Перейти к содержимому
Калькуляторы

config dlink 3028/3200-28 Делимся конфигами свичей длинковского доступа

Приветствую коллеги, предлагаю в этой теме прикреплять обезличенные примеры конфига, или просто фичи которые мы юзаем для удобства и гармонии наших юзеров.

Приведу все важные на мой взгляд элементы конфига. Оч приветствуются советы, критика ну и т.д.

 

enable password encryption 

enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-28 state enable

enable ssl 

disable gvrp


enable stp

config stp version rstp

config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60

config stp priority 49152 instance_id 0

следующей конструкцией мы разрешаем дхцп, закрываем нетбиос и закрываем все что не открыто (потом по каждому порту создается ацл с 4мя серыми адресами, разрешенными с этого порта)


create access_profile  ip  tcp dst_port 0xFFFF    profile_id 5

config access_profile profile_id 5  add access_id 1  ip  tcp dst_port 139       port 1-28 deny

config access_profile profile_id 5  add access_id 2  ip  tcp dst_port 445       port 1-28 deny

create access_profile  ip  udp dst_port 0xFFFF    profile_id 6

config access_profile profile_id 6  add access_id 1  ip  udp dst_port 137       port 1-28 deny

config access_profile profile_id 6  add access_id 2  ip  udp dst_port 138       port 1-28 deny

config access_profile profile_id 6  add access_id 3  ip  udp dst_port 445       port 1-28 deny

create access_profile  ip  udp src_port 0xFFFF    profile_id 7

config access_profile profile_id 7  add access_id 3  ip  udp src_port 68        port 1-28 permit priority 0

config access_profile profile_id 7  add access_id 4  ip  udp src_port 67        port 1-28 permit priority 0 rx_rate no_limit 

create access_profile  ip  source_ip 0.0.0.0          profile_id 201

config access_profile profile_id 201  add access_id 1  ip  source_ip 0.0.0.0          port 1-24 deny

дхцп релей


enable dhcp_relay
config dhcp_relay hops 16 time 0 
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check enable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System 195.88.111.1

 

Оч буду признаетелен если напишите ваш вариант контроля за мультикастом и вариант разруливания дублирующихся ип адресов - ацл с ип адресом не решает эту проблему.

Изменено пользователем dZen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config loopdetect port 1-28 state enable
на аплинке и магистральных портах лучше отключать.
config loopdetect trap none
если вы пользуетесь средствами snmp-мониторинга, то эту опцию лучше выставить в both, чтоб оперативно реагировать на флудящие порты.
fbpdu enable
ставьте в disable, не ошибетесь.
config stp priority 49152
кошмар.. этот параметр лучше не трогать, тем более на доступе.

настоятельно рекомендую след. опции:

conf traffic control all broad ena - против броадкастовых штормов

config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena

- типовая конфигурация портов доступа

config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena

- типовая конфигурация магистральных портов

 

ena igmp_s

- ну без этого вобще никак

conf igmp_s q a s d

- querier'ов в сети достаточно одного - на шлюзе например.

 

и старайтесь держать софт посвежее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

Вы dhcp ответ на всякий случай разрешите только с аплинк портов, на остальных запретите

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ах да. забыл.

для 1228/me и 3028 еще рекомендую:

config igmp_snooping data_driven_learning max_learned_entry 1

и

ena flood

- в случае если гоняете iptv, прилично нервов съэкономите.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config loopdetect interval 10

Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config loopdetect interval 10
Я 1 секунду ставил, чтобы при обнаружении петель порт блокировался моментально, а не через 10 секунд

не смущает то что коммутатор тестовый пакет будет слать очень часто? это как бы уже нагрузка на процессор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за советы.

Про ena igmp_sno - оно конечно включено и настроено, но ип тв у нас тока в тесте и мне кажется что настроено кривовато, поэтому все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.

config igmp_snooping data_driven_learning max_learned_entry 1
А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent

Ну если оставить 10 секунд, то он же будет черт знает что делать 10 секунд, а потом только отключит порт, чем то надо пожертвовать

а если еще петля будет долгое время, то через каждые 60 секунд он будет сходить с ума 10 секунд, тут либо recover_timer надо увеличивать, либо интервал обнаружения уменьшать, мне так кажется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config igmp_snooping data_driven_learning max_learned_entry 1
А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

не тупит.

это всего лишь создание igmp группы(помещение Multicast MAC в FDB) без IGMP запроса(т.е. от всякого мусора, который летает без запросов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+ по мелочи:

config time_zone operator + hour 3 min 0

config dst repeating s_week last s_day sun s_mth 3 s_time 2:0 e_week last e_day sun e_mth 10 e_time 3:00 offset 60

config sntp primary 10.200.200.13

enable sntp

 

config lldp forward_message enable

config lldp ports 25-28 notification enable

config lldp ports 25-28 basic_tlvs all enable

config lldp ports 25-28 dot1_tlv_pvid enable

config lldp ports 25-28 dot1_tlv_vlan_name vlan all enable

enable lldp

 

config safeguard_engine utilization rising 90 falling 30 trap_log enable state enable

 

enable address_binding trap_log

 

enable flood_fdb

config flood_fdb log enable trap disable

 

config log_save_timing time_interval 10

enable command logging

 

Тоже можете покритиковать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

то через каждые 60 секунд
recovery побольше советую поставить. в сочетании с trap both, можно хоть 86400 выставить. чтоб заблокировал на сутки, а там уже видишь в snmp-монитор пришел трап, анализируешь его, реагируешь необходимым образом.
все что касается мультикаста постить не стал, надеюсь кто нибдуь более бородатый покажет свой пример.

...

А вот так помоему так делать нельзя, при переключении каналов все тупит - от прошлой группы абонент еще не успел отключиться, а новую ему не дадут, я поставил 3, вроде все норм.

активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит".

а все что касается мультикаста, непосредственно у нас сводится к ena igmp_s, conf igmp_s a s e, conf igmp_s q a s d, и в ядре pim passive на интерфейсе. какие-либо меганастройки не трогаем - и так все работает без нареканий. ну разве что qos везде расписан.

 

enable lldp
очень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.
rising 90 falling 30
всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете.
Изменено пользователем darkagent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

enable lldp
очень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало.

Ок, приму к сведению.

 

rising 90 falling 30
всю жизь хватало штатных 30 / 20. видимо что то у вас с паразитным трафиком в сети бардак, раз до таких уровней поднимаете.

Такие значения выбрал уже не помню почему, мне кажется по рекомендации длинка. Давно было дело и модели были 3028.

 

Что насчет этих параметров? Выключать или выключать?

config dos_prevention dos_type land_attack state ???

config dos_prevention dos_type blat_attack state ???

config dos_prevention dos_type smurf_attack state ???

config dos_prevention dos_type tcp_null_scan state ???

config dos_prevention dos_type tcp_xmascan state ???

config dos_prevention dos_type tcp_synfin state ???

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config dos_prevention...

включать. только trap/log не советую - там этой грязи столько...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

активно гоняем с сотню каналов тв, с вагоном hd, смотрим и приставкой и плеерами.. что то как то не ощущаются ваши "все тупит"
Да действительно перепутал с командой config max_mcast_group port 1-24 max_group 3
qos везде расписан
Поделитесь фрагментом?
config stp priority 49152

кошмар.. этот параметр лучше не трогать, тем более на доступе.

интересно какой там приоритет по умолчанию, а почему нетрогать то, что в этом опасного или кривого? я внутри кольца иногда вручную баллансирую нагрузку этим параметром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

приоритет по умолчанию
32768
Поделитесь фрагментом?
почти все возложено на ядро, а дальше trust dscp

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 3200 серии, на клиентских портах:

config stp ports 1-27 externalCost auto hellotime 2 edge true p2p auto state disable
config stp ports 1-26 fbpdu disable

enable bpdu_protection
config bpdu_protection trap both
config bpdu_protection ports 1-26 state enable  
config bpdu_protection ports 1-26 mode drop


config safeguard_engine state enable utilization rising 30 falling 20 trap_log disable mode fuzzy

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

enable bpdu_protection

функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

enable bpdu_protection
функционал конечно хороший, но как показывает практика, если на порту какая нибудь асусовая мыльница, с какой-нибудь прошивкой "от олега", то порт кладется. - оно stp/bpdu отсылает, обычный stp/rstp переводит его состояние в non-edge, и работает соответствующе (дольше схождение, ловит кольца, и т.д.).

как раз я так с олегами и борюсь)
17328     0000-00-03, 00:49:26     Port 5 enter BPDU under protection state (mode: drop)
17327     0000-00-03, 00:49:26     Port 5 recover from BPDU under protection state automatically

При этом нормальный клиентский тарфик продолжает ходить. вот только лог заполняется оч интенсивно (это из минусов)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

на это уже указали )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Покажите как красите на агрегации multicast, какой класс, max_packet, strict или weight? Ведь есть кто красит его на Длинке? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще на относительно новых прошивках 3028 есть опция "config mgmt_pkt_priority 7"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

красить лучше в ядре, а на агрегации сохранять расскраску. а то можно словить нехилый дроп пакетов между ядром и агрегацией.

Ну покажите в ядре =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну покажите в ядре =)
не так давно уже приводил некоторые примеры:

http://forum.nag.ru/forum/index.php?showtopic=63993

там даже ссылочка лежит на книжку, в которой детально расписано как выжать качества по максимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.