Перейти к содержимому
Калькуляторы

Подсеть /23 и коммутатор d-link DES-3028 L2

Имеется подсеть /23 с коммутатором d-link DES-3028 во главе и коммутаторами d-link DES-1016D на сегментах, сеть общественная.

Ранее в сети было 200-230 пользователей - проблем не возникало.

Сейчас число пользователей достигло ~400.

На L2 включены dhcp relay и ip-mac-port binding защита. Защита требуется от любителей "красивых" адресов, а также от любителей раздавать адреса (подключают роутеры, а некоторые личности, даже ADSL-модемы).

 

Наблюдаются следующие проблемы:

  • по вечерам, в пик нагрузи, "с завидной" регулярностью включается Safeguard Engine EXHAUSTED mode
  • в логах наблюдается огромное количество Blat Attack

 

Есть несколько идей по реорганизации сети.

 

Первый вариант:

  • Так как в коммутаторах d-link DES-1016D есть поддержка изоляции портов посредством port-based vlan - осуществлять обмен всеми пакетами на L2. Таким образом, будет "заглушена" работа сторонних dhcp-серверов, и перекрыт broadcast
  • Заменить DES-3028 на более мощный, так как при отключении защиты ip+mac - коммутатор справляется с нагрузкой

 

Второй вариант:

  • Аналогичным образом включить изоляцию портов на DES-1016D
  • Разбить сеть на ~200 tagged vlan (на каждый порт DES-1016D - по 1 vlan) без разбиения на подсети
  • На каждый vlan выдавать свой уникальный pool адресов из этой подсети
  • Отключить привязку ip+mac на L2
  • Установить маршрутизатор L3 для управления vlan'ами

 

Какой из вариантов лучше (или Ваш вариант)? Если заменять L2 - на какой (cisco не предлагать по финансовым соображениям)? - смотрели в сторону d-link DGS-3100-24. Имеется возможность заменить DES-3028 на Allied Telesyn AT-FS750/24, стоит ли? Если брать маршрутизатор - какой, или лучше собрать сервер для маршрутизации - связать его по гигабитному каналу с L2 - не будет ли потерь в производительности?

И последний вопрос: что может быть причиной такого количества Blat Attack - вирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в список проблем, при более тщательном анализе на первое место можете воткнуть коллизии хэшей маков на 3028. для /23 сетки это ожидаемо.

единого идеального пути реорганизации нет - у каждого он свой.

кто то меняет железки, кто то переделывает сетку в влан на свитч или влан на пользователя..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я по Д-линкам не спец, но разве DES-1016D умеет VLAN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я по Д-линкам не спец, но разве DES-1016D умеет VLAN?

По-моему, да. Но для этого нужно местами допаивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помойму автор вообще не понимает что делает, что происходит в его сети, что надо делать и зачем это надо делать.

Имеет смысл помогать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Автор как раз-таки понимает, что делает. А вот что происходит в точности - это и был вопрос. Что надо делать - тоже. Я только предложения вывдвинул. Знал бы как поступить - вообще б не спрашивал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. 3028 заменить на что то другое, ему в центре не место. Хотя бы 3526

2.Изоляцию портов включить на всех 1016

3. Настроить ACL на центральном свчие -убить весь netbios и броадкасты, убить DHCP ответы - это по минимуму.

4.Убрать IP-MAC. Сделать привязку ип-порт.

5.Отключить все blat attack за ненужностью

6.Вывести управление свичами в отдельный влан

 

Должно работать. работало нормально на похожих конфигурациях.

 

Не поможет - рубить подсети хотя бы на /24 а лучше влан на дом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

netbios, broadcast и dhcp и сейчас глушатся. А вот насчет пунктов 4 и 5 есть вопросы:

Blat Attack - это определение атаки, а Вы, стало быть, предлагаете отключить защиту от подобных атак? Или же я неверно понял?

Каким образом сделать привязку ip+port? В текущем DES-3028 есть только общая опция ip+mac+port binding. Или же на каждый порт DES-1016D завести по vlan'у, а на них уже выдавать свои адреса? Если можно, пожалуйста, более подробную схему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Blat Attack - это определение атаки

Вы действительно знаете как оно работает? О каких атаках вообще речь? Наверняка есть ложные срабатывания.

 

Каким образом сделать привязку ip+port?

 

ACL

 

Или же на каждый порт DES-1016D завести по vlan'у, а на них уже выдавать свои адреса?

можно и так.

 

Вообще то я не использовал 3028 на больших сегментах из за проблем с хешем.

Но 3526 в подобной схеме работали и не жужжали. Было и по 700 абонов в сегменте.

Позже разделили влан на дом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спрошу за одно и сам.

 

Сейчас сеть около 180 пльзователей. 3028 на дом. Все идут в центр волокном на 3627G. маска /16.

к одному из 3028 подключен неуправляемый комм. с 20 пользователями.

 

acl включен

-Запрет левых DHCP

-Запрет netbios

-броадкаст шторм

-луп детект

 

Читал что после 500 пользователей начинаются проблемы с хешем.

А то раз в неделю бывает проблема с мак адресом, меняем клиенту мак.

Что предложите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на каждый 3028 выделить отдельный влан с подсетью /24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас сеть около 180 пльзователей. 3028 на дом.

 

Читал что после 500 пользователей начинаются проблемы с хешем.

Это про 3200. У меня на 3028 менее 50 маков и уже 3 конфликтных пары.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас