dZen Posted February 17, 2011 (edited) Приветствую коллеги, предлагаю в этой теме прикреплять обезличенные примеры конфига, или просто фичи которые мы юзаем для удобства и гармонии наших юзеров. Приведу все важные на мой взгляд элементы конфига. Оч приветствуются советы, критика ну и т.д. enable password encryption enable loopdetect config loopdetect recover_timer 60 config loopdetect interval 10 config loopdetect trap none config loopdetect port 1-28 state enable enable ssl disable gvrp enable stp config stp version rstp config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60 config stp priority 49152 instance_id 0 следующей конструкцией мы разрешаем дхцп, закрываем нетбиос и закрываем все что не открыто (потом по каждому порту создается ацл с 4мя серыми адресами, разрешенными с этого порта) create access_profile ip tcp dst_port 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 1 ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 5 add access_id 2 ip tcp dst_port 445 port 1-28 deny create access_profile ip udp dst_port 0xFFFF profile_id 6 config access_profile profile_id 6 add access_id 1 ip udp dst_port 137 port 1-28 deny config access_profile profile_id 6 add access_id 2 ip udp dst_port 138 port 1-28 deny config access_profile profile_id 6 add access_id 3 ip udp dst_port 445 port 1-28 deny create access_profile ip udp src_port 0xFFFF profile_id 7 config access_profile profile_id 7 add access_id 3 ip udp src_port 68 port 1-28 permit priority 0 config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit create access_profile ip source_ip 0.0.0.0 profile_id 201 config access_profile profile_id 201 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny дхцп релей enable dhcp_relay config dhcp_relay hops 16 time 0 config dhcp_relay option_82 state enable config dhcp_relay option_82 check enable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default config dhcp_relay add ipif System 195.88.111.1 Оч буду признаетелен если напишите ваш вариант контроля за мультикастом и вариант разруливания дублирующихся ип адресов - ацл с ип адресом не решает эту проблему. Edited February 17, 2011 by dZen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 17, 2011 config loopdetect port 1-28 state enableна аплинке и магистральных портах лучше отключать.config loopdetect trap noneесли вы пользуетесь средствами snmp-мониторинга, то эту опцию лучше выставить в both, чтоб оперативно реагировать на флудящие порты.fbpdu enableставьте в disable, не ошибетесь.config stp priority 49152кошмар.. этот параметр лучше не трогать, тем более на доступе.настоятельно рекомендую след. опции: conf traffic control all broad ena - против броадкастовых штормов config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena - типовая конфигурация портов доступа config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena - типовая конфигурация магистральных портов ena igmp_s - ну без этого вобще никак conf igmp_s q a s d - querier'ов в сети достаточно одного - на шлюзе например. и старайтесь держать софт посвежее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FIGO Posted February 17, 2011 config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit Вы dhcp ответ на всякий случай разрешите только с аплинк портов, на остальных запретите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 17, 2011 ах да. забыл. для 1228/me и 3028 еще рекомендую: config igmp_snooping data_driven_learning max_learned_entry 1 и ena flood - в случае если гоняете iptv, прилично нервов съэкономите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FIGO Posted February 17, 2011 config loopdetect interval 10 Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 17, 2011 config loopdetect interval 10Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд не смущает то что коммутатор тестовый пакет будет слать очень часто? это как бы уже нагрузка на процессор. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dZen Posted February 17, 2011 Спасибо за советы. Про ena igmp_sno - оно конечно включено и настроено, но ип тв у нас тока в тесте и мне кажется что настроено кривовато, поэтому все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример. config igmp_snooping data_driven_learning max_learned_entry 1А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FIGO Posted February 17, 2011 darkagent Ну если оставить 10 секунд, то он же будет черт знает что делать 10 секунд, а потом только отключит порт, чем то надо пожертвовать а если еще петля будет долгое время, то через каждые 60 секунд он будет сходить с ума 10 секунд, тут либо recover_timer надо увеличивать, либо интервал обнаружения уменьшать, мне так кажется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ingress Posted February 17, 2011 config igmp_snooping data_driven_learning max_learned_entry 1А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм. не тупит. это всего лишь создание igmp группы(помещение Multicast MAC в FDB) без IGMP запроса(т.е. от всякого мусора, который летает без запросов) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted February 17, 2011 + по мелочи: config time_zone operator + hour 3 min 0 config dst repeating s_week last s_day sun s_mth 3 s_time 2:0 e_week last e_day sun e_mth 10 e_time 3:00 offset 60 config sntp primary 10.200.200.13 enable sntp config lldp forward_message enable config lldp ports 25-28 notification enable config lldp ports 25-28 basic_tlvs all enable config lldp ports 25-28 dot1_tlv_pvid enable config lldp ports 25-28 dot1_tlv_vlan_name vlan all enable enable lldp config safeguard_engine utilization rising 90 falling 30 trap_log enable state enable enable address_binding trap_log enable flood_fdb config flood_fdb log enable trap disable config log_save_timing time_interval 10 enable command logging Тоже можете покритиковать :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 17, 2011 (edited) то через каждые 60 секундrecovery побольше советую поставить. в сочетании с trap both, можно хоть 86400 выставить. чтоб заблокировал на сутки, а там уже видишь в snmp-монитор пришел трап, анализируешь его, реагируешь необходимым образом. все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.... А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм. активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит".а все что касается мультикаста, непосредственно у нас сводится к ena igmp_s, conf igmp_s a s e, conf igmp_s q a s d, и в ядре pim passive на интерфейсе. какие-либо меганастройки не трогаем - и так все работает без нареканий. ну разве что qos везде расписан. enable lldpочень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.rising 90 falling 30всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете. Edited February 17, 2011 by darkagent Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted February 17, 2011 enable lldpочень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало. Ок, приму к сведению. rising 90 falling 30всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете. Такие значения выбрал уже не помню почему, мне кажется по рекомендации длинка. Давно было дело и модели были 3028. Что насчет этих параметров? Выключать или выключать? config dos_prevention dos_type land_attack state ??? config dos_prevention dos_type blat_attack state ??? config dos_prevention dos_type smurf_attack state ??? config dos_prevention dos_type tcp_null_scan state ??? config dos_prevention dos_type tcp_xmascan state ??? config dos_prevention dos_type tcp_synfin state ??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 17, 2011 config dos_prevention... включать. только trap/log не советую - там этой грязи столько... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dZen Posted February 17, 2011 активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит"Да действительно перепутал с командой config max_mcast_group port 1-24 max_group 3qos везде расписанПоделитесь фрагментом?config stp priority 49152кошмар.. этот параметр лучше не трогать, тем более на доступе. интересно какой там приоритет по умолчанию, а почему нетрогать то, что в этом опасного или кривого? я внутри кольца иногда вручную баллансирую нагрузку этим параметром. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 17, 2011 приоритет по умолчанию32768Поделитесь фрагментом?почти все возложено на ядро, а дальше trust dscp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted February 18, 2011 На 3200 серии, на клиентских портах: config stp ports 1-27 externalCost auto hellotime 2 edge true p2p auto state disable config stp ports 1-26 fbpdu disable enable bpdu_protection config bpdu_protection trap both config bpdu_protection ports 1-26 state enable config bpdu_protection ports 1-26 mode drop config safeguard_engine state enable utilization rising 30 falling 20 trap_log disable mode fuzzy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 18, 2011 enable bpdu_protection функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dead_moroz Posted February 18, 2011 а вот это плохо config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit лучше так config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny а на аплинках permit. Вы же не хотите поддельных ДХЦП серверов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted February 18, 2011 enable bpdu_protectionфункционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.). как раз я так с олегами и борюсь) 17328 0000-00-03, 00:49:26 Port 5 enter BPDU under protection state (mode: drop) 17327 0000-00-03, 00:49:26 Port 5 recover from BPDU under protection state automatically При этом нормальный клиентский тарфик продолжает ходить. вот только лог заполняется оч интенсивно (это из минусов) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FIGO Posted February 18, 2011 а вот это плохоconfig access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit лучше так config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny а на аплинках permit. Вы же не хотите поддельных ДХЦП серверов? на это уже указали ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
carleone Posted February 18, 2011 Покажите как красите на агрегации multicast, какой класс, max_packet, strict или weight? Ведь есть кто красит его на Длинке? =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 18, 2011 красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasiliy0 Posted February 18, 2011 Еще на относительно новых прошивках 3028 есть опция "config mgmt_pkt_priority 7" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
carleone Posted February 18, 2011 красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией. Ну покажите в ядре =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 18, 2011 Ну покажите в ядре =)не так давно уже приводил некоторые примеры:http://forum.nag.ru/forum/index.php?showtopic=63993 там даже ссылочка лежит на книжку, в которой детально расписано как выжать качества по максимум. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...