[mcdemon]

Имеем: локальная сеть в районе 10000 абонентов.

Используемые коммутаторы:

DES 3028, 3526, 2108 (пластик и железо)

DGS 3610, 3100-24TG

Топологии: Кольца, звезды.

 

Переходим на схему Vlan на дом.

Раньше у нас на 3028 и 3526 были ACL, резали netbios, IPX, multicast, broadcast storm....

Настраивалось администратором, у когорого нет сейчас времени состовлять новые ACL и чтобы все нормально работало :)

Мы их все удаляем т.к. не работают через них вланы и мультикаст (iptv).

 

Схему Влан на дом, только только начинаем вводить. И больше 99% абонентов все еще находятся в 1 дефолтном влане.

Посоветуйте аццес листы, чтобы резать мусорный траффик в 1 влане и чтобы небыло проблем с другими вланами и мультикастом.

Желательно с описанием.

А то уже начинаем испытывать проблемы, куча мусора. На коммутаторах срабатывает safeguard, приходится иногда ждать по 5 минут пока коммутатор выйдет из ступора.

 

[shicoy]

1. Где терминируете абонентские vlan доступа? На агрегации района? Микрорайона?

2. Собственно делайте сразу DHCP Snooping и выдачу IP по Opt82

3. Acl в принципе простые, что то вроде такого для DES3028:

 

//запрет левых DHCP

create access_profile ip udp vlan src_port_mask 0xFFFF profile_id 9

config access_profile profile_id 9 add access_id 1 ip udp src_port 67 port 25-28 permit

config access_profile profile_id 9 add access_id 2 ip udp src_port 67 port 1-28 deny

config access_profile profile_id 9 add access_id 3 ip udp src_port 68 port 1-28 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 10

config access_profile profile_id 10 add access_id 1 ip udp dst_port 68 port 1-24 deny

config access_profile profile_id 10 add access_id 2 ip udp dst_port 67 port 1-24 permit

config access_profile profile_id 10 add access_id 3 ip udp dst_port 68 port 25-28 permit

 

//Запрет netbios

create access_profile ip tcp dst_port_mask 0xFFFF vlan profile_id 11

config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 vlan v101 port 1-28 deny

config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 vlan v101 port 1-28 deny

 

create access_profile ip udp dst_port_mask 0xFFFF vlan profile_id 12

config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 vlan v101 port 1-28 deny

config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 vlan v101 port 1-28 deny

 

Не очень понятно что для вас "мусорный трафик".

 

А вообще полезно на клиентских портах включить Multicast_Filter_Group для запрета мультикаста.

Обнаружение колец в клиентских портах:

config loopdetect ports 1-24 state enabled

config loopdetect interval 1 recover_timer 600

enable loopdetect

 

Ну соотвественно если 1 дом = 1 влан = 1 коммутатор то в STP необходимости нет.

Если у вас кольцо на доступе - избавляйтесь.

 

ну а броадкаст шторм

config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 128 countdown 0 time_interval 5

 

Так же может быть полезным использование Traffic Segmentation на L2 и включенеи Local Proxy ARP на L3

 

И чем же таким занят админ что у него нет времени составить несколько простых правил для доступа?

Изменено 11 июня, 2010 пользователем shicoy

[Ivantey]

3526

config filter dhcp_server ports 1-24 state enable

 

 

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 10

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny

config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny

 

 

 

des-3028

config filter dhcp_server ports 1-24 state enable

config filter dhcp_server ports 25-28 state disable

config filter dhcp_server trap_log enable

config filter dhcp_server illegal_server_log_suppress_duration 1min

 

 

[mukca]

des-3526

config filter netbios 1-24 state enable

config filter extensive_netbios 1-24 state enable

про все остальное вроде уже написали

[vadya]

Прошу прощения за ламерский вопрос, а можно ли асл'ем или еще чемто бороться с влудящим свитчем(типа 1016D после грозы).

Пока его найдешь и снимешь проходит немало времени, а вот сеть частями кладет хорошо.

[Умник]

vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию.

 

[mcdemon]

Я не разбираюсь в ацл, вот смущает это: vlan v101 из запрета нетбиоса

что это такое? это 101влан я так понимаю, чтобы запретить нетбиос в 1влане нужно исправить на 1 и все?

Изменено 12 июня, 2010 пользователем mcdemon

[vadya]

vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию.

Подскажи а что происходит с сетью при таком свитче? Всего лишь кольцо ложит сеть?

[Negator]

Ну во первых за ACL это на dlink.ru FAQ и форум

там полно примеров.

 

Во вторых -для начала надо определить что надо резать.

нарисовать на бумажке топологию, попробовать учесть все ньюансы и только потом уже делать правила на свичи.

У меня первым правилом идет разрешить все в управляющем вилане, далее режу 67,68 порты в юзерских вланах (юзаю DHCP relay)

потом 135,139, 445 порты и прочее

Кроме того -у нас PPPOE -режу левые сервера на клиентских портах.

Правила лучше писать PCF - это несложно.

[vadya]

Кто поделиться этими правилами только для des-1210-28

[vadya]

Нашел

[Dogerty]

 

des-3028

config filter dhcp_server ports 1-24 state enable

config filter dhcp_server ports 25-28 state disable

config filter dhcp_server trap_log enable

config filter dhcp_server illegal_server_log_suppress_duration 1min

Спасибо за простое решение. Настраивал это же через вебку коммутатора не сработало.

Телнет рулит.

ЗЫ(коммутатор 1228 прошитый в 3028)