sinoptik Опубликовано 24 декабря, 2010 · Жалоба Есть небольшая сетка на район. в центре стоит sfp-коммутатор второго уровня (rubytech 2824) в него втыкаются dlink 1228me, 3028, 3026 в качестве узлов доступа, либо узлов на группу домов в них местами втыкаются изолированные мыльницы dlink 1008d/rv на данный момент в сети используется pppoe, колец нет - всё звездой. Пытаюсь привести всё в порядок, замкнуть всё в кольца ,настроить стп. настроил трафик сегментейшн, чтоб видели только аплинк, лупдетект на всех портах, кроме аплинков, шторм контрол, трапы, раскидал каждый уд в свой влан. какие значения шторм контрол использовать? выставил broadcast multicast unicast enable, сё по дефолту - 64к, countdown 0 interval 5 - достаточно ли этого? нужно ли на магистральных портах включать flow control? нужно ли вручную выставлять скорость, или достаточно auto? По acl возникли проблемы, будет ли работать такой фильтр для уменьшения нагрузки торрента? Как понял, он в pppoeсети не будет работать, можно ли как-то для пппое этот фильтр поправить? create access_profile packet_content offset_16-31 0x0 0xff 0x0 0x0 offset_48-63 0x0 0xffff 0xffffff00 0x0 profile_id 4 config access_profile profile_id 4 add access_id 1 packet_content offset 20 0x11 offset 52 0x7fff offset 56 0xffffab00 port 1-28 deny Скоро с pppoe собираемся переходить на dhcp+pptp соответственно добавил это для фильтра левых дхцп create access_profile ip udp src_port 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny Что ещё можно добавить для безопасности в такой полууправляемой сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimasbu Опубликовано 24 декабря, 2010 · Жалоба Есть небольшая сетка на район. в центре стоит sfp-коммутатор второго уровня (rubytech 2824) в него втыкаются dlink 1228me, 3028, 3026 в качестве узлов доступа, либо узлов на группу домов в них местами втыкаются изолированные мыльницы dlink 1008d/rv на данный момент в сети используется pppoe, колец нет - всё звездой. Пытаюсь привести всё в порядок, замкнуть всё в кольца ,настроить стп. настроил трафик сегментейшн, чтоб видели только аплинк, лупдетект на всех портах, кроме аплинков, шторм контрол, трапы, раскидал каждый уд в свой влан. какие значения шторм контрол использовать? выставил broadcast multicast unicast enable, сё по дефолту - 64к, countdown 0 interval 5 - достаточно ли этого? нужно ли на магистральных портах включать flow control? нужно ли вручную выставлять скорость, или достаточно auto? По acl возникли проблемы, будет ли работать такой фильтр для уменьшения нагрузки торрента? Как понял, он в pppoeсети не будет работать, можно ли как-то для пппое этот фильтр поправить? create access_profile packet_content offset_16-31 0x0 0xff 0x0 0x0 offset_48-63 0x0 0xffff 0xffffff00 0x0 profile_id 4 config access_profile profile_id 4 add access_id 1 packet_content offset 20 0x11 offset 52 0x7fff offset 56 0xffffab00 port 1-28 deny Скоро с pppoe собираемся переходить на dhcp+pptp соответственно добавил это для фильтра левых дхцп create access_profile ip udp src_port 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny Что ещё можно добавить для безопасности в такой полууправляемой сети? как тут часто говорят, вам лучше к агрегатору :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 24 декабря, 2010 · Жалоба интригатору Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 24 декабря, 2010 · Жалоба Есть небольшая сетка на район. [...] Что ещё можно добавить для безопасности в такой полууправляемой сети? Книги. Читайте, много и жадно, пока у Вас есть на это время. . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 25 декабря, 2010 · Жалоба настроил трафик сегментейшн, чтоб видели только аплинк, лупдетект на всех портах, кроме аплинков, шторм контрол И что получилось на узлах доступа? Тоже задавался вопросом - тонкий тюнинг делается потом, но первоначальные настройки надо делать сразу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sinoptik Опубликовано 25 декабря, 2010 · Жалоба всё работает нормально, просто кто-то пугал, типа flow control на магистральных портах не включай, скорость 1000 вручную выставляй.. актуально ли это? и по ацл хотел гасить всё кроме пппое, но скоро на дхцп+впн перелазить будем потихоньку - пока оставил всё как есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 25 декабря, 2010 · Жалоба всё работает нормально:) да я понимаю. :)Я интересуюсь в плане перенятия опыта. Изначально я настраиваю только ip коммутатора для доступа на него, шторм-контрол, snmp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...