mcdemon Posted June 11, 2010 Posted June 11, 2010 Имеем: локальная сеть в районе 10000 абонентов. Используемые коммутаторы: DES 3028, 3526, 2108 (пластик и железо) DGS 3610, 3100-24TG Топологии: Кольца, звезды. Переходим на схему Vlan на дом. Раньше у нас на 3028 и 3526 были ACL, резали netbios, IPX, multicast, broadcast storm.... Настраивалось администратором, у когорого нет сейчас времени состовлять новые ACL и чтобы все нормально работало :) Мы их все удаляем т.к. не работают через них вланы и мультикаст (iptv). Схему Влан на дом, только только начинаем вводить. И больше 99% абонентов все еще находятся в 1 дефолтном влане. Посоветуйте аццес листы, чтобы резать мусорный траффик в 1 влане и чтобы небыло проблем с другими вланами и мультикастом. Желательно с описанием. А то уже начинаем испытывать проблемы, куча мусора. На коммутаторах срабатывает safeguard, приходится иногда ждать по 5 минут пока коммутатор выйдет из ступора. Вставить ник Quote
shicoy Posted June 11, 2010 Posted June 11, 2010 (edited) 1. Где терминируете абонентские vlan доступа? На агрегации района? Микрорайона? 2. Собственно делайте сразу DHCP Snooping и выдачу IP по Opt82 3. Acl в принципе простые, что то вроде такого для DES3028: //запрет левых DHCP create access_profile ip udp vlan src_port_mask 0xFFFF profile_id 9 config access_profile profile_id 9 add access_id 1 ip udp src_port 67 port 25-28 permit config access_profile profile_id 9 add access_id 2 ip udp src_port 67 port 1-28 deny config access_profile profile_id 9 add access_id 3 ip udp src_port 68 port 1-28 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 10 config access_profile profile_id 10 add access_id 1 ip udp dst_port 68 port 1-24 deny config access_profile profile_id 10 add access_id 2 ip udp dst_port 67 port 1-24 permit config access_profile profile_id 10 add access_id 3 ip udp dst_port 68 port 25-28 permit //Запрет netbios create access_profile ip tcp dst_port_mask 0xFFFF vlan profile_id 11 config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 vlan v101 port 1-28 deny create access_profile ip udp dst_port_mask 0xFFFF vlan profile_id 12 config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 vlan v101 port 1-28 deny Не очень понятно что для вас "мусорный трафик". А вообще полезно на клиентских портах включить Multicast_Filter_Group для запрета мультикаста. Обнаружение колец в клиентских портах: config loopdetect ports 1-24 state enabled config loopdetect interval 1 recover_timer 600 enable loopdetect Ну соотвественно если 1 дом = 1 влан = 1 коммутатор то в STP необходимости нет. Если у вас кольцо на доступе - избавляйтесь. ну а броадкаст шторм config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 128 countdown 0 time_interval 5 Так же может быть полезным использование Traffic Segmentation на L2 и включенеи Local Proxy ARP на L3 И чем же таким занят админ что у него нет времени составить несколько простых правил для доступа? Edited June 11, 2010 by shicoy Вставить ник Quote
Ivantey Posted June 11, 2010 Posted June 11, 2010 3526 config filter dhcp_server ports 1-24 state enable create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 10 config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny des-3028 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 1min Вставить ник Quote
mukca Posted June 11, 2010 Posted June 11, 2010 des-3526 config filter netbios 1-24 state enableconfig filter extensive_netbios 1-24 state enable про все остальное вроде уже написали Вставить ник Quote
vadya Posted June 11, 2010 Posted June 11, 2010 Прошу прощения за ламерский вопрос, а можно ли асл'ем или еще чемто бороться с влудящим свитчем(типа 1016D после грозы). Пока его найдешь и снимешь проходит немало времени, а вот сеть частями кладет хорошо. Вставить ник Quote
Умник Posted June 11, 2010 Posted June 11, 2010 vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию. Вставить ник Quote
mcdemon Posted June 12, 2010 Author Posted June 12, 2010 (edited) Я не разбираюсь в ацл, вот смущает это: vlan v101 из запрета нетбиоса что это такое? это 101влан я так понимаю, чтобы запретить нетбиос в 1влане нужно исправить на 1 и все? Edited June 12, 2010 by mcdemon Вставить ник Quote
vadya Posted June 12, 2010 Posted June 12, 2010 vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию. Подскажи а что происходит с сетью при таком свитче? Всего лишь кольцо ложит сеть? Вставить ник Quote
Negator Posted June 12, 2010 Posted June 12, 2010 Ну во первых за ACL это на dlink.ru FAQ и форум там полно примеров. Во вторых -для начала надо определить что надо резать. нарисовать на бумажке топологию, попробовать учесть все ньюансы и только потом уже делать правила на свичи. У меня первым правилом идет разрешить все в управляющем вилане, далее режу 67,68 порты в юзерских вланах (юзаю DHCP relay) потом 135,139, 445 порты и прочее Кроме того -у нас PPPOE -режу левые сервера на клиентских портах. Правила лучше писать PCF - это несложно. Вставить ник Quote
vadya Posted May 15, 2011 Posted May 15, 2011 Кто поделиться этими правилами только для des-1210-28 Вставить ник Quote
Dogerty Posted April 18, 2014 Posted April 18, 2014 des-3028 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 1min Спасибо за простое решение. Настраивал это же через вебку коммутатора не сработало. Телнет рулит. ЗЫ(коммутатор 1228 прошитый в 3028) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.