dZen Опубликовано 17 февраля, 2011 (изменено) · Жалоба Приветствую коллеги, предлагаю в этой теме прикреплять обезличенные примеры конфига, или просто фичи которые мы юзаем для удобства и гармонии наших юзеров. Приведу все важные на мой взгляд элементы конфига. Оч приветствуются советы, критика ну и т.д. enable password encryption enable loopdetect config loopdetect recover_timer 60 config loopdetect interval 10 config loopdetect trap none config loopdetect port 1-28 state enable enable ssl disable gvrp enable stp config stp version rstp config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60 config stp priority 49152 instance_id 0 следующей конструкцией мы разрешаем дхцп, закрываем нетбиос и закрываем все что не открыто (потом по каждому порту создается ацл с 4мя серыми адресами, разрешенными с этого порта) create access_profile ip tcp dst_port 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 1 ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 5 add access_id 2 ip tcp dst_port 445 port 1-28 deny create access_profile ip udp dst_port 0xFFFF profile_id 6 config access_profile profile_id 6 add access_id 1 ip udp dst_port 137 port 1-28 deny config access_profile profile_id 6 add access_id 2 ip udp dst_port 138 port 1-28 deny config access_profile profile_id 6 add access_id 3 ip udp dst_port 445 port 1-28 deny create access_profile ip udp src_port 0xFFFF profile_id 7 config access_profile profile_id 7 add access_id 3 ip udp src_port 68 port 1-28 permit priority 0 config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit create access_profile ip source_ip 0.0.0.0 profile_id 201 config access_profile profile_id 201 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny дхцп релей enable dhcp_relay config dhcp_relay hops 16 time 0 config dhcp_relay option_82 state enable config dhcp_relay option_82 check enable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default config dhcp_relay add ipif System 195.88.111.1 Оч буду признаетелен если напишите ваш вариант контроля за мультикастом и вариант разруливания дублирующихся ип адресов - ацл с ип адресом не решает эту проблему. Изменено 17 февраля, 2011 пользователем dZen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба config loopdetect port 1-28 state enableна аплинке и магистральных портах лучше отключать.config loopdetect trap noneесли вы пользуетесь средствами snmp-мониторинга, то эту опцию лучше выставить в both, чтоб оперативно реагировать на флудящие порты.fbpdu enableставьте в disable, не ошибетесь.config stp priority 49152кошмар.. этот параметр лучше не трогать, тем более на доступе.настоятельно рекомендую след. опции: conf traffic control all broad ena - против броадкастовых штормов config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena - типовая конфигурация портов доступа config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena - типовая конфигурация магистральных портов ena igmp_s - ну без этого вобще никак conf igmp_s q a s d - querier'ов в сети достаточно одного - на шлюзе например. и старайтесь держать софт посвежее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 17 февраля, 2011 · Жалоба config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit Вы dhcp ответ на всякий случай разрешите только с аплинк портов, на остальных запретите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба ах да. забыл. для 1228/me и 3028 еще рекомендую: config igmp_snooping data_driven_learning max_learned_entry 1 и ena flood - в случае если гоняете iptv, прилично нервов съэкономите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 17 февраля, 2011 · Жалоба config loopdetect interval 10 Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба config loopdetect interval 10Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд не смущает то что коммутатор тестовый пакет будет слать очень часто? это как бы уже нагрузка на процессор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dZen Опубликовано 17 февраля, 2011 · Жалоба Спасибо за советы. Про ena igmp_sno - оно конечно включено и настроено, но ип тв у нас тока в тесте и мне кажется что настроено кривовато, поэтому все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример. config igmp_snooping data_driven_learning max_learned_entry 1А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 17 февраля, 2011 · Жалоба darkagent Ну если оставить 10 секунд, то он же будет черт знает что делать 10 секунд, а потом только отключит порт, чем то надо пожертвовать а если еще петля будет долгое время, то через каждые 60 секунд он будет сходить с ума 10 секунд, тут либо recover_timer надо увеличивать, либо интервал обнаружения уменьшать, мне так кажется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 17 февраля, 2011 · Жалоба config igmp_snooping data_driven_learning max_learned_entry 1А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм. не тупит. это всего лишь создание igmp группы(помещение Multicast MAC в FDB) без IGMP запроса(т.е. от всякого мусора, который летает без запросов) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 февраля, 2011 · Жалоба + по мелочи: config time_zone operator + hour 3 min 0 config dst repeating s_week last s_day sun s_mth 3 s_time 2:0 e_week last e_day sun e_mth 10 e_time 3:00 offset 60 config sntp primary 10.200.200.13 enable sntp config lldp forward_message enable config lldp ports 25-28 notification enable config lldp ports 25-28 basic_tlvs all enable config lldp ports 25-28 dot1_tlv_pvid enable config lldp ports 25-28 dot1_tlv_vlan_name vlan all enable enable lldp config safeguard_engine utilization rising 90 falling 30 trap_log enable state enable enable address_binding trap_log enable flood_fdb config flood_fdb log enable trap disable config log_save_timing time_interval 10 enable command logging Тоже можете покритиковать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 (изменено) · Жалоба то через каждые 60 секундrecovery побольше советую поставить. в сочетании с trap both, можно хоть 86400 выставить. чтоб заблокировал на сутки, а там уже видишь в snmp-монитор пришел трап, анализируешь его, реагируешь необходимым образом. все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.... А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм. активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит".а все что касается мультикаста, непосредственно у нас сводится к ena igmp_s, conf igmp_s a s e, conf igmp_s q a s d, и в ядре pim passive на интерфейсе. какие-либо меганастройки не трогаем - и так все работает без нареканий. ну разве что qos везде расписан. enable lldpочень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.rising 90 falling 30всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете. Изменено 17 февраля, 2011 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 февраля, 2011 · Жалоба enable lldpочень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало. Ок, приму к сведению. rising 90 falling 30всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете. Такие значения выбрал уже не помню почему, мне кажется по рекомендации длинка. Давно было дело и модели были 3028. Что насчет этих параметров? Выключать или выключать? config dos_prevention dos_type land_attack state ??? config dos_prevention dos_type blat_attack state ??? config dos_prevention dos_type smurf_attack state ??? config dos_prevention dos_type tcp_null_scan state ??? config dos_prevention dos_type tcp_xmascan state ??? config dos_prevention dos_type tcp_synfin state ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба config dos_prevention... включать. только trap/log не советую - там этой грязи столько... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dZen Опубликовано 17 февраля, 2011 · Жалоба активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит"Да действительно перепутал с командой config max_mcast_group port 1-24 max_group 3qos везде расписанПоделитесь фрагментом?config stp priority 49152кошмар.. этот параметр лучше не трогать, тем более на доступе. интересно какой там приоритет по умолчанию, а почему нетрогать то, что в этом опасного или кривого? я внутри кольца иногда вручную баллансирую нагрузку этим параметром. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 февраля, 2011 · Жалоба приоритет по умолчанию32768Поделитесь фрагментом?почти все возложено на ядро, а дальше trust dscp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 февраля, 2011 · Жалоба На 3200 серии, на клиентских портах: config stp ports 1-27 externalCost auto hellotime 2 edge true p2p auto state disable config stp ports 1-26 fbpdu disable enable bpdu_protection config bpdu_protection trap both config bpdu_protection ports 1-26 state enable config bpdu_protection ports 1-26 mode drop config safeguard_engine state enable utilization rising 30 falling 20 trap_log disable mode fuzzy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба enable bpdu_protection функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 18 февраля, 2011 · Жалоба а вот это плохо config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit лучше так config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny а на аплинках permit. Вы же не хотите поддельных ДХЦП серверов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 февраля, 2011 · Жалоба enable bpdu_protectionфункционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.). как раз я так с олегами и борюсь) 17328 0000-00-03, 00:49:26 Port 5 enter BPDU under protection state (mode: drop) 17327 0000-00-03, 00:49:26 Port 5 recover from BPDU under protection state automatically При этом нормальный клиентский тарфик продолжает ходить. вот только лог заполняется оч интенсивно (это из минусов) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 18 февраля, 2011 · Жалоба а вот это плохоconfig access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit лучше так config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny а на аплинках permit. Вы же не хотите поддельных ДХЦП серверов? на это уже указали ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 18 февраля, 2011 · Жалоба Покажите как красите на агрегации multicast, какой класс, max_packet, strict или weight? Ведь есть кто красит его на Длинке? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasiliy0 Опубликовано 18 февраля, 2011 · Жалоба Еще на относительно новых прошивках 3028 есть опция "config mgmt_pkt_priority 7" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 18 февраля, 2011 · Жалоба красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией. Ну покажите в ядре =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба Ну покажите в ядре =)не так давно уже приводил некоторые примеры:http://forum.nag.ru/forum/index.php?showtopic=63993 там даже ссылочка лежит на книжку, в которой детально расписано как выжать качества по максимум. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...