HoatDog Опубликовано 21 февраля, 2011 (изменено) · Жалоба Вот такой скриптик был написал для конффиигурации 3526 <?php $id_now=$_GET['id_now']; $id_end=$_GET['id_end']; if (($id_now!=0)) echo " #syslog,sntp включаем <br/>\n create syslog host 1 ipaddress 192.168.x.x udp_port 514 state ena<br/>\n enable syslog<br/>\n config time_zone operator + hour 7 min 0<br/>\n config sntp primary 192.168.x.x<br/>\n enable sntp<br/>\n #loopdetect включаем на всех портах <br/>\n <br/>\n enable loopdetect<br/>\n config loopdetect ports ".$id_now." state enabled<br/>\n config loopdetect recover_timer 60 interval 10 mode port-based<br/>\n <br/>\n #Настраиваем мультикаст<br/>\n #включаем фильтрацию мультикаста на свитче протокол фильтрации<br/>\n # IGMP — Internet Group Management Protocol<br/>\n <br/>\n config igmp_snooping all state enable<br/>\n config igmp_snooping querier all state enable<br/>\n enable igmp_snooping<br/>\n <br/>\n #Говорим о том что в определенном вилане запрешены мультикаст роуторы на определеных портах<br/>\n <br/>\n config router_ports_forbidden User`s add ".$id_now." <br/>\n <br/>\n #конфигурим мултикаст собственно включаем фильтрацию по группам для определенных портов в данном случае присваем унрегистрет групп<br/>\n <br/>\n config multicast port_filtering_mode ".$id_now." filter_unregistered_groups<br/>\n <br/>\n #создаем группу в которой описывается айпишники все по протоколу<br/>\n <br/>\n create multicast_range mult_deny from 224.0.0.1 to 239.255.255.254 <br/>\n <br/>\n #добавляем эту группу в лимитирование в отношение определеных портов<br/>\n <br/>\n config limited_multicast_addr ports ".$id_now." add multicast_range mult_deny <br/>\n <br/>\n #включаем лимиты в отношение этих портов<br/>\n <br/>\n config limited_multicast_addr ports ".$id_now." state enable <br/>\n <br/>\n #настраиваем vpn разрешаем нужное<br/>\n #user's group<br/>\n <br/>\n create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 1<br/>\n config access_profile profile_id 1 add access_id a ip destination_ip 10.0.x.x tcp dst_port 1723 port ".$id_now." permit<br/>\n <br/>\n #Corp group<br/>\n create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 2<br/>\n config access_profile profile_id 2 add access_id a ip destination_ip 10.0.x.x tcp dst_port 1723 port ".$id_now." permit<br/>\n <br/>\n #разрешаем наш DHCP<br/>\n #user's group<br/>\n <br/>\n create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3<br/>\n config access_profile profile_id 3 add access_id a ip source_ip 10.0.x.x udp src_port 67 port ".$id_now." permit<br/>\n <br/>\n #разрешаем наш DHCP<br/>\n <br/>\n create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 4<br/>\n config access_profile profile_id 4 add access_id a ip source_ip 10.254.x.254 udp src_port 67 port ".$id_now." permit<br/>\n <br/>\n #Убираем netbios and windows share<br/>\n <br/>\n create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5<br/>\n config access_profile profile_id 5 add access_id a ip tcp dst_port 135 port ".$id_now." deny<br/>\n config access_profile profile_id 5 add access_id a ip tcp dst_port 139 port ".$id_now." deny<br/>\n config access_profile profile_id 5 add access_id a ip tcp dst_port 445 port ".$id_now." deny<br/>\n <br/>\n #udp туда же<br/>\n <br/>\n create access_profile ip udp dst_port_mask 0xffff profile_id 6<br/>\n config access_profile profile_id 6 add access_id a ip udp dst_port 137 port ".$id_now." deny<br/>\n config access_profile profile_id 6 add access_id a ip udp dst_port 138 port ".$id_now." deny<br/>\n config access_profile profile_id 6 add access_id a ip udp dst_port 445 port ".$id_now." deny<br/>\n <br/>\n #Запрешаем все чужие DHCP<br/>\n <br/>\n create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7 <br/>\n config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port ".$id_now." deny<br/>\n <br/>\n #Запрешаем все чужие VPN<br/>\n <br/>\n create access_profile ip destination_ip_mask 0.0.0.0 tcp dst_port_mask 0xFFFF profile_id 8<br/>\n config access_profile profile_id 8 add access_id a ip destination_ip 0.0.0.0 tcp dst_port 1723 port ".$id_now." deny<br/>\n <br/>\n # Создаём профиль ACL для запрещения всех PPPoE-пакетов<br/>\n <br/>\n create access_profile ethernet ethernet_type profile_id 9<br/>\n <br/>\n # Запрещаем все PPPoE пакеты<br/>\n <br/>\n config access_profile profile_id 9 add access_id a ethernet ethernet_type 0x8863 port ".$id_now." deny<br/>\n config access_profile profile_id 9 add access_id a ethernet ethernet_type 0x8864 port ".$id_now." deny<br/>\n"; ?> Изменено 21 февраля, 2011 пользователем HoatDog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 28 февраля, 2011 · Жалоба Слушайте, вот обьясните мне, что за неуёмная манера у всех закрывать пользовательские мультикасты? Вам они что, жмут что ли? Паранойя и перестраховка, конечно, неплохо, только вот с такой манерой у клиентов ни IPv6 внутри не будут работать, ни всякие SSDP/.local. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 28 февраля, 2011 · Жалоба Слушайте, вот обьясните мне, что за неуёмная манера у всех закрывать пользовательские мультикасты? Вам они что, жмут что ли? Паранойя и перестраховка, конечно, неплохо, только вот с такой манерой у клиентов ни IPv6 внутри не будут работать, ни всякие SSDP/.local.IPv6 у клиентов должен работать только тот, который даст оператор. Для торрентов есть toredo. Остальное - оператор в праве резать под чистую.с SSDP такая же бадяга. если абонент хочет поиграться в высокие технологии - пусть ставит у себя роутер, и за ним уже всякие ssdp и прочее ставит. На межабонентском обмене этой ерунды быть не должно. Ваши возражения больше похожи на панику клиента, который не смог распечатать "ты лох!!11 хаха" на принтере соседа. Обычно для этого ssdp и просят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 28 февраля, 2011 · Жалоба Остальное - оператор в праве резать под чистую.Выпал в осадок.Вы о законе "о связи" вообще в курсе? Ваше "резать подчистую", боюсь, может закончится ровно до первой же жалобы абонента. Хотя, конечно, вы можете попробовать рассказать проверяющим, что это, мол, нарушает связность вашей сети и вообще вредоносный трафик, ага :) Всё же давайте ещё раз более предметно - чем вам мешает/может помешать "не ваш" мультикаст? А ещё в вашем конфиге нет защиты от arp spoofing ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 28 февраля, 2011 (изменено) · Жалоба 5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана. Что-то нехило вы мультикаст приоритезируете. DSCP 56 по умолчанию на всех девайсах попадает в наивысший приоритет (в терминах ip precedence это 7), куда такой? Куда лучше использовать одинаковые приоритеты по всем полям, то есть для 802.1p 5 логично использовать такой же ip precedence, это будут значения DSCP 40-47. См, например, у Циски: http://www.cisco.com/en/US/products/hw/swi...9e.shtml#topic3 Изменено 28 февраля, 2011 пользователем Dyr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 28 февраля, 2011 · Жалоба Выпал в осадок.выпадайте дальше. в договоре прописываете тот набор услуг, который предоставляете - а конкретно доступ в интернет, и плюшки. все остальное - вырезаем. захочет человек в локалке мультик гнать левый (например жилец в доме хочет подъезду со спутника порноканал вкатать) - получаете носом в "только интернет и плюшки". чем не нравится мультик? вы его попробуйте не фильтровать, при больших масштабах его будет столько, что на узлах агрегации можно словить нехилую порцию косяков. можно конечно долго орать что длинк гавно, софт у них кривой и т.д. и т.п., но это ситуацию не изменит. да и опять же - какой нибудь хитрожопый возьмет да вдует на ваш коммутатор на скорости порта поток со спутника.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 28 февраля, 2011 · Жалоба куда плюшки, плюшек в договоре нет! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
upbirb Опубликовано 25 сентября, 2011 · Жалоба enable lldpочень стремная фича. точнее дырявая. когда инвентаризация на уровне, и есть четкое понимание топологии сети, оно нафиг не нужно, а вот дырок с lldp на длинках уже и на секлабе и на форуме самого длинка описывалось не мало. Возник вопрос, а в чем она дырявая, что-то не нашел инфы по этому поводу. Мне пока что только помогала и никакого вреда от нее замечено не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 сентября, 2011 · Жалоба а в чем она дырявая, что-то не нашел инфы по этому поводу незнаю как сейчас с этим обстоят дела, но еще год-полтора назад можно было словить потерю управления в результате dos атаки по lldp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mlevel Опубликовано 16 апреля, 2012 · Жалоба Подскажите, какие параметры крутить, а то при переключении каналов задержка 1-2 секунды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 17 апреля, 2012 · Жалоба Слушайте, вот обьясните мне, что за неуёмная манера у всех закрывать пользовательские мультикасты? Пользовательский мультикаст будет сливаться соседям по VLAN и занимать место в их канале - а оно надо? А они согласны? В случае VLAN на пользователя (на эту технологию все переходят или в итоге перейдут) - пользовательский мультикаст вообще ни до кого не дойдет кроме шлюза. А шлюзу смотреть мультикаст зачем? А если абонент захочет, чтобы его мультикаст куда-то маршрутизировали - надо договариваться отдельно, персонально. Заинтересовать либо содержимым, либо деньгами :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 9 июня, 2012 · Жалоба Подскажите пожалуйста конфиг (желательно с разъяснением - что к чему и за что отвечает)с помощью которого можно заблочить прописывание статических адресов на пользовательских машинах? спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 июня, 2012 · Жалоба На такой вопрос вы врядли получите ответ, только если заинтересуете небольшим финансированием :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 9 июня, 2012 · Жалоба Подскажите пожалуйста конфиг (желательно с разъяснением - что к чему и за что отвечает)с помощью которого можно заблочить прописывание статических адресов на пользовательских машинах? спасибо Надо включить функционал IP MAC Port Binding в режиме DHCP Snooping (strict режим). При этом те клиенты, которые получили IP по DHCP, смогут работать в сети, а остальные будут заблокированы. На стенде работает шикарно. В реальной сети как повезет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 10 июня, 2012 · Жалоба Подскажите пожалуйста конфиг (желательно с разъяснением - что к чему и за что отвечает)с помощью которого можно заблочить прописывание статических адресов на пользовательских машинах? спасибо Ищете в Гугле что-то вроде "dlink address_binding dhcp snooping strict". Находите: http://forum.nag.ru/forum/index.php?showtopic=72634 http://panasenko.livejournal.com/3556.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 марта, 2013 (изменено) · Жалоба кто использует lldp поделитесь решением особенностей работы протокола этого на длинках.. 1) на аплинках в антегет оставляете дефолт влан ? 2) Если этого не хочется длинк советует убирать ingress_checking на аплинках (но есть один нюанс.. почему от глобальное на всех портах отключется оно..).. если отключить его порт получается посути транком с нейтввланом абонентского влана.. получается ingress_checking не является полноценным решением (т.к. представляет дырку с учетом глобального включения\отключения).. Кто-нить изучал, что будет если в форбиден портс добавить все абонентские порты менеджмент влана и отключить ingress_checking, пропустит ли коммутатор с абонентского порта трафик с тэгом менеджмента? Изменено 4 марта, 2013 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 4 марта, 2013 (изменено) · Жалоба Подскажите пожалуйста, что делать в случае, если коммутатор настроен на работу с мультикастом на ISM vlan (igmp snooping включен только на ISM влане) и в нем живут все основные мультикаст пользователи, но надо еще один влан сделать независимым, в котором IGMP SNOOPING не хотелось бы использовать и который бы работал просто как L2 влан и пропускал весь входящий/исходящий через него мультикаст трафик? Сейчас вланы выглядят вот так: VLAN Name : IPTV Query Interval : 125 Max Response Time : 10 Robustness Value : 2 Last Member Query Interval : 1 Querier State : Disabled Querier Role : Non-Querier Querier IP : 10.10.0.1 Querier Expiry Time : 1 secs State : Enabled Fast Leave : Enabled Version : 2 Data Driven Learning Aged Out : Disabled VLAN Name : PRIVATE Query Interval : 125 Max Response Time : 10 Robustness Value : 2 Last Member Query Interval : 1 Querier State : Disabled Querier Role : Non-Querier Querier IP : 0.0.0.0 Querier Expiry Time : 0 secs State : Disabled Fast Leave : Disabled Version : 2 Data Driven Learning Aged Out : Disabled PS: Как на зло, форум dlink не работает, при чем довольно давно :( Изменено 4 марта, 2013 пользователем kostas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 4 марта, 2013 · Жалоба посмотрите show multicast port_filtering_mode Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 4 марта, 2013 · Жалоба посмотрите show multicast port_filtering_mode Так и есть - этот порт (24) влана зафильтрован. DES-3200-28:4#show multicast port_filtering_mode Command: show multicast port_filtering_mode Multicast Filter Mode For Unregistered Group: Forwarding List: 25-28 Filtering List: 1-24 Спасибо - скорее всего это оно. Сейчас проверим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 4 марта, 2013 · Жалоба 1) на аплинках в антегет оставляете дефолт влан ? Мы выключаем ингресс чекинг. Еще можно на порту оставлять pvid реально существующего влана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 марта, 2013 · Жалоба 1) на аплинках в антегет оставляете дефолт влан ? Мы выключаем ингресс чекинг. Еще можно на порту оставлять pvid реально существующего влана. Ага длинк уже подсказал, что можно pvid поставить менеджмент влан и будет работать. ингресс чекинг как то небезопасно.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ale1975 Опубликовано 13 марта, 2013 · Жалоба Доброго дня! Купили пару DES-3200-28F C1. По настройке после эджкора -полная ж. Может кто подскажет как настройки сделать PCF для пппое( разрешать только на аплинк).Не нашел ни одного подходящего примера ни на сайте длинка.Заранее спс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 13 марта, 2013 · Жалоба Доброго дня! Купили пару DES-3200-28F C1. По настройке после эджкора - полная ж. Может кто подскажет как настройки сделать PCF для пппое (разрешать только на аплинк).config traffic_segmentation 1-27 forward_list 28Вы о законе "о связи" вообще в курсе? Ваше "резать подчистую", боюсь, может закончится ровно до первой же жалобы абонента.Мультикаст через интернет всё равно не ходит.Всё же давайте ещё раз более предметно - чем вам мешает/может помешать "не ваш" мультикаст?А накой он мне нужен на входе? Я его срезаю почти под корень: config traffic control 1-24 broadcast enable multicast enable threshold 10 Для функционирования ipv6 этой величины более чем достаточно. А больше его вдувать мне в сеть не нужно. Кстати, типичнейший источник "абонентского" мультикаста - это хабчик у юзера, которым он подсоединился одновременно ко мне и к какому-нибудь другому провайдеру с iptv. Впрочем, даже если бы я его не срезал, он достигнет только ядра, ибо vlan per customer. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 14 марта, 2013 · Жалоба Доброго дня! Купили пару DES-3200-28F C1. По настройке после эджкора - полная ж. Может кто подскажет как настройки сделать PCF для пппое (разрешать только на аплинк). По идее как то так # PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07) create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff00ff profile_id 1 config access_profile profile_id 1 add access_id auto_assign packet_content offset 12 0x88630007 port 1-24 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 14 марта, 2013 · Жалоба Зачем такие сложности? Для PPPoE всё решает банальный traffic_segmentation Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...