Jump to content

config dlink 3028/3200-28

dZen
 Share

Recommended Posts

dZen

dZen

Posted
Posted (edited)

Приветствую коллеги, предлагаю в этой теме прикреплять обезличенные примеры конфига, или просто фичи которые мы юзаем для удобства и гармонии наших юзеров.

Приведу все важные на мой взгляд элементы конфига. Оч приветствуются советы, критика ну и т.д.

 

enable password encryption 

enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-28 state enable

enable ssl 

disable gvrp


enable stp

config stp version rstp

config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60

config stp priority 49152 instance_id 0

следующей конструкцией мы разрешаем дхцп, закрываем нетбиос и закрываем все что не открыто (потом по каждому порту создается ацл с 4мя серыми адресами, разрешенными с этого порта)


create access_profile  ip  tcp dst_port 0xFFFF    profile_id 5

config access_profile profile_id 5  add access_id 1  ip  tcp dst_port 139       port 1-28 deny

config access_profile profile_id 5  add access_id 2  ip  tcp dst_port 445       port 1-28 deny

create access_profile  ip  udp dst_port 0xFFFF    profile_id 6

config access_profile profile_id 6  add access_id 1  ip  udp dst_port 137       port 1-28 deny

config access_profile profile_id 6  add access_id 2  ip  udp dst_port 138       port 1-28 deny

config access_profile profile_id 6  add access_id 3  ip  udp dst_port 445       port 1-28 deny

create access_profile  ip  udp src_port 0xFFFF    profile_id 7

config access_profile profile_id 7  add access_id 3  ip  udp src_port 68        port 1-28 permit priority 0

config access_profile profile_id 7  add access_id 4  ip  udp src_port 67        port 1-28 permit priority 0 rx_rate no_limit 

create access_profile  ip  source_ip 0.0.0.0          profile_id 201

config access_profile profile_id 201  add access_id 1  ip  source_ip 0.0.0.0          port 1-24 deny

дхцп релей


enable dhcp_relay
config dhcp_relay hops 16 time 0 
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check enable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System 195.88.111.1

 

Оч буду признаетелен если напишите ваш вариант контроля за мультикастом и вариант разруливания дублирующихся ип адресов - ацл с ип адресом не решает эту проблему.

Edited by dZen
  • Replies 117
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

darkagent

darkagent

Posted
Posted
config loopdetect port 1-28 state enable
на аплинке и магистральных портах лучше отключать.
config loopdetect trap none
если вы пользуетесь средствами snmp-мониторинга, то эту опцию лучше выставить в both, чтоб оперативно реагировать на флудящие порты.
fbpdu enable
ставьте в disable, не ошибетесь.
config stp priority 49152
кошмар.. этот параметр лучше не трогать, тем более на доступе.

настоятельно рекомендую след. опции:

conf traffic control all broad ena - против броадкастовых штормов

config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena

- типовая конфигурация портов доступа

config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena

- типовая конфигурация магистральных портов

 

ena igmp_s

- ну без этого вобще никак

conf igmp_s q a s d

- querier'ов в сети достаточно одного - на шлюзе например.

 

и старайтесь держать софт посвежее.

FIGO

FIGO

Posted
Posted
config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

Вы dhcp ответ на всякий случай разрешите только с аплинк портов, на остальных запретите

FIGO

FIGO

Posted
Posted
config loopdetect interval 10

Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд

darkagent

darkagent

Posted
Posted
config loopdetect interval 10
Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд

не смущает то что коммутатор тестовый пакет будет слать очень часто? это как бы уже нагрузка на процессор.
dZen

dZen

Posted
  • Author
Posted

Спасибо за советы.

Про ena igmp_sno - оно конечно включено и настроено, но ип тв у нас тока в тесте и мне кажется что настроено кривовато, поэтому все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.

config igmp_snooping data_driven_learning max_learned_entry 1
А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.
FIGO

FIGO

Posted
Posted

darkagent

Ну если оставить 10 секунд, то он же будет черт знает что делать 10 секунд, а потом только отключит порт, чем то надо пожертвовать

а если еще петля будет долгое время, то через каждые 60 секунд он будет сходить с ума 10 секунд, тут либо recover_timer надо увеличивать, либо интервал обнаружения уменьшать, мне так кажется

ingress

ingress

Posted
Posted
config igmp_snooping data_driven_learning max_learned_entry 1
А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

не тупит.

это всего лишь создание igmp группы(помещение Multicast MAC в FDB) без IGMP запроса(т.е. от всякого мусора, который летает без запросов)

xcme

xcme

Posted
Posted

+ по мелочи:

config time_zone operator + hour 3 min 0

config dst repeating s_week last s_day sun s_mth 3 s_time 2:0 e_week last e_day sun e_mth 10 e_time 3:00 offset 60

config sntp primary 10.200.200.13

enable sntp

 

config lldp forward_message enable

config lldp ports 25-28 notification enable

config lldp ports 25-28 basic_tlvs all enable

config lldp ports 25-28 dot1_tlv_pvid enable

config lldp ports 25-28 dot1_tlv_vlan_name vlan all enable

enable lldp

 

config safeguard_engine utilization rising 90 falling 30 trap_log enable state enable

 

enable address_binding trap_log

 

enable flood_fdb

config flood_fdb log enable trap disable

 

config log_save_timing time_interval 10

enable command logging

 

Тоже можете покритиковать :)

darkagent

darkagent

Posted
Posted (edited)
то через каждые 60 секунд
recovery побольше советую поставить. в сочетании с trap both, можно хоть 86400 выставить. чтоб заблокировал на сутки, а там уже видишь в snmp-монитор пришел трап, анализируешь его, реагируешь необходимым образом.
все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.

...

А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит".

а все что касается мультикаста, непосредственно у нас сводится к ena igmp_s, conf igmp_s a s e, conf igmp_s q a s d, и в ядре pim passive на интерфейсе. какие-либо меганастройки не трогаем - и так все работает без нареканий. ну разве что qos везде расписан.

 

enable lldp
очень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.
rising 90 falling 30
всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете. Edited by darkagent
xcme

xcme

Posted
Posted
enable lldp
очень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.

Ок, приму к сведению.

 

rising 90 falling 30
всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете.

Такие значения выбрал уже не помню почему, мне кажется по рекомендации длинка. Давно было дело и модели были 3028.

 

Что насчет этих параметров? Выключать или выключать?

config dos_prevention dos_type land_attack state ???

config dos_prevention dos_type blat_attack state ???

config dos_prevention dos_type smurf_attack state ???

config dos_prevention dos_type tcp_null_scan state ???

config dos_prevention dos_type tcp_xmascan state ???

config dos_prevention dos_type tcp_synfin state ???

 

dZen

dZen

Posted
  • Author
Posted
активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит"
Да действительно перепутал с командой config max_mcast_group port 1-24 max_group 3
qos везде расписан
Поделитесь фрагментом?
config stp priority 49152

кошмар.. этот параметр лучше не трогать, тем более на доступе.

интересно какой там приоритет по умолчанию, а почему нетрогать то, что в этом опасного или кривого? я внутри кольца иногда вручную баллансирую нагрузку этим параметром.
Butch3r

Butch3r

Posted
Posted

На 3200 серии, на клиентских портах:

config stp ports 1-27 externalCost auto hellotime 2 edge true p2p auto state disable
config stp ports 1-26 fbpdu disable

enable bpdu_protection
config bpdu_protection trap both
config bpdu_protection ports 1-26 state enable  
config bpdu_protection ports 1-26 mode drop


config safeguard_engine state enable utilization rising 30 falling 20 trap_log disable mode fuzzy

 

darkagent

darkagent

Posted
Posted
enable bpdu_protection

функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.).

dead_moroz

dead_moroz

Posted
Posted

а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

Butch3r

Butch3r

Posted
Posted
enable bpdu_protection
функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.).

как раз я так с олегами и борюсь) 
17328     0000-00-03, 00:49:26     Port 5 enter BPDU under protection state (mode: drop)
17327     0000-00-03, 00:49:26     Port 5 recover from BPDU under protection state automatically

При этом нормальный клиентский тарфик продолжает ходить. вот только лог заполняется оч интенсивно (это из минусов)

 

FIGO

FIGO

Posted
Posted
а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

на это уже указали )))
carleone

carleone

Posted
Posted

красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией.

Ну покажите в ядре =)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.