mcdemon Posted June 11, 2010 · Report post Имеем: локальная сеть в районе 10000 абонентов. Используемые коммутаторы: DES 3028, 3526, 2108 (пластик и железо) DGS 3610, 3100-24TG Топологии: Кольца, звезды. Переходим на схему Vlan на дом. Раньше у нас на 3028 и 3526 были ACL, резали netbios, IPX, multicast, broadcast storm.... Настраивалось администратором, у когорого нет сейчас времени состовлять новые ACL и чтобы все нормально работало :) Мы их все удаляем т.к. не работают через них вланы и мультикаст (iptv). Схему Влан на дом, только только начинаем вводить. И больше 99% абонентов все еще находятся в 1 дефолтном влане. Посоветуйте аццес листы, чтобы резать мусорный траффик в 1 влане и чтобы небыло проблем с другими вланами и мультикастом. Желательно с описанием. А то уже начинаем испытывать проблемы, куча мусора. На коммутаторах срабатывает safeguard, приходится иногда ждать по 5 минут пока коммутатор выйдет из ступора. Share this post Link to post Share on other sites
shicoy Posted June 11, 2010 (edited) · Report post 1. Где терминируете абонентские vlan доступа? На агрегации района? Микрорайона? 2. Собственно делайте сразу DHCP Snooping и выдачу IP по Opt82 3. Acl в принципе простые, что то вроде такого для DES3028: //запрет левых DHCP create access_profile ip udp vlan src_port_mask 0xFFFF profile_id 9 config access_profile profile_id 9 add access_id 1 ip udp src_port 67 port 25-28 permit config access_profile profile_id 9 add access_id 2 ip udp src_port 67 port 1-28 deny config access_profile profile_id 9 add access_id 3 ip udp src_port 68 port 1-28 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 10 config access_profile profile_id 10 add access_id 1 ip udp dst_port 68 port 1-24 deny config access_profile profile_id 10 add access_id 2 ip udp dst_port 67 port 1-24 permit config access_profile profile_id 10 add access_id 3 ip udp dst_port 68 port 25-28 permit //Запрет netbios create access_profile ip tcp dst_port_mask 0xFFFF vlan profile_id 11 config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 vlan v101 port 1-28 deny config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 vlan v101 port 1-28 deny create access_profile ip udp dst_port_mask 0xFFFF vlan profile_id 12 config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 vlan v101 port 1-28 deny config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 vlan v101 port 1-28 deny Не очень понятно что для вас "мусорный трафик". А вообще полезно на клиентских портах включить Multicast_Filter_Group для запрета мультикаста. Обнаружение колец в клиентских портах: config loopdetect ports 1-24 state enabled config loopdetect interval 1 recover_timer 600 enable loopdetect Ну соотвественно если 1 дом = 1 влан = 1 коммутатор то в STP необходимости нет. Если у вас кольцо на доступе - избавляйтесь. ну а броадкаст шторм config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 128 countdown 0 time_interval 5 Так же может быть полезным использование Traffic Segmentation на L2 и включенеи Local Proxy ARP на L3 И чем же таким занят админ что у него нет времени составить несколько простых правил для доступа? Edited June 11, 2010 by shicoy Share this post Link to post Share on other sites
Ivantey Posted June 11, 2010 · Report post 3526 config filter dhcp_server ports 1-24 state enable create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 10 config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny des-3028 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 1min Share this post Link to post Share on other sites
mukca Posted June 11, 2010 · Report post des-3526 config filter netbios 1-24 state enableconfig filter extensive_netbios 1-24 state enable про все остальное вроде уже написали Share this post Link to post Share on other sites
vadya Posted June 11, 2010 · Report post Прошу прощения за ламерский вопрос, а можно ли асл'ем или еще чемто бороться с влудящим свитчем(типа 1016D после грозы). Пока его найдешь и снимешь проходит немало времени, а вот сеть частями кладет хорошо. Share this post Link to post Share on other sites
Умник Posted June 11, 2010 · Report post vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию. Share this post Link to post Share on other sites
mcdemon Posted June 12, 2010 (edited) · Report post Я не разбираюсь в ацл, вот смущает это: vlan v101 из запрета нетбиоса что это такое? это 101влан я так понимаю, чтобы запретить нетбиос в 1влане нужно исправить на 1 и все? Edited June 12, 2010 by mcdemon Share this post Link to post Share on other sites
vadya Posted June 12, 2010 · Report post vadya, при помощи ACL - нельзя, но loopdetect на DES-3028/3526 должен отловить такую ситуацию. Подскажи а что происходит с сетью при таком свитче? Всего лишь кольцо ложит сеть? Share this post Link to post Share on other sites
Negator Posted June 12, 2010 · Report post Ну во первых за ACL это на dlink.ru FAQ и форум там полно примеров. Во вторых -для начала надо определить что надо резать. нарисовать на бумажке топологию, попробовать учесть все ньюансы и только потом уже делать правила на свичи. У меня первым правилом идет разрешить все в управляющем вилане, далее режу 67,68 порты в юзерских вланах (юзаю DHCP relay) потом 135,139, 445 порты и прочее Кроме того -у нас PPPOE -режу левые сервера на клиентских портах. Правила лучше писать PCF - это несложно. Share this post Link to post Share on other sites
vadya Posted May 15, 2011 · Report post Кто поделиться этими правилами только для des-1210-28 Share this post Link to post Share on other sites
Dogerty Posted April 18, 2014 · Report post des-3028 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 1min Спасибо за простое решение. Настраивал это же через вебку коммутатора не сработало. Телнет рулит. ЗЫ(коммутатор 1228 прошитый в 3028) Share this post Link to post Share on other sites
