Sonneandsky Posted February 9, 2012 Posted February 9, 2012 (edited) Доброго времени суток. Есть плоская сеть, нужно ее разбить на подсети. Доступ пользователей по PPoE (перход на IPoE пока не возможен) На стенде DGS 3120-24SC и коммутаторы доступа DES 3200-26 на DGS 3120-24SC create account admin ******** create account user ******* enable telnet **** disable web config vlan default delete 1-24 create vlan vlan2001 tag 2001 (управляющий vlan для коммутаторов) create vlan vlan1001 tag 1001 create vlan vlan1002 tag 1002 create vlan vlan1003 tag 1003 create vlan vlan1004 tag 1004 create vlan vlan1005 tag 1005 config vlan vlan2001 add tagged 1-24 config vlan vlan1001 add tagged 1:9 config vlan vlan1002 add tagged 1:10 config vlan vlan1003 add tagged 1:11 config vlan vlan1004 add tagged 1:12 config vlan vlan1005 add tagged 1:13 config ipif System ipaddress 10.90.90.90/8 vlan default state disable create ipif if1001 10.0.1.2/24 vlan1001 state enable create ipif if1002 10.0.2.2/24 vlan1002 state enable create ipif if1003 10.0.3.2/24 vlan1003 state enable create ipif if1004 10.0.4.2/24 vlan1004 state enable create ipif if1005 10.0.5.2/24 vlan1005 state enable create ipif if2001 172.20.10.1/24 vlan2001 state enable на одном из DES 3200-26 create account admin superadmin create account user simpleuser enable telnet 6000 disable web create trusted_host ххххх config vlan default delete 1-26 create vlan vlan1001 tag 1001 config vlan vlan1001 add untagged 1-24 config vlan vlan1001 add tagged 25-26 create vlan vlan2001 tag 2001 config vlan vlan2001 add tagged 25-26 config ipif System vlan vlan2001 ipaddress 172.20.10.2/24 state enable config stp version rstp config stp ports 1-24 fbpdu disable state disable enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-24 state enable config loopdetect ports 25-26 state disable create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny config traffic control 1-24 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5 Есть вопросы: 1.Все ли правильно для DGS 3120-24SC? 2.Есть web сервер можно ли сделать на него маршрутизацию на DGS 3120-24SC ? 3.На доступе хочется защитится от левых DHCP правильно ли написал ACL create access_profile ip udp src_port_mask 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id auto_assign ip udp src_port 67 port 1-24 deny config access_profile profile_id 5 add access_id auto_assign ip udp src_port 67 port 25 permit Может еще что подскажите;) Edited February 9, 2012 by Sonneandsky Вставить ник Quote
Deac Posted February 9, 2012 Posted February 9, 2012 Есть плоская сеть, пришла пора сегментировать. В приведённых конфигах сегментация отсутствует. Вставить ник Quote
darkagent Posted February 9, 2012 Posted February 9, 2012 dgs-3120 - l2+ коммутатор, а вы на него еще и l3 подвешиваете. очень быстро повесится. Вставить ник Quote
Sonneandsky Posted February 9, 2012 Author Posted February 9, 2012 В приведённых конфигах сегментация отсутствует. Не правильно выразился Вставить ник Quote
Sonneandsky Posted February 9, 2012 Author Posted February 9, 2012 dgs-3120 - l2+ коммутатор, а вы на него еще и l3 подвешиваете. очень быстро повесится. Пока так, думаю успеет Cisco WS-C3550-12G приехать Вставить ник Quote
vurd Posted February 9, 2012 Posted February 9, 2012 3.На доступе хочется защитится от левых DHCP правильно ли написал ACL create access_profile ip udp src_port_mask 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id auto_assign ip udp src_port 67 port 1-24 deny config access_profile profile_id 5 add access_id auto_assign ip udp src_port 67 port 25 permit config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25 state disable Вставить ник Quote
NiTr0 Posted February 9, 2012 Posted February 9, 2012 Поставьте тазик баксов за 400, отроутит пару гигабит прекрасно при наличии адекватных сетевух. И не насилуйте L2 свич в особо извращенной форме - все равно толкового с этого ничего не выйдет. Вставить ник Quote
Sonneandsky Posted February 9, 2012 Author Posted February 9, 2012 (edited) И не насилуйте L2 свич в особо извращенной форме - все равно толкового с этого ничего не выйдет. ясно Поставьте тазик баксов за 400, отроутит пару гигабит прекрасно при наличии адекватных сетевух Спасибо подумаем Edited February 9, 2012 by Sonneandsky Вставить ник Quote
vurd Posted February 9, 2012 Posted February 9, 2012 ну за чем цепляться к рисунку то? DGS 3120-24 в visio не нашел :( Причем здесь рисунок? Вам подсказывают, что коммутатор DGS-3120-24 не является полноценным коммутатором 3-его уровня, соответственно если вы заставите его этим заниматься, то ничего хорошего не выйдет. Вставить ник Quote
Sonneandsky Posted February 9, 2012 Author Posted February 9, 2012 Вам подсказывают, что коммутатор DGS-3120-24 не является полноценным коммутатором 3-его уровня, соответственно если вы заставите его этим заниматься, то ничего хорошего не выйдет. т.е. ему можно доверить только агрегацию? Вставить ник Quote
darkagent Posted February 9, 2012 Posted February 9, 2012 в 99% случаях он только как агрегация и используется. Вставить ник Quote
kf72 Posted February 9, 2012 Posted February 9, 2012 (edited) config traffic_segmentation 1-24 forward_list 25 (порт аплинк) на вланы 1001-1005 циска будет ругаться в чем прикол делать управляющий влан не 1(default) если он все равно один на всю сеть? чтоб враги не угадали ? Edited February 9, 2012 by kf72 Вставить ник Quote
d1m0n Posted February 9, 2012 Posted February 9, 2012 вопрос почти в тему, стоит ли использовать DGS-3120-24 как core switch в _предполагаемой_ сети из ~400-500 абонентов? По сути от железки требуется только L2, невысокая стоимость, хорошая стабильность, вланы, оптические и медные порты, коих в ней в самый раз или это плохая мысль? Просто поглядел на схему с железками и увидел часть своей задачи... Вставить ник Quote
dignity Posted February 9, 2012 Posted February 9, 2012 core switch l2? PPPoE что ли? Или плоская сеть? Вставить ник Quote
d1m0n Posted February 9, 2012 Posted February 9, 2012 dignity, да, в моем случае РРРоЕ, влан на дом, домов не много, конкурентов можно сказать нет, но все равно для начала я думаю не стоит брать что-то более серьезное, ведь в случае успеха потом можно эту железку поставить в самый нагруженный район, а в ядро поставить железку посолиднее. Вставить ник Quote
NiTr0 Posted February 10, 2012 Posted February 10, 2012 Я бы в ядро советовал DGS-3100. Дешевый, стекируемый, достаточно стабильный (у нас с парой в стеке проблем особых не было). И по цене демократичнее. + qinq поддерживает (что для схемы влан на абона весьма полезно). Одна его особенность - при кольце на каком-то порту он порт тушит, и не поднимает (или поднимает, но неудачно как-то, link down) :) К слову, если сеть на управляемом железе - смысла от PPPoE нет никакого. Один головняк и техподдержке, и абонам... Вставить ник Quote
Saab95 Posted February 10, 2012 Posted February 10, 2012 К слову, если сеть на управляемом железе - смысла от PPPoE нет никакого. Один головняк и техподдержке, и абонам... А балансировка нагрузки, отказоустойчивость? С PPPoE еще один тазик поставить, а с IPoE нужно затратить чуточку больше. Вставить ник Quote
Negator Posted February 10, 2012 Posted February 10, 2012 слову, если сеть на управляемом железе - смысла от PPPoE нет никакого. Один головняк и техподдержке, и абонам... ну смотря что за свичи. управляемое оборудование разное бывает. Вставить ник Quote
Sonneandsky Posted February 10, 2012 Author Posted February 10, 2012 config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25 state disable большое спасибо ;) config traffic_segmentation 1-24 forward_list 25 (порт аплинк) Спасибо про traffic_segmentation забыл ;) на вланы 1001-1005 циска будет ругаться До 1000 если сразу сделать проблем не будет (с циской) К слову, если сеть на управляемом железе - смысла от PPPoE нет никакого за DES-ми дерево неуправляемых комутаторов для начала я думаю не стоит брать что-то более серьезное, ведь в случае успеха потом можно эту железку поставить в самый нагруженный район, а в ядро поставить железку посолиднее. Именно так и рассуждаю я И не насилуйте L2 свич в особо извращенной форме - все равно толкового с этого ничего не выйдет. Удалил все интерфейсы на DGS-3120-24, временно роутить VLAN будет софтроутер. Вставить ник Quote
Shiva Posted February 10, 2012 Posted February 10, 2012 А почему DGS-3120 плохо роутит, тут столько воплей, а пруф где? Вставить ник Quote
NiTr0 Posted February 10, 2012 Posted February 10, 2012 А балансировка нагрузки, отказоустойчивость? С PPPoE еще один тазик поставить, а с IPoE нужно затратить чуточку больше. Отказоустойчивость IPoE тазика даже одного вполне себе достаточная. А при желании - можно и кластер запилить. за DES-ми дерево неуправляемых комутаторов Тогда да, печально. Хотя если руки к паялу стоят - их можно немного модифицировать, и сделать vlan per port... Вставить ник Quote
vurd Posted February 11, 2012 Posted February 11, 2012 А почему DGS-3120 плохо роутит, тут столько воплей, а пруф где? Может быть потому что тут половина форума плюется от L3 на DGS 3612\3627? Вы попробуйте как оно на L2+, потом расскажите, ценой своих нервов\абонентов. Вставить ник Quote
Shiva Posted February 11, 2012 Posted February 11, 2012 Есть у нас 3627G, молотит OSPF, работает хорошо уже 4 год. У соседней сети 3610 по BGP молотит более 2 гигов входящего + внутренний + PIM, тоже довольны :) Вставить ник Quote
Ilya Evseev Posted February 11, 2012 Posted February 11, 2012 Есть у нас 3627G, молотит OSPF, работает хорошо уже 4 год. У соседней сети 3610 по BGP молотит более 2 гигов входящего + внутренний + PIM, тоже довольны :) http://forum.nag.ru/forum/index.php?showtopic=71530&view=findpost&p=662965 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.