Alexandr Ovcharenko Опубликовано 18 февраля, 2011 (изменено) · Жалоба У меня так: 1. Никаких STP и bpdu. Вся сеть - звезда. Соответственно, какой бы bpdu-хлам не послал юзер - сети фиолетово. Резервирование на доступе нужно только для сильно-сильно-вип-клиентов, и делается оно с помощью LACP. Резервирование рапсределения-агрегации-ядра с помощью ospf. 2. Никаких dos_protection. Не знаю почему, но при включении оных клиенты начинали жаловаться на дропы пакетов, в том числе и icmp. Я даже и разбираться не стал - ну не верю я в интеллект фильтров на китайском свиче за $150! Тупо выключил - проблемы не стало. 3. Никаких safeguard. В правильно настроенном свиче мусор должен дропаться в асиках, не доходя до цпу. safeguard придуман для ленивых, не умеющих правильно настраивать вланы, шторм-фильтры и мультикаст. 4. АЦЛ делает привязку IP - порт, порядок такой: - на каждом абонентском порту разрешаем по протоколу 0х0806 анонс только ip юзера; - запрещаем весь броадкаст; - запрещаем нетбиос; - разрешаем source-ip на порту юзера; - запрещаем все. 5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана. Сеть работает как часы, никаких зависаний, штормов, "отсыханий интерфейсов" и прочей хрени. Картинка в IPTV не рассыпается. Админы спят спокойно. :) Изменено 18 февраля, 2011 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба Никаких STP и bpdu. Вся сеть - звезда.два соседа взяли по хабу, и закольцевали два порта на одном коммутаторе, а то и на разных коммутаторах. ваши действия? что печально - неоднократно с таким сталкивались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 февраля, 2011 (изменено) · Жалоба Никаких STP и bpdu. Вся сеть - звезда.два соседа взяли по хабу, и закольцевали два порта на одном коммутаторе, а то и на разных коммутаторах. ваши действия? что печально - неоднократно с таким сталкивались. loopback разве не поможет?У меня так:1. Никаких STP и bpdu. Вся сеть - звезда. Соответственно, какой бы bpdu-хлам не послал юзер - сети фиолетово. Резервирование на доступе нужно только для сильно-сильно-вип-клиентов, и делается оно с помощью LACP. Резервирование рапсределения-агрегации-ядра с помощью ospf. 2. Никаких dos_protection. Не знаю почему, но при включении оных клиенты начинали жаловаться на дропы пакетов, в том числе и icmp. Я даже и разбираться не стал - ну не верю я в интеллект фильтров на китайском свиче за $150! Тупо выключил - проблемы не стало. 3. Никаких safeguard. В правильно настроенном свиче мусор должен дропаться в асиках, не доходя до цпу. safeguard придуман для ленивых, не умеющих правильно настраивать вланы, шторм-фильтры и мультикаст. 4. АЦЛ делает привязку IP - порт, порядок такой: - на каждом абонентском порту разрешаем по протоколу 0х0806 анонс только ip юзера; - запрещаем весь броадкаст; - запрещаем нетбиос; - разрешаем source-ip на порту юзера; - запрещаем все. 5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана. Сеть работает как часы, никаких зависаний, штормов, "отсыханий интерфейсов" и прочей хрени. Картинка в IPTV не рассыпается. Админы спят спокойно. :) поделитесь конфигом ;) Изменено 18 февраля, 2011 пользователем Butch3r Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба loopback разве не поможет? в пределах одного коммутатора да, через разные коммутаторы - уже нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 18 февраля, 2011 · Жалоба loopback разве не поможет?в пределах одного коммутатора да, через разные коммутаторы - уже нет. Блин, что мне - весь конфиг расписывать? Ежу понятно, что на клиентских портах lbd enable - выше уже писали об этом.Что касается петли через разные свичи - я же написал кажется ясно - "вся сеть - звезда". Каким Макаром два доморощенных кулхацкера сделают двумя домашними хабами мне петлю через 2 моих разных свича? Свой провод между ними натянут? Не знаю, почему у Вас это бывает часто, у нас в городе не было ни разу. Но даже и в этом случае проблему можно полечить включением порт-секурити с ограничением в 2-3 МАС на клиентских портах + поменьше трэшолд броадкаст шторма выставить. Делов-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба Есть и хитрожопые кто кабели тянут, бывают и случаи когда приходишь строить сеть в район, где в свое время была "любительская" сетка. Бывают и хитрожопые ситуации когда на доме присутствует несколько операторов. lbd stp-based ? тогда он будет работать только если работает сам stp. если port-based loopdetect - то он только в пределах одного коммутатора ходит, хотя в свое время длинки обещали этот момент допилить. port-sec + traffic control threshold конечно хорошо, но через непродолжительное время в пределах коммутатора начинается такая ахинея, что все абоненты с данного коммутатора начинают люто брызжать пеной изо рта с криками FUUuuUUuuuuuuu. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 18 февраля, 2011 · Жалоба Свой провод между ними натянут? Не знаю, почему у Вас это бывает часто, у нас в городе не было ни разу.а зачем кабель - достаточно вафлю в режиме бриджа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 18 февраля, 2011 · Жалоба У меня так:1. Никаких STP и bpdu. Вся сеть - звезда. Соответственно, какой бы bpdu-хлам не послал юзер - сети фиолетово. Резервирование на доступе нужно только для сильно-сильно-вип-клиентов, и делается оно с помощью LACP. Резервирование рапсределения-агрегации-ядра с помощью ospf. 2. Никаких dos_protection. Не знаю почему, но при включении оных клиенты начинали жаловаться на дропы пакетов, в том числе и icmp. Я даже и разбираться не стал - ну не верю я в интеллект фильтров на китайском свиче за $150! Тупо выключил - проблемы не стало. 3. Никаких safeguard. В правильно настроенном свиче мусор должен дропаться в асиках, не доходя до цпу. safeguard придуман для ленивых, не умеющих правильно настраивать вланы, шторм-фильтры и мультикаст. 4. АЦЛ делает привязку IP - порт, порядок такой: - на каждом абонентском порту разрешаем по протоколу 0х0806 анонс только ip юзера; - запрещаем весь броадкаст; - запрещаем нетбиос; - разрешаем source-ip на порту юзера; - запрещаем все. 5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана. Сеть работает как часы, никаких зависаний, штормов, "отсыханий интерфейсов" и прочей хрени. Картинка в IPTV не рассыпается. Админы спят спокойно. :) У нас точно также. Но вся сеть на 3526 пока. Сейчас начинают появляться 3028. Не поделитесь конфигом. А то свич другой в плане обработки ACL и не хочется перелопачивать весь конфиг заново. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 18 февраля, 2011 · Жалоба У 3028 проблема с хешем. Можно словить экзотические глюки, если виланы идут на несколько портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dZen Опубликовано 18 февраля, 2011 · Жалоба Ну про хеш наверное все вкурсе, но если топология звезда, то это беспокоить особо не должно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 февраля, 2011 · Жалоба Ну про хеш наверное все вкурсе, но если топология звезда, то это беспокоить особо не должно. если есть iptv, это вас начнет беспокоить очень очень быстро. сам когда то зарекался, теперь прорабатываю варианты реорганизации сегментов сети, чтоб избежать подобного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 18 февраля, 2011 · Жалоба У 3028 проблема с хешем. Можно словить экзотические глюки, если виланы идут на несколько портов. проблема есть но не надо допускаться чтобы на свитче было много маков. чем меньше маков тем незаметнее проблема и даже наверное вообще отсутствие таковой.. если конечно у вас на свитче 1000 маков будет и больше если есть iptv, это вас начнет беспокоить очень очень быстро. сам когда то зарекался, теперь прорабатываю варианты реорганизации сегментов сети, чтоб избежать подобного.если нет цепочек свитчей то небудет беспокоить Есть и хитрожопые кто кабели тянут, бывают и случаи когда приходишь строить сеть в район, где в свое время была "любительская" сетка. Бывают и хитрожопые ситуации когда на доме присутствует несколько операторов. lbd stp-based ? тогда он будет работать только если работает сам stp. если port-based loopdetect - то он только в пределах одного коммутатора ходит, хотя в свое время длинки обещали этот момент допилить. port-sec + traffic control threshold конечно хорошо, но через непродолжительное время в пределах коммутатора начинается такая ахинея, что все абоненты с данного коммутатора начинают люто брызжать пеной изо рта с криками FUUuuUUuuuuuuu.лечится правильно настроенным трафик контролем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 18 февраля, 2011 · Жалоба Никаких STP и bpdu. Вся сеть - звезда.два соседа взяли по хабу, и закольцевали два порта на одном коммутаторе, а то и на разных коммутаторах. ваши действия? что печально - неоднократно с таким сталкивались. На разных коммутаторах сажаем абонентов в разные вланы и пускай закольцовывают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 18 февраля, 2011 (изменено) · Жалоба Сейчас начинают появляться 3028. Не поделитесь конфигом. А то свич другой в плане обработки ACL и не хочется перелопачивать весь конфиг заново. непомню откуда //запрет левых DHCPcreate access_profile ip udp src_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id auto_assign ip udp src_port 67 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip udp src_port 68 port 1-24 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id auto_assign ip udp dst_port 68 port 1-24 deny config access_profile profile_id 5 add access_id auto_assign ip udp dst_port 67 port 1-24 permit //Запрет netbios create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6 config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 1900 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny create access_profile ip udp dst_port_mask 0xFFFF profile_id 7 config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 135 port 1-28 deny config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 137 port 1-28 deny config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 138 port 1-28 deny config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 139 port 1-28 deny config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 445 port 1-28 deny config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 2869 port 1-28 deny create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip x.x.x.x destination_ip 0.0.0.0 port 1 permit create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny покопался в избранном вот еще чуть правил ACL для DES-3526 (чесно непонмю где нашел или туту ан форуме или ан сайте длинка) вот от одного автора #------------------------------------------------------------------------------ # запрещение: # протокол IP + пакет не фрагментирован + порт create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2 # 135 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny # 137 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny # 138 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny # 139 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny # 445 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny #------------------------------------------------------------------------------ # запрещение: # протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3 # 67 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny # 68 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny # 1900 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny # 2869 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny #------------------------------------------------------------------------------ # разрешение: # IP адреса create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 10 #------------------------------------------------------------------------------ # запрещение: # любой траффик IP адреса create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny вот от другова#------------------------------------------------------------------------------ # разрешение: # определенный VLAN create access_profile ethernet ethernet_type vlan profile_id 1 config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 vlan default port 1-26 permit priority 7 replace_priority replace_dscp_with 63 config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x800 vlan default port 1-26 permit priority 7 replace_priority replace_dscp_with 63 #------------------------------------------------------------------------------ # запрещение: # протокол IP + пакет не фрагментирован + порт create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2 # 135 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny # 137 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny # 138 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny # 139 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny # 445 config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny #------------------------------------------------------------------------------ # запрещение: # протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3 # 67 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny # 68 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny # 1900 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny # 2869 config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny #------------------------------------------------------------------------------ # запрещение внутри РРРоЕ: # РРРоЕ сессия + протокол IP + пакет не фрагментирован + порт create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff0000 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 4 # 135 config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00870000 0x0 0x0 0x0 port 1-24 deny # 137 config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00890000 0x0 0x0 0x0 port 1-24 deny # 138 config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008a0000 0x0 0x0 0x0 port 1-24 deny # 139 config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008b0000 0x0 0x0 0x0 port 1-24 deny # 445 config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x01bd0000 0x0 0x0 0x0 port 1-24 deny #------------------------------------------------------------------------------ # запрещение внутри РРРоЕ: # РРРоЕ сессия + протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff00ff 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 5 # 67 (UDP) config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000011 0x0 0x0 0x0 offset_48-63 0x00430000 0x0 0x0 0x0 port 1-24 deny # 1900(UDP) config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000011 0x0 0x0 0x0 offset_48-63 0x076c0000 0x0 0x0 0x0 port 1-24 deny # 2869 (TCP) config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000006 0x0 0x0 0x0 offset_48-63 0x0b350000 0x0 0x0 0x0 port 1-24 deny #------------------------------------------------------------------------------ # разрешение: # ARP + PPPoE create access_profile ethernet ethernet_type profile_id 6 config access_profile profile_id 6 add access_id XX ethernet ethernet_type 0x806 port XX permit config access_profile profile_id 6 add access_id 25 ethernet ethernet_type 0x8863 port 1-24 permit config access_profile profile_id 6 add access_id 50 ethernet ethernet_type 0x8864 port 1-24 permit #------------------------------------------------------------------------------ # запрещение: # бродкасты create access_profile packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 profile_id 7 config access_profile profile_id 7 add access_id 1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 port 1-24 deny #------------------------------------------------------------------------------ # разрешение: # IP адреса create access_profile ip source_ip_mask 255.255.255.255 profile_id 8 config access_profile profile_id 8 add access_id XX ip source_ip 111.222.333.444 port XX permit #------------------------------------------------------------------------------ # запрещение: # любой траффик create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9 config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny думаю ктонибуть чтониубть полезное найдет Изменено 18 февраля, 2011 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 18 февраля, 2011 (изменено) · Жалоба У нас точно также.Но вся сеть на 3526 пока. Сейчас начинают появляться 3028. Не поделитесь конфигом. А то свич другой в плане обработки ACL и не хочется перелопачивать весь конфиг заново. У нас зоопарк из 3526, 3200-28, 3200-26 и 3528. Свичи 3028 даже пробовать не стали после того, как длинки признали проблему хэша.Советую Вам обратить внимание на 3528. Их уже можно нарыть по цене, сопоставимой с 3200-26. Что касается ацлей, то в серии 3200 (в отличие от 3526) через жопу сделано PCF. Надо все профили делать на PCF. По-другому делать не получится - часть профилей тупо не будет работать. # ACL # разрешаем arp-анонсы конкретных ip create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 16 0xFFFF offset3 l2 18 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 56 packet_content offset1 0x0806 offset2 0x0a00 offset3 0x0038 port 4 permit # запрещаем любой arp create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 2 config access_profile profile_id 2 add access_id 400 packet_content offset1 0x0806 port 1-24 deny # запрещаем broadcast create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0x0 profile_id 3 config access_profile profile_id 3 add access_id 200 packet_content destination_mac FF-FF-FF-FF-FF-FF port 1-24 deny # запрещаем netbios create access_profile packet_content_mask offset1 l4 2 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id 300 packet_content offset1 0x0087 port 1-28 deny config access_profile profile_id 4 add access_id 310 packet_content offset1 0x0089 port 1-28 deny config access_profile profile_id 4 add access_id 320 packet_content offset1 0x008a port 1-28 deny config access_profile profile_id 4 add access_id 330 packet_content offset1 0x008b port 1-28 deny config access_profile profile_id 4 add access_id 340 packet_content offset1 0x01bd port 1-28 deny # разрешаем ip create access_profile packet_content_mask offset1 l3 12 0xFFFF offset2 l3 14 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 56 packet_content offset1 0x0a00 offset2 0x0038 port 4 permit # запрещаем все create access_profile packet_content_mask offset1 l2 0 0x0 profile_id 10 config access_profile profile_id 10 add access_id 65000 packet_content port 1-24 deny В примере на порту 4 разрешен доступ в сеть абоненту с ip 10.0.0.56 Изменено 18 февраля, 2011 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 19 февраля, 2011 · Жалоба ...не умеющих правильно настраивать вланы... В контексте темы. Что лучше : private vlan или влан на коммутатор ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 19 февраля, 2011 · Жалоба config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena- типовая конфигурация портов доступа config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena - типовая конфигурация магистральных портов а зачем на портах доступа стп включать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 19 февраля, 2011 · Жалоба bos9 чтобы петли между портами ловить, длинк обещал сделать чтобы lbd ловил и между портами петли (не знаю сделали или нет) если нет, тогда через stp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 20 февраля, 2011 · Жалоба На 3200 сделано, а LDB в STP вообще отсутствует теперь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 20 февраля, 2011 (изменено) · Жалоба xcme а на 3526 и 3028 не сделали еще? Изменено 20 февраля, 2011 пользователем FIGO Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 20 февраля, 2011 · Жалоба xcmeа на 3526 и 3028 не сделали еще? на 3526 вряд ли будет, на 3028 в R3 будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 20 февраля, 2011 · Жалоба На 3200 сделано, а LDB в STP вообще отсутствует теперь. в stp есть такое состояние как blocked alternative/backup. чем не lbd ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hawk128 Опубликовано 20 февраля, 2011 · Жалоба Помогите с конфигом ISM-VLAN к 3528. Есть циска вышестоящего. На ней PIM SM. К нам приходит в отдельном влане. Пробовал у себя по 3528-м раздавать это чудо. Все было неплохо, но сейчас временно появились длинные лучи (по 5-6 свитчей в цепочке) + еще не везде упраляемый свитчи, еще не все модернизировали. Так вот, дальние свитчи начали виснуть. Совсем встает, ни на что не отвечает, состояние порта изменить не может (т.е. есди был включен на момент зависания - выключить не может, даже если шнур из порта выдернуть, порт горит, что типа есть клиент). Но при этом в соответствии с настройками вланов между живыми данные передает. Если IPTV гашу - свитчи не виснут. есть ли у кого похожий конфиг железа? Можете конфигом для свитча поделиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 20 февраля, 2011 · Жалоба На 3200 сделано, а LDB в STP вообще отсутствует теперь.в stp есть такое состояние как blocked alternative/backup. чем не lbd ? Оно там и раньше было, а вот лбд убрали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 21 февраля, 2011 · Жалоба Оно там и раньше было, а вот лбд убрали.удивительно, но после того как lbd убрали из stp, stp стал нормально отрабатывать. я к тому что, когда раньше кольцевал абонентские порты через 3 устройства, на стенде получал такое, что плакать хотелось. и приходилось чем то одним жертвовать - или обнаружением локальной петли и флудящего порта (port-based lbd), или обнаружением кольца топологии (stp-based lbd). вместе оно работало через одно место, особенно если клиентские порты в разных вланах оказывались. а сейчас все отрабатывает вполне предсказуемо и, наудивление, как надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...