[Alexandr Ovcharenko]

У меня так:

1. Никаких STP и bpdu. Вся сеть - звезда. Соответственно, какой бы bpdu-хлам не послал юзер - сети фиолетово. Резервирование на доступе нужно только для сильно-сильно-вип-клиентов, и делается оно с помощью LACP. Резервирование рапсределения-агрегации-ядра с помощью ospf.

2. Никаких dos_protection. Не знаю почему, но при включении оных клиенты начинали жаловаться на дропы пакетов, в том числе и icmp. Я даже и разбираться не стал - ну не верю я в интеллект фильтров на китайском свиче за $150! Тупо выключил - проблемы не стало.

3. Никаких safeguard. В правильно настроенном свиче мусор должен дропаться в асиках, не доходя до цпу. safeguard придуман для ленивых, не умеющих правильно настраивать вланы, шторм-фильтры и мультикаст.

4. АЦЛ делает привязку IP - порт, порядок такой:

- на каждом абонентском порту разрешаем по протоколу 0х0806 анонс только ip юзера;

- запрещаем весь броадкаст;

- запрещаем нетбиос;

- разрешаем source-ip на порту юзера;

- запрещаем все.

5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана.

 

Сеть работает как часы, никаких зависаний, штормов, "отсыханий интерфейсов" и прочей хрени. Картинка в IPTV не рассыпается. Админы спят спокойно. :)

Изменено 18 февраля, 2011 пользователем Alexandr Ovcharenko

[darkagent]

Никаких STP и bpdu. Вся сеть - звезда.

два соседа взяли по хабу, и закольцевали два порта на одном коммутаторе, а то и на разных коммутаторах. ваши действия? что печально - неоднократно с таким сталкивались.

 

[Butch3r]

Никаких STP и bpdu. Вся сеть - звезда.

два соседа взяли по хабу, и закольцевали два порта на одном коммутаторе, а то и на разных коммутаторах. ваши действия? что печально - неоднократно с таким сталкивались.

loopback разве не поможет?

У меня так:

1. Никаких STP и bpdu. Вся сеть - звезда. Соответственно, какой бы bpdu-хлам не послал юзер - сети фиолетово. Резервирование на доступе нужно только для сильно-сильно-вип-клиентов, и делается оно с помощью LACP. Резервирование рапсределения-агрегации-ядра с помощью ospf.

2. Никаких dos_protection. Не знаю почему, но при включении оных клиенты начинали жаловаться на дропы пакетов, в том числе и icmp. Я даже и разбираться не стал - ну не верю я в интеллект фильтров на китайском свиче за $150! Тупо выключил - проблемы не стало.

3. Никаких safeguard. В правильно настроенном свиче мусор должен дропаться в асиках, не доходя до цпу. safeguard придуман для ленивых, не умеющих правильно настраивать вланы, шторм-фильтры и мультикаст.

4. АЦЛ делает привязку IP - порт, порядок такой:

- на каждом абонентском порту разрешаем по протоколу 0х0806 анонс только ip юзера;

- запрещаем весь броадкаст;

- запрещаем нетбиос;

- разрешаем source-ip на порту юзера;

- запрещаем все.

5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана.

 

Сеть работает как часы, никаких зависаний, штормов, "отсыханий интерфейсов" и прочей хрени. Картинка в IPTV не рассыпается. Админы спят спокойно. :)

поделитесь конфигом ;)

Изменено 18 февраля, 2011 пользователем Butch3r

[darkagent]

loopback разве не поможет?

в пределах одного коммутатора да, через разные коммутаторы - уже нет.

[Alexandr Ovcharenko]

loopback разве не поможет?

в пределах одного коммутатора да, через разные коммутаторы - уже нет.

Блин, что мне - весь конфиг расписывать? Ежу понятно, что на клиентских портах lbd enable - выше уже писали об этом.

Что касается петли через разные свичи - я же написал кажется ясно - "вся сеть - звезда". Каким Макаром два доморощенных кулхацкера сделают двумя домашними хабами мне петлю через 2 моих разных свича? Свой провод между ними натянут? Не знаю, почему у Вас это бывает часто, у нас в городе не было ни разу. Но даже и в этом случае проблему можно полечить включением порт-секурити с ограничением в 2-3 МАС на клиентских портах + поменьше трэшолд броадкаст шторма выставить. Делов-то.

[darkagent]

Есть и хитрожопые кто кабели тянут, бывают и случаи когда приходишь строить сеть в район, где в свое время была "любительская" сетка. Бывают и хитрожопые ситуации когда на доме присутствует несколько операторов. lbd stp-based ? тогда он будет работать только если работает сам stp. если port-based loopdetect - то он только в пределах одного коммутатора ходит, хотя в свое время длинки обещали этот момент допилить. port-sec + traffic control threshold конечно хорошо, но через непродолжительное время в пределах коммутатора начинается такая ахинея, что все абоненты с данного коммутатора начинают люто брызжать пеной изо рта с криками FUUuuUUuuuuuuu.

[Lynx10]

Свой провод между ними натянут? Не знаю, почему у Вас это бывает часто, у нас в городе не было ни разу.

а зачем кабель - достаточно вафлю в режиме бриджа

 

[Negator]

У меня так:

1. Никаких STP и bpdu. Вся сеть - звезда. Соответственно, какой бы bpdu-хлам не послал юзер - сети фиолетово. Резервирование на доступе нужно только для сильно-сильно-вип-клиентов, и делается оно с помощью LACP. Резервирование рапсределения-агрегации-ядра с помощью ospf.

2. Никаких dos_protection. Не знаю почему, но при включении оных клиенты начинали жаловаться на дропы пакетов, в том числе и icmp. Я даже и разбираться не стал - ну не верю я в интеллект фильтров на китайском свиче за $150! Тупо выключил - проблемы не стало.

3. Никаких safeguard. В правильно настроенном свиче мусор должен дропаться в асиках, не доходя до цпу. safeguard придуман для ленивых, не умеющих правильно настраивать вланы, шторм-фильтры и мультикаст.

4. АЦЛ делает привязку IP - порт, порядок такой:

- на каждом абонентском порту разрешаем по протоколу 0х0806 анонс только ip юзера;

- запрещаем весь броадкаст;

- запрещаем нетбиос;

- разрешаем source-ip на порту юзера;

- запрещаем все.

5. Мультикасты на доступе в ISM Vlan, qos - strict. В ядре мультикасты красятся в dscp 56 (для сохо-роутеров у клиентов) + приоритет 5 в тэге влана.

 

Сеть работает как часы, никаких зависаний, штормов, "отсыханий интерфейсов" и прочей хрени. Картинка в IPTV не рассыпается. Админы спят спокойно. :)

У нас точно также.

Но вся сеть на 3526 пока.

Сейчас начинают появляться 3028. Не поделитесь конфигом. А то свич другой в плане обработки ACL и не хочется перелопачивать весь конфиг заново.

[UglyAdmin]

У 3028 проблема с хешем. Можно словить экзотические глюки, если виланы идут на несколько портов.

[dZen]

Ну про хеш наверное все вкурсе, но если топология звезда, то это беспокоить особо не должно.

[darkagent]

Ну про хеш наверное все вкурсе, но если топология звезда, то это беспокоить особо не должно.

если есть iptv, это вас начнет беспокоить очень очень быстро. сам когда то зарекался, теперь прорабатываю варианты реорганизации сегментов сети, чтоб избежать подобного.

[mukca]

У 3028 проблема с хешем. Можно словить экзотические глюки, если виланы идут на несколько портов.

проблема есть но не надо допускаться чтобы на свитче было много маков. чем меньше маков тем незаметнее проблема и даже наверное вообще отсутствие таковой.. если конечно у вас на свитче 1000 маков будет и больше

 

если есть iptv, это вас начнет беспокоить очень очень быстро. сам когда то зарекался, теперь прорабатываю варианты реорганизации сегментов сети, чтоб избежать подобного.

если нет цепочек свитчей то небудет беспокоить

 

Есть и хитрожопые кто кабели тянут, бывают и случаи когда приходишь строить сеть в район, где в свое время была "любительская" сетка. Бывают и хитрожопые ситуации когда на доме присутствует несколько операторов. lbd stp-based ? тогда он будет работать только если работает сам stp. если port-based loopdetect - то он только в пределах одного коммутатора ходит, хотя в свое время длинки обещали этот момент допилить. port-sec + traffic control threshold конечно хорошо, но через непродолжительное время в пределах коммутатора начинается такая ахинея, что все абоненты с данного коммутатора начинают люто брызжать пеной изо рта с криками FUUuuUUuuuuuuu.

лечится правильно настроенным трафик контролем.

[s.lobanov]

Никаких STP и bpdu. Вся сеть - звезда.

два соседа взяли по хабу, и закольцевали два порта на одном коммутаторе, а то и на разных коммутаторах. ваши действия? что печально - неоднократно с таким сталкивались.

На разных коммутаторах сажаем абонентов в разные вланы и пускай закольцовывают.

[mukca]

Сейчас начинают появляться 3028. Не поделитесь конфигом. А то свич другой в плане обработки ACL и не хочется перелопачивать весь конфиг заново.

непомню откуда

//запрет левых DHCP

create access_profile ip udp src_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id auto_assign ip udp src_port 67 port 1-24 deny

config access_profile profile_id 4 add access_id auto_assign ip udp src_port 68 port 1-24 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 5

config access_profile profile_id 5 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

config access_profile profile_id 5 add access_id auto_assign ip udp dst_port 67 port 1-24 permit

 

//Запрет netbios

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 1900 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 7

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 135 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 137 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 138 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 139 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 445 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 2869 port 1-28 deny

 

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 10

config access_profile profile_id 10 add access_id 1 ip source_ip x.x.x.x destination_ip 0.0.0.0 port 1 permit

 

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 20

config access_profile profile_id 20 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

покопался в избранном вот еще чуть правил ACL для DES-3526

(чесно непонмю где нашел или туту ан форуме или ан сайте длинка)

 

вот от одного автора

#------------------------------------------------------------------------------

# запрещение:

# протокол IP + пакет не фрагментирован + порт

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2

# 135

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny

# 137

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny

# 138

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny

# 139

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny

# 445

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny

 

 

#------------------------------------------------------------------------------

# запрещение:

# протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3

# 67

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny

# 68

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny

# 1900

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny

# 2869

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny

 

#------------------------------------------------------------------------------

# разрешение:

# IP адреса

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 10

 

 

#------------------------------------------------------------------------------

# запрещение:

# любой траффик IP адреса

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 20

config access_profile profile_id 20 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

вот от другова

#------------------------------------------------------------------------------

# разрешение:

# определенный VLAN

create access_profile ethernet ethernet_type vlan profile_id 1

config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 vlan default port 1-26 permit priority 7 replace_priority replace_dscp_with 63

config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x800 vlan default port 1-26 permit priority 7 replace_priority replace_dscp_with 63

 

 

#------------------------------------------------------------------------------

# запрещение:

# протокол IP + пакет не фрагментирован + порт

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2

# 135

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny

# 137

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny

# 138

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny

# 139

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny

# 445

config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny

 

 

#------------------------------------------------------------------------------

# запрещение:

# протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3

# 67

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny

# 68

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny

# 1900

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny

# 2869

config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny

 

 

#------------------------------------------------------------------------------

# запрещение внутри РРРоЕ:

# РРРоЕ сессия + протокол IP + пакет не фрагментирован + порт

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff0000 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 4

# 135

config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00870000 0x0 0x0 0x0 port 1-24 deny

# 137

config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00890000 0x0 0x0 0x0 port 1-24 deny

# 138

config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008a0000 0x0 0x0 0x0 port 1-24 deny

# 139

config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008b0000 0x0 0x0 0x0 port 1-24 deny

# 445

config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x01bd0000 0x0 0x0 0x0 port 1-24 deny

 

 

#------------------------------------------------------------------------------

# запрещение внутри РРРоЕ:

# РРРоЕ сессия + протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff00ff 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 5

# 67 (UDP)

config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000011 0x0 0x0 0x0 offset_48-63 0x00430000 0x0 0x0 0x0 port 1-24 deny

# 1900(UDP)

config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000011 0x0 0x0 0x0 offset_48-63 0x076c0000 0x0 0x0 0x0 port 1-24 deny

# 2869 (TCP)

config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000006 0x0 0x0 0x0 offset_48-63 0x0b350000 0x0 0x0 0x0 port 1-24 deny

 

 

#------------------------------------------------------------------------------

# разрешение:

# ARP + PPPoE

create access_profile ethernet ethernet_type profile_id 6

config access_profile profile_id 6 add access_id XX ethernet ethernet_type 0x806 port XX permit

config access_profile profile_id 6 add access_id 25 ethernet ethernet_type 0x8863 port 1-24 permit

config access_profile profile_id 6 add access_id 50 ethernet ethernet_type 0x8864 port 1-24 permit

 

 

#------------------------------------------------------------------------------

# запрещение:

# бродкасты

create access_profile packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 profile_id 7

config access_profile profile_id 7 add access_id 1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 port 1-24 deny

 

 

#------------------------------------------------------------------------------

# разрешение:

# IP адреса

create access_profile ip source_ip_mask 255.255.255.255 profile_id 8

config access_profile profile_id 8 add access_id XX ip source_ip 111.222.333.444 port XX permit

 

 

#------------------------------------------------------------------------------

# запрещение:

# любой траффик

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9

config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

думаю ктонибуть чтониубть полезное найдет

Изменено 18 февраля, 2011 пользователем mukca

[Alexandr Ovcharenko]

У нас точно также.

Но вся сеть на 3526 пока.

Сейчас начинают появляться 3028. Не поделитесь конфигом. А то свич другой в плане обработки ACL и не хочется перелопачивать весь конфиг заново.

У нас зоопарк из 3526, 3200-28, 3200-26 и 3528. Свичи 3028 даже пробовать не стали после того, как длинки признали проблему хэша.

Советую Вам обратить внимание на 3528. Их уже можно нарыть по цене, сопоставимой с 3200-26.

Что касается ацлей, то в серии 3200 (в отличие от 3526) через жопу сделано PCF. Надо все профили делать на PCF. По-другому делать не получится - часть профилей тупо не будет работать.

# ACL
# разрешаем arp-анонсы конкретных ip
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l2 16 0xFFFF  offset3 l2 18 0xFFFF  profile_id 1
config access_profile profile_id 1  add access_id 56  packet_content   offset1 0x0806 offset2 0x0a00 offset3 0x0038 port 4 permit
# запрещаем любой arp
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 2
config access_profile profile_id 2  add access_id 400  packet_content   offset1 0x0806 port 1-24 deny
# запрещаем broadcast
create access_profile  packet_content_mask   destination_mac FF-FF-FF-FF-FF-FF  offset1 l2 0 0x0  profile_id 3
config access_profile profile_id 3  add access_id 200  packet_content   destination_mac FF-FF-FF-FF-FF-FF  port 1-24 deny
# запрещаем netbios
create access_profile  packet_content_mask   offset1 l4 2 0xFFFF  profile_id 4
config access_profile profile_id 4  add access_id 300  packet_content   offset1 0x0087 port 1-28 deny
config access_profile profile_id 4  add access_id 310  packet_content   offset1 0x0089 port 1-28 deny
config access_profile profile_id 4  add access_id 320  packet_content   offset1 0x008a port 1-28 deny
config access_profile profile_id 4  add access_id 330  packet_content   offset1 0x008b port 1-28 deny
config access_profile profile_id 4  add access_id 340  packet_content   offset1 0x01bd port 1-28 deny
# разрешаем ip
create access_profile  packet_content_mask   offset1 l3 12 0xFFFF  offset2 l3 14 0xFFFF  profile_id 5
config access_profile profile_id 5 add access_id 56 packet_content   offset1 0x0a00 offset2 0x0038 port 4 permit
# запрещаем все
create access_profile  packet_content_mask   offset1 l2 0 0x0  profile_id 10
config access_profile profile_id 10  add access_id 65000  packet_content   port 1-24 deny

В примере на порту 4 разрешен доступ в сеть абоненту с ip 10.0.0.56

Изменено 18 февраля, 2011 пользователем Alexandr Ovcharenko

[kf72]

...не умеющих правильно настраивать вланы...

В контексте темы. Что лучше : private vlan или влан на коммутатор ?

[bos9]

config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state ena

- типовая конфигурация портов доступа

config stp ports 25-26 (25-28) restricted_tcn true restricted_role false fbpdu disable state ena

- типовая конфигурация магистральных портов

а зачем на портах доступа стп включать?

[FIGO]

bos9

чтобы петли между портами ловить, длинк обещал сделать чтобы lbd ловил и между портами петли (не знаю сделали или нет) если нет, тогда через stp

[xcme]

На 3200 сделано, а LDB в STP вообще отсутствует теперь.

[FIGO]

xcme

а на 3526 и 3028 не сделали еще?

Изменено 20 февраля, 2011 пользователем FIGO

[ingress]

xcme

а на 3526 и 3028 не сделали еще?

на 3526 вряд ли будет, на 3028 в R3 будет.

 

[darkagent]

На 3200 сделано, а LDB в STP вообще отсутствует теперь.

в stp есть такое состояние как blocked alternative/backup. чем не lbd ?

[Hawk128]

Помогите с конфигом ISM-VLAN к 3528.

Есть циска вышестоящего. На ней PIM SM. К нам приходит в отдельном влане. Пробовал у себя по 3528-м раздавать это чудо. Все было неплохо, но сейчас временно появились длинные лучи (по 5-6 свитчей в цепочке) + еще не везде упраляемый свитчи, еще не все модернизировали. Так вот, дальние свитчи начали виснуть. Совсем встает, ни на что не отвечает, состояние порта изменить не может (т.е. есди был включен на момент зависания - выключить не может, даже если шнур из порта выдернуть, порт горит, что типа есть клиент). Но при этом в соответствии с настройками вланов между живыми данные передает. Если IPTV гашу - свитчи не виснут.

есть ли у кого похожий конфиг железа? Можете конфигом для свитча поделиться?

[xcme]

На 3200 сделано, а LDB в STP вообще отсутствует теперь.

в stp есть такое состояние как blocked alternative/backup. чем не lbd ?

Оно там и раньше было, а вот лбд убрали.

[darkagent]

Оно там и раньше было, а вот лбд убрали.

удивительно, но после того как lbd убрали из stp, stp стал нормально отрабатывать. я к тому что, когда раньше кольцевал абонентские порты через 3 устройства, на стенде получал такое, что плакать хотелось. и приходилось чем то одним жертвовать - или обнаружением локальной петли и флудящего порта (port-based lbd), или обнаружением кольца топологии (stp-based lbd). вместе оно работало через одно место, особенно если клиентские порты в разных вланах оказывались.

а сейчас все отрабатывает вполне предсказуемо и, наудивление, как надо.