Megas Опубликовано 11 ноября, 2011 · Жалоба Уважаемый All. Вот и дошла очередь до настройки свичей и причесания сабжа в божеский вид. Сейчас стоит пара DES-3200-10, но планируется их сотня не меньше. Прошу посмотреть и наставить на путь истинный в отношении их конфигурирования для макс безопасности и все такое... планируется юзать Option 82 Сейчас заливаемый конфиг выглядит так: create account admin Admin enable password encryption create vlan management tag 3900 config vlan management add tagged 9-10 config ipif System vlan management ipaddress 192.168.245.11/24 state enable create iproute default 192.168.245.1 config vlan default delete 1-10 create vlan vlan101 tag 101 advertisement config vlan vlanid 101 add untagged 1-8 config vlan vlanid 101 add tagged 9-10 ### Пока пропускаем config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout #Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами config stp version rstp config stp ports 1-8 fbpdu disable state disable ##И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5 #Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-8 state enable config loopdetect ports 9-10 state disable ### Фильтруем DHCP сервера на клиенте config filter dhcp_server ports 1-8 state enable config traffic_segmentation 1-8 forward_list 9-10 enable syslog create syslog host 1 ipaddress 192.168.245.1 severity all # Дополнение релея enable dhcp_relay config dhcp_relay option_82 state enable config dhcp_relay option_82 check enable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default config dhcp_relay add ipif System 192.168.245.1 enable dhcp_local_relay config dhcp_local_relay vlan vlan101 state enable #### настройка GVRP enable gvrp config gvrp 9-10 state enable ingress_checking disable Как бы все работает что надо для начала, но не хватает: SNMP мониторинг. MAC-NOTIFICATION. И возник спор, что эффективнее: config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout эта опция не работает если включен dhcp_snoop или enable address_binding dhcp_snoop Как раз остановился вчера на enable address_binding dhcp_snoop и залил такие настройки: enable address_binding dhcp_snoop config address_binding dhcp_snoop max_entry ports 1-8 limit 5 config address_binding ip_mac ports 1-8 state enable config address_binding ip_mac ports 1-8 allow_zeroip enable config address_binding ip_mac ports 1-8 forward_dhcppkt disable ### в доплнение disable address_binding acl_mode enable address_binding trap_log B получил блокировку мака клиента сходу, хотя мак прилетал через Option 82 попытки его вырезать из состояния блокировки в таблице fdb ничему не привели, пробовал так: delete fdb vlan101 mac 00-85-f2-44-43-34 delete address_binding blocked all и прочие манипуляции с delete address_binding * мак оставался заблочиным пока reset config force agry не сделал. Так что, прошу помощи по настройке: enable address_binding dhcp_snoop ведь хотелось бы использовать все преимущества управляемой сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 11 ноября, 2011 · Жалоба config dhcp_relay option_82 state enable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy keep config address_binding ip_mac ports 1-8 forward_dhcppkt enable На свиче можно использовать либо IP-MAC-Binding, либо Port-Security. Первое - блокирует невалидные MAC адреса, второе - некомутирует невалидные MAC адреса. Причем проверка валидности MAC адреса в обоих случаях разная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 11 ноября, 2011 · Жалоба Интересует случай когда: Есть порт, есть клиент, идет запрос на сервер dhcp идет ответ к определенному маку на порту свича. Не хочу заморачиватся с пробиванием где либо маков, но чтобы и сосед по порту на свиче не мог прописать сам себе ip другого порта. Извиняюсь конечно если не правильно выражаюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 11 ноября, 2011 · Жалоба чтобы и сосед по порту на свиче не мог прописать сам себе ip другого порта Для этого есть ACL, запрещающий что-либо не с разрешённого IP. В случае с VLAN-per-User - вообще неактуально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 11 ноября, 2011 · Жалоба Да, но сейчас не хотелось бы заморачиватся с acl, а хотелось бы более просто и элегантное решение данной задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 11 ноября, 2011 · Жалоба более просто и элегантно VLAN-per-User Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 25 ноября, 2011 · Жалоба Можно ли как-то в свичах DES 3200-10 посмотреть статистику по срабатыванию правил ACL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 25 ноября, 2011 · Жалоба более просто и элегантно VLAN-per-User Deac! Ожидал от Вас ответа "PPPoE", что-то изменилось? (: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 ноября, 2011 · Жалоба более просто и элегантно VLAN-per-User Deac! Ожидал от Вас ответа "PPPoE", что-то изменилось? (: Одно другому не мешает :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 25 ноября, 2011 · Жалоба И снова полезли косяки клиентов, стоит у абона роутер в который заходит мой шнурок, чудесным образом с клиентского порта начали сыпаться ip вида 10.1.64.* хотя наша внутренния сеть: 192.168.*.* сегодня с утра пришлось отключить config address_binding ip_mac и попробовать перейти на acl с привязкой ip+port собственно теперь вопрос: а как определить что это клиентский роутер начал гнать пургу в сеть? раньше это можно было через лог выяснить. и как в обще посмотреть с каким ip сидит клиент на порту коммутатора, да и в обще как можно отдельно прослушать порт клиента сидя у себя в серверной, при условии что используется vlan на свич, неужели все таки прийдеться переходить на vlan на абонента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 25 ноября, 2011 · Жалоба А надо ли ? Привязали АЦЛем к порту ип - все. То,что шлет клиент левые ип, это его проблемы не ваши.Выйдет только с тем что привязан. У меня по опт82 выдаются ип с помощью дшцп для удобства клиентам эти же ип прибиты к портам.А роутер там гонит или у клиента вирь меня не волнует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KotikBSd Опубликовано 25 ноября, 2011 · Жалоба Работаем на длинках, используем mac-ip-port-binding встроенный, особо некто не жалуется, более 3000 абонентов. Один раз попался кривой видеорегистратор сетевой, срал в сеть каким-то левым ип. И есть один абонент у которого дома чуть ли не серверная, стоит несколько машин под виндой, на них ещё виртуалки, и бывает что они срут внутренней виртуальной подсетью. Но у него к нам никаких претензий, он понимает что это его железо косячит. Так что особо проблем нет с биндингом, не нужно панику разводить из-за пары абонентов с кривым железом :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 26 ноября, 2011 · Жалоба KotikBSd дай бог, будет у вас 50 000 абонентов и заговорите вы по другому... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 26 ноября, 2011 · Жалоба ACL неудобно, оно требует очень умного механизма SA, предусматривающего, что удалённые свитчи могут быть по каким-то причинам недоступны в момент этого самого SA и т. д. Используем нативный длинковский IMPB с DHCP Snooping, проблемы были на 2.08 и 2.60, с 2.71 все проблемы исчезли. Абонентов - 9к примерно. Полёт чудесный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 26 ноября, 2011 · Жалоба И есть один абонент у которого дома чуть ли не серверная, стоит несколько машин под виндой, на них ещё виртуалки, и бывает что они срут внутренней виртуальной подсетью. Такому чудику я бы отдельный VLAN выдал с /30, без всяких биндингов, на Вашем месте :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 27 ноября, 2011 · Жалоба GFORGXничего сверхъестественного оно не требует. Продуманная логика выдачи ip, тюнинг дхцп сервера и простенькую САР для контроля ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 27 ноября, 2011 · Жалоба простенькую САР для контроля ACL. Окей - на узле нет света 31-го и 1-го числа, двое суток. Или же файберкат. Как Ваша простенькая САР сможет обновить ACL? А если что-то случится с сервером, который это осуществляет? Глупая и бессмысленная точка отказа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 27 ноября, 2011 · Жалоба GFORGX вы просто придумали себе проблему и пытаетесь решить её в лоб, всё гораздо проще и безотказнее... 2 года ~50k абонентов работают без проблем по такой схеме. И САР нужна только что бы проверять не снёс ли кто по ошибке ацл или не забыл ли настроить коммутатор после замены, ну и в автомате прописывать настройки по шаблону. САР можно выключить на любой срок - сеть будет работать без сбоев. Собственно говоря: вся информация о клиентах, вланах, каналах,... хранится в БД. Самой сетью заниматься особо не нужно: внёс изменения в БД, САР с n-ой попытки достучалась до коммутатора и поправила конфиг. Если недостучалась - иницировала аварию. Тех служба разобралась и починила. Если надо включиться прямо сейчас - зашёл на коммутатор, создал влан, сунул в него порт. А все ацл, qos, портсеки и прочую лабудень за тебя навешает машина автоматом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 27 ноября, 2011 · Жалоба У вас так часто меняются пользователи на порту ? У нас скрипт отрабатывает 2 раза в неделю. По умолчанию все порты открыты. Я не уверен что за неделю появиться кульхацкер который подменит мак и ип другого клиента в своем влане. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 27 ноября, 2011 · Жалоба А надо ли ? Привязали АЦЛем к порту ип - все. То,что шлет клиент левые ип, это его проблемы не ваши.Выйдет только с тем что привязан. У меня по опт82 выдаются ип с помощью дшцп для удобства клиентам эти же ип прибиты к портам.А роутер там гонит или у клиента вирь меня не волнует. +1. Мы также работаем. Используем нативный длинковский IMPB с DHCP Snooping, проблемы были на 2.08 и 2.60, с 2.71 все проблемы исчезли. Абонентов - 9к примерно. Полёт чудесный. а вот на 3526 пробовали? Я пробовал, но давно, и были проблемы. Сейчас софт вылизали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 27 ноября, 2011 · Жалоба GFORGX вы просто придумали себе проблему и пытаетесь решить её в лоб, всё гораздо проще и безотказнее... Да я-то себе никакую проблему не придумывал, это ваш сервис-активейшн мне проблемой страшной кажется (: 2 года ~50k абонентов работают без проблем по такой схеме. И САР нужна только что бы проверять не снёс ли кто по ошибке ацл или не забыл ли настроить коммутатор после замены, ну и в автомате прописывать настройки по шаблону. САР можно выключить на любой срок - сеть будет работать без сбоев. Рискну предположить - доступ в интернет тоже блокируется на основе ACL/iptables на терминирующем роутере? Рад за Вас, у Вас очень мегапрямые руки, если у вас всё это обновление ACL всегда успешно работает, и никто из должников не сидит в этих ваших интернетах или наоборот :) Собственно говоря: вся информация о клиентах, вланах, каналах,... хранится в БД. Самой сетью заниматься особо не нужно: внёс изменения в БД, САР с n-ой попытки достучалась до коммутатора и поправила конфиг. Если недостучалась - иницировала аварию. Тех служба разобралась и починила. Если надо включиться прямо сейчас - зашёл на коммутатор, создал влан, сунул в него порт. А все ацл, qos, портсеки и прочую лабудень за тебя навешает машина автоматом. Да я не спорю с вами, у меня всё тоже хранится в табличке мускульной базы, только никакого сервис-активейшна у меня нет. Используем нативный длинковский IMPB с DHCP Snooping, проблемы были на 2.08 и 2.60, с 2.71 все проблемы исчезли. Абонентов - 9к примерно. Полёт чудесный. а вот на 3526 пробовали? Я пробовал, но давно, и были проблемы. Сейчас софт вылизали? 3526 у меня нету, вся сеть на 3528/3552. 2.08 и 2.71 - как небо и земля, действительно, вылизано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 28 ноября, 2011 · Жалоба искну предположить - доступ в интернет тоже блокируется на основе ACL/iptables на терминирующем роутере? Авторизация в интернет работает на CISCO ASR-1000. Доступ к локальным ресурсам блокируется ацлем, так же ацл выставляет приоритеты CoS по типам трафика. Всё работает как часы. это ваш сервис-активейшн мне проблемой страшной кажется (: Вот это я и называю "придумали себе проблему и пытаетесь решить её в лоб". Гибче надо быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 1 марта, 2012 · Жалоба Мы используем DES-3200-28 с dhcp_opt82, на них настраиваем ACL'ки такого вида (на порту разрешаем по 8 ip адресов): create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 16 0xFFFF offset3 l2 18 0xFFF8 profile_id 252 create access_profile ip source_ip_mask 255.255.255.248 profile_id 253 create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 254 create access_profile ip source_ip_mask 000.000.000.000 profile_id 255 config access_profile profile_id 252 add access_id auto_assign packet_content offset1 0x0806 offset2 0x0A35 offset3 0x0008 port 1 permit config access_profile profile_id 253 add access_id auto_assign ip source_ip 10.53.0.8 port 1 permit config access_profile profile_id 254 add access_id auto_assign packet_content offset1 0x0806 port 1 deny config access_profile profile_id 255 add access_id auto_assign ip source_ip 000.000.000.000 port 1 deny config access_profile profile_id 252 add access_id auto_assign packet_content offset1 0x0806 offset2 0x0A35 offset3 0x0010 port 2 permit config access_profile profile_id 253 add access_id auto_assign ip source_ip 10.53.0.16 port 2 permit config access_profile profile_id 254 add access_id auto_assign packet_content offset1 0x0806 port 2 deny config access_profile profile_id 255 add access_id auto_assign ip source_ip 000.000.000.000 port 2 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 1 марта, 2012 (изменено) · Жалоба Еще полезно 1)Разрешить логирование команд enable command logging 2)Раз есть сислог, настроить ntp, чтобы в него сыпалось адекватное время enable sntp config time_zone operator + hour 4 min 0 config sntp primary xxx.xxx.xxx.xxx secondary xxx.xxx.xxx.xxx poll-interval 600 3)Т.к. в 3200 есть проблемы с хэшами, порезать юникаст, который направляется маку, не попавшему в таблицу коммутации - пусть лучше только у одного будет плохо со скоростью, чем он нескольким подгадит торрентами/локалкой config traffic control 1-8 broadcast enable multicast enable unicast enable action drop threshold [b]xxx[/b] countdown 0 time_interval 5 4)Snmp трапы enable snmp traps enable snmp authenticate_traps enable snmp linkchange_traps config snmp linkchange_traps ports all enable create snmp host xxx.xxx.xxx.xxx v2c public Пользуем в 3200-28, думаю и в 3200-10 есть Изменено 1 марта, 2012 пользователем sexst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...