Jump to content
Калькуляторы

типовая настройка коммутаторов доступа

Есть небольшая сетка на район. в центре стоит sfp-коммутатор второго уровня (rubytech 2824)

в него втыкаются dlink 1228me, 3028, 3026 в качестве узлов доступа, либо узлов на группу домов

в них местами втыкаются изолированные мыльницы dlink 1008d/rv

на данный момент в сети используется pppoe, колец нет - всё звездой.

Пытаюсь привести всё в порядок, замкнуть всё в кольца ,настроить стп.

 

настроил трафик сегментейшн, чтоб видели только аплинк, лупдетект на всех портах, кроме аплинков, шторм контрол, трапы, раскидал каждый уд в свой влан.

 

какие значения шторм контрол использовать? выставил broadcast multicast unicast enable, сё по дефолту - 64к, countdown 0 interval 5 - достаточно ли этого?

 

нужно ли на магистральных портах включать flow control? нужно ли вручную выставлять скорость, или достаточно auto?

 

По acl возникли проблемы, будет ли работать такой фильтр для уменьшения нагрузки торрента? Как понял, он в pppoeсети не будет работать, можно ли как-то для пппое этот фильтр поправить?

 

create access_profile packet_content offset_16-31 0x0 0xff 0x0 0x0 offset_48-63 0x0 0xffff 0xffffff00 0x0 profile_id 4

config access_profile profile_id 4 add access_id 1 packet_content offset 20 0x11 offset 52 0x7fff offset 56 0xffffab00 port 1-28 deny

 

Скоро с pppoe собираемся переходить на dhcp+pptp

 

соответственно добавил это для фильтра левых дхцп

 

create access_profile ip udp src_port 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit

config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

 

Что ещё можно добавить для безопасности в такой полууправляемой сети?

 

 

 

 

 

 

 

 

Share this post


Link to post
Share on other sites
Есть небольшая сетка на район. в центре стоит sfp-коммутатор второго уровня (rubytech 2824)

в него втыкаются dlink 1228me, 3028, 3026 в качестве узлов доступа, либо узлов на группу домов

в них местами втыкаются изолированные мыльницы dlink 1008d/rv

на данный момент в сети используется pppoe, колец нет - всё звездой.

Пытаюсь привести всё в порядок, замкнуть всё в кольца ,настроить стп.

 

настроил трафик сегментейшн, чтоб видели только аплинк, лупдетект на всех портах, кроме аплинков, шторм контрол, трапы, раскидал каждый уд в свой влан.

 

какие значения шторм контрол использовать? выставил broadcast multicast unicast enable, сё по дефолту - 64к, countdown 0 interval 5 - достаточно ли этого?

 

нужно ли на магистральных портах включать flow control? нужно ли вручную выставлять скорость, или достаточно auto?

 

По acl возникли проблемы, будет ли работать такой фильтр для уменьшения нагрузки торрента? Как понял, он в pppoeсети не будет работать, можно ли как-то для пппое этот фильтр поправить?

 

create access_profile packet_content offset_16-31 0x0 0xff 0x0 0x0 offset_48-63 0x0 0xffff 0xffffff00 0x0 profile_id 4

config access_profile profile_id 4 add access_id 1 packet_content offset 20 0x11 offset 52 0x7fff offset 56 0xffffab00 port 1-28 deny

 

Скоро с pppoe собираемся переходить на dhcp+pptp

 

соответственно добавил это для фильтра левых дхцп

 

create access_profile ip udp src_port 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit

config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

 

Что ещё можно добавить для безопасности в такой полууправляемой сети?

как тут часто говорят, вам лучше к агрегатору :)

Share this post


Link to post
Share on other sites

интригатору

Share this post


Link to post
Share on other sites
Есть небольшая сетка на район.

[...]

 

Что ещё можно добавить для безопасности в такой полууправляемой сети?

Книги. Читайте, много и жадно, пока у Вас есть на это время.

 

 

.

Share this post


Link to post
Share on other sites

настроил трафик сегментейшн, чтоб видели только аплинк, лупдетект на всех портах, кроме аплинков, шторм контрол

И что получилось на узлах доступа? Тоже задавался вопросом - тонкий тюнинг делается потом, но первоначальные настройки надо делать сразу.

Share this post


Link to post
Share on other sites

всё работает нормально, просто кто-то пугал, типа flow control на магистральных портах не включай, скорость 1000 вручную выставляй.. актуально ли это?

и по ацл хотел гасить всё кроме пппое, но скоро на дхцп+впн перелазить будем потихоньку - пока оставил всё как есть

Share this post


Link to post
Share on other sites
всё работает нормально
:) да я понимаю. :)

Я интересуюсь в плане перенятия опыта. Изначально я настраиваю только ip коммутатора для доступа на него, шторм-контрол, snmp.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this