[dZen]

Приветствую коллеги, предлагаю в этой теме прикреплять обезличенные примеры конфига, или просто фичи которые мы юзаем для удобства и гармонии наших юзеров.

Приведу все важные на мой взгляд элементы конфига. Оч приветствуются советы, критика ну и т.д.

 

enable password encryption 

enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-28 state enable

enable ssl 

disable gvrp


enable stp

config stp version rstp

config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60

config stp priority 49152 instance_id 0

следующей конструкцией мы разрешаем дхцп, закрываем нетбиос и закрываем все что не открыто (потом по каждому порту создается ацл с 4мя серыми адресами, разрешенными с этого порта)


create access_profile  ip  tcp dst_port 0xFFFF    profile_id 5

config access_profile profile_id 5  add access_id 1  ip  tcp dst_port 139       port 1-28 deny

config access_profile profile_id 5  add access_id 2  ip  tcp dst_port 445       port 1-28 deny

create access_profile  ip  udp dst_port 0xFFFF    profile_id 6

config access_profile profile_id 6  add access_id 1  ip  udp dst_port 137       port 1-28 deny

config access_profile profile_id 6  add access_id 2  ip  udp dst_port 138       port 1-28 deny

config access_profile profile_id 6  add access_id 3  ip  udp dst_port 445       port 1-28 deny

create access_profile  ip  udp src_port 0xFFFF    profile_id 7

config access_profile profile_id 7  add access_id 3  ip  udp src_port 68        port 1-28 permit priority 0

config access_profile profile_id 7  add access_id 4  ip  udp src_port 67        port 1-28 permit priority 0 rx_rate no_limit 

create access_profile  ip  source_ip 0.0.0.0          profile_id 201

config access_profile profile_id 201  add access_id 1  ip  source_ip 0.0.0.0          port 1-24 deny

дхцп релей


enable dhcp_relay
config dhcp_relay hops 16 time 0 
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check enable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System 195.88.111.1

 

Оч буду признаетелен если напишите ваш вариант контроля за мультикастом и вариант разруливания дублирующихся ип адресов - ацл с ип адресом не решает эту проблему.

Edited February 17, 2011 by dZen

[darkagent]

config loopdetect port 1-28 state enable

на аплинке и магистральных портах лучше отключать.

config loopdetect trap none

если вы пользуетесь средствами snmp-мониторинга, то эту опцию лучше выставить в both, чтоб оперативно реагировать на флудящие порты.

fbpdu enable

ставьте в disable, не ошибетесь.

config stp priority 49152

кошмар.. этот параметр лучше не трогать, тем более на доступе.

настоятельно рекомендую след. опции:

conf traffic control all broad ena - против броадкастовых штормов

config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena

- типовая конфигурация портов доступа

config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena

- типовая конфигурация магистральных портов

 

ena igmp_s

- ну без этого вобще никак

conf igmp_s q a s d

- querier'ов в сети достаточно одного - на шлюзе например.

 

и старайтесь держать софт посвежее.

[FIGO]

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

Вы dhcp ответ на всякий случай разрешите только с аплинк портов, на остальных запретите

[darkagent]

ах да. забыл.

для 1228/me и 3028 еще рекомендую:

config igmp_snooping data_driven_learning max_learned_entry 1

и

ena flood

- в случае если гоняете iptv, прилично нервов съэкономите.

 

[FIGO]

config loopdetect interval 10

Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд

[darkagent]

config loopdetect interval 10

Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд

не смущает то что коммутатор тестовый пакет будет слать очень часто? это как бы уже нагрузка на процессор.

[dZen]

Спасибо за советы.

Про ena igmp_sno - оно конечно включено и настроено, но ип тв у нас тока в тесте и мне кажется что настроено кривовато, поэтому все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.

config igmp_snooping data_driven_learning max_learned_entry 1

А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

[FIGO]

darkagent

Ну если оставить 10 секунд, то он же будет черт знает что делать 10 секунд, а потом только отключит порт, чем то надо пожертвовать

а если еще петля будет долгое время, то через каждые 60 секунд он будет сходить с ума 10 секунд, тут либо recover_timer надо увеличивать, либо интервал обнаружения уменьшать, мне так кажется

[ingress]

config igmp_snooping data_driven_learning max_learned_entry 1

А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

не тупит.

это всего лишь создание igmp группы(помещение Multicast MAC в FDB) без IGMP запроса(т.е. от всякого мусора, который летает без запросов)

[xcme]

+ по мелочи:

config time_zone operator + hour 3 min 0

config dst repeating s_week last s_day sun s_mth 3 s_time 2:0 e_week last e_day sun e_mth 10 e_time 3:00 offset 60

config sntp primary 10.200.200.13

enable sntp

 

config lldp forward_message enable

config lldp ports 25-28 notification enable

config lldp ports 25-28 basic_tlvs all enable

config lldp ports 25-28 dot1_tlv_pvid enable

config lldp ports 25-28 dot1_tlv_vlan_name vlan all enable

enable lldp

 

config safeguard_engine utilization rising 90 falling 30 trap_log enable state enable

 

enable address_binding trap_log

 

enable flood_fdb

config flood_fdb log enable trap disable

 

config log_save_timing time_interval 10

enable command logging

 

Тоже можете покритиковать :)

[darkagent]

то через каждые 60 секунд

recovery побольше советую поставить. в сочетании с trap both, можно хоть 86400 выставить. чтоб заблокировал на сутки, а там уже видишь в snmp-монитор пришел трап, анализируешь его, реагируешь необходимым образом.

все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.

...

А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит".

а все что касается мультикаста, непосредственно у нас сводится к ena igmp_s, conf igmp_s a s e, conf igmp_s q a s d, и в ядре pim passive на интерфейсе. какие-либо меганастройки не трогаем - и так все работает без нареканий. ну разве что qos везде расписан.

 

enable lldp

очень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.

rising 90 falling 30

всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете.

Edited February 17, 2011 by darkagent

[xcme]

enable lldp

очень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.

Ок, приму к сведению.

 

rising 90 falling 30

всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете.

Такие значения выбрал уже не помню почему, мне кажется по рекомендации длинка. Давно было дело и модели были 3028.

 

Что насчет этих параметров? Выключать или выключать?

config dos_prevention dos_type land_attack state ???

config dos_prevention dos_type blat_attack state ???

config dos_prevention dos_type smurf_attack state ???

config dos_prevention dos_type tcp_null_scan state ???

config dos_prevention dos_type tcp_xmascan state ???

config dos_prevention dos_type tcp_synfin state ???

 

[darkagent]

config dos_prevention...

включать. только trap/log не советую - там этой грязи столько...

[dZen]

активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит"

Да действительно перепутал с командой config max_mcast_group port 1-24 max_group 3

qos везде расписан

Поделитесь фрагментом?

config stp priority 49152

кошмар.. этот параметр лучше не трогать, тем более на доступе.

интересно какой там приоритет по умолчанию, а почему нетрогать то, что в этом опасного или кривого? я внутри кольца иногда вручную баллансирую нагрузку этим параметром.

[darkagent]

приоритет по умолчанию

32768

Поделитесь фрагментом?

почти все возложено на ядро, а дальше trust dscp

 

[Butch3r]

На 3200 серии, на клиентских портах:

config stp ports 1-27 externalCost auto hellotime 2 edge true p2p auto state disable
config stp ports 1-26 fbpdu disable

enable bpdu_protection
config bpdu_protection trap both
config bpdu_protection ports 1-26 state enable  
config bpdu_protection ports 1-26 mode drop


config safeguard_engine state enable utilization rising 30 falling 20 trap_log disable mode fuzzy

 

[darkagent]

enable bpdu_protection

функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.).

[dead_moroz]

а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

[Butch3r]

enable bpdu_protection

функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.).

как раз я так с олегами и борюсь)

17328     0000-00-03, 00:49:26     Port 5 enter BPDU under protection state (mode: drop)
17327     0000-00-03, 00:49:26     Port 5 recover from BPDU under protection state automatically

При этом нормальный клиентский тарфик продолжает ходить. вот только лог заполняется оч интенсивно (это из минусов)

 

[FIGO]

а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

на это уже указали )))

[carleone]

Покажите как красите на агрегации multicast, какой класс, max_packet, strict или weight? Ведь есть кто красит его на Длинке? =)

[darkagent]

красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией.

[vasiliy0]

Еще на относительно новых прошивках 3028 есть опция "config mgmt_pkt_priority 7"

[carleone]

красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией.

Ну покажите в ядре =)

[darkagent]

Ну покажите в ядре =)

не так давно уже приводил некоторые примеры:

http://forum.nag.ru/forum/index.php?showtopic=63993

там даже ссылочка лежит на книжку, в которой детально расписано как выжать качества по максимум.