у него нет времени составить несколько простых правил для доступа?

Edited by shicoy

Share this post


Link to post
Share on other sites

3526

config filter dhcp_server ports 1-24 state enable

 

 

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 10

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny

 

 

 

des-3028

config filter dhcp_server ports 1-24 state enable

config filter dhcp_server ports 25-28 state disable

config filter dhcp_server trap_log enable

config filter dhcp_server illegal_server_log_suppress_duration 1min

 

 

Share this post


Link to post
Share on other sites

des-3526

config filter netbios 1-24 state enable

config filter extensive_netbios 1-24 state enable

про все остальное вроде уже написали

Share this post


Link to post
Share on other sites

Прошу прощения за ламерский вопрос, а можно ли асл'ем или еще чемто бороться с влудящим свитчем(типа 1016D после грозы).

Пока его найдешь и снимешь проходит немало времени, а вот сеть частями кладет хорошо.

Share this post


Link to post
Share on other sites

vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию.

 

Share this post


Link to post
Share on other sites

Я не разбираюсь в ацл, вот смущает это: vlan v101 из запрета нетбиоса

что это такое? это 101влан я так понимаю, чтобы запретить нетбиос в 1влане нужно исправить на 1 и все?

Edited by mcdemon

Share this post


Link to post
Share on other sites

vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию.

Подскажи а что происходит с сетью при таком свитче? Всего лишь кольцо ложит сеть?

Share this post


Link to post
Share on other sites

Ну во первых за ACL это на dlink.ru FAQ и форум

там полно примеров.

 

Во вторых -для начала надо определить что надо резать.

нарисовать на бумажке топологию, попробовать учесть все ньюансы и только потом уже делать правила на свичи.

У меня первым правилом идет разрешить все в управляющем вилане, далее режу 67,68 порты в юзерских вланах (юзаю DHCP relay)

потом 135,139, 445 порты и прочее

Кроме того -у нас PPPOE -режу левые сервера на клиентских портах.

Правила лучше писать PCF - это несложно.

Share this post


Link to post
Share on other sites

Кто поделиться этими правилами только для des-1210-28

Share this post


Link to post
Share on other sites

 

des-3028

config filter dhcp_server ports 1-24 state enable

config filter dhcp_server ports 25-28 state disable

config filter dhcp_server trap_log enable

config filter dhcp_server illegal_server_log_suppress_duration 1min

Спасибо за простое решение. Настраивал это же через вебку коммутатора не сработало.

Телнет рулит.

ЗЫ(коммутатор 1228 прошитый в 3028)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this