mcdemon Опубликовано 11 июня, 2010 Имеем: локальная сеть в районе 10000 абонентов. Используемые коммутаторы: DES 3028, 3526, 2108 (пластик и железо) DGS 3610, 3100-24TG Топологии: Кольца, звезды. Переходим на схему Vlan на дом. Раньше у нас на 3028 и 3526 были ACL, резали netbios, IPX, multicast, broadcast storm.... Настраивалось администратором, у когорого нет сейчас времени состовлять новые ACL и чтобы все нормально работало :) Мы их все удаляем т.к. не работают через них вланы и мультикаст (iptv). Схему Влан на дом, только только начинаем вводить. И больше 99% абонентов все еще находятся в 1 дефолтном влане. Посоветуйте аццес листы, чтобы резать мусорный траффик в 1 влане и чтобы небыло проблем с другими вланами и мультикастом. Желательно с описанием. А то уже начинаем испытывать проблемы, куча мусора. На коммутаторах срабатывает safeguard, приходится иногда ждать по 5 минут пока коммутатор выйдет из ступора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 11 июня, 2010 (изменено) 1. Где терминируете абонентские vlan доступа? На агрегации района? Микрорайона? 2. Собственно делайте сразу DHCP Snooping и выдачу IP по Opt82 3. Acl в принципе простые, что то вроде такого для DES3028: //запрет левых DHCP create access_profile ip udp vlan src_port_mask 0xFFFF profile_id 9 config access_profile profile_id 9 add access_id 1 ip udp src_port 67 port 25-28 permit config access_profile profile_id 9 add access_id 2 ip udp src_port 67 port 1-28 deny config access_profile profile_id 9 add access_id 3 ip udp src_port 68 port 1-28 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 10 config access_profile profile_id 10 add access_id 1 ip udp dst_port 68 port 1-24 deny config access_profile profile_id 10 add access_id 2 ip udp dst_port 67 port 1-24 permit config access_profile profile_id 10 add access_id 3 ip udp dst_port 68 port 25-28 permit //Запрет netbios create access_profile ip tcp dst_port_mask 0xFFFF vlan profile_id 11 config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 vlan v101 port 1-28 deny create access_profile ip udp dst_port_mask 0xFFFF vlan profile_id 12 config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 vlan v101 port 1-28 deny Не очень понятно что для вас "мусорный трафик". А вообще полезно на клиентских портах включить Multicast_Filter_Group для запрета мультикаста. Обнаружение колец в клиентских портах: config loopdetect ports 1-24 state enabled config loopdetect interval 1 recover_timer 600 enable loopdetect Ну соотвественно если 1 дом = 1 влан = 1 коммутатор то в STP необходимости нет. Если у вас кольцо на доступе - избавляйтесь. ну а броадкаст шторм config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 128 countdown 0 time_interval 5 Так же может быть полезным использование Traffic Segmentation на L2 и включенеи Local Proxy ARP на L3 И чем же таким занят админ что у него нет времени составить несколько простых правил для доступа? Изменено 11 июня, 2010 пользователем shicoy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivantey Опубликовано 11 июня, 2010 3526 config filter dhcp_server ports 1-24 state enable create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 10 config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny des-3028 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 1min Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 11 июня, 2010 des-3526 config filter netbios 1-24 state enableconfig filter extensive_netbios 1-24 state enable про все остальное вроде уже написали Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadya Опубликовано 11 июня, 2010 Прошу прощения за ламерский вопрос, а можно ли асл'ем или еще чемто бороться с влудящим свитчем(типа 1016D после грозы). Пока его найдешь и снимешь проходит немало времени, а вот сеть частями кладет хорошо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 11 июня, 2010 vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 июня, 2010 (изменено) Я не разбираюсь в ацл, вот смущает это: vlan v101 из запрета нетбиоса что это такое? это 101влан я так понимаю, чтобы запретить нетбиос в 1влане нужно исправить на 1 и все? Изменено 12 июня, 2010 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadya Опубликовано 12 июня, 2010 vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию. Подскажи а что происходит с сетью при таком свитче? Всего лишь кольцо ложит сеть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 12 июня, 2010 Ну во первых за ACL это на dlink.ru FAQ и форум там полно примеров. Во вторых -для начала надо определить что надо резать. нарисовать на бумажке топологию, попробовать учесть все ньюансы и только потом уже делать правила на свичи. У меня первым правилом идет разрешить все в управляющем вилане, далее режу 67,68 порты в юзерских вланах (юзаю DHCP relay) потом 135,139, 445 порты и прочее Кроме того -у нас PPPOE -режу левые сервера на клиентских портах. Правила лучше писать PCF - это несложно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadya Опубликовано 15 мая, 2011 Кто поделиться этими правилами только для des-1210-28 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadya Опубликовано 16 мая, 2011 Нашел Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dogerty Опубликовано 18 апреля, 2014 des-3028 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 1min Спасибо за простое решение. Настраивал это же через вебку коммутатора не сработало. Телнет рулит. ЗЫ(коммутатор 1228 прошитый в 3028) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...