[kashsash]

Есть такая шпаргалка

 

Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты — клиентские, гигабитные порты — аплинки.

create vlan USER tag 2 create vlan MANAGEMENT tag 3 config vlan USER add untagged 1-8 config vlan USER add tagged 9-10 config vlan MANAGEMENT add tagged 9-10

Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)

config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами

config stp version rstp config stp ports 1-8 fbpdu disable state disable

Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети

enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-8 state enable config loopdetect ports 9-10 state disable

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).

create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny

И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.

config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5

 

 

 

Необходимо переделать команды применительно к SNR-S2940-8G-v2

Заранее спасибо за помощь

Изменено 25 июня, 2013 пользователем kashsash

[kashsash]

Как сконфигурировать через WEB ???

К сожалению, пока мало знаком с консолью

Готов отблагодарить за помощь

Изменено 10 июля, 2013 пользователем kashsash

[AlexSt]

DLink:

create vlan USER tag 2

create vlan MANAGEMENT tag 3

config vlan USER add untagged 1-8

config vlan USER add tagged 9-10

config vlan MANAGEMENT add tagged 9-10

SNR:

conf t

vlan 2;3

interface Ethernet1/1-8

switchport mode access

switchport access vlan 2

exit

interface Ethernet1/9-10

switchport mode trunk

switchport trunk allowed vlan 2,3

exit

interface Vlan3

ip address x.x.x.x y.y.y.y //x.x.x.x IP ,y.y.y.y -Mask

exit

ip default-gateway z.z.z.z //шлюз

exit

write

Y

 

Как то так

Изменено 6 августа, 2013 пользователем AlexSt