FATHER_FBI Posted August 30, 2014 Posted August 30, 2014 (edited) Доброе утро коллеги. Хотелось бы совета от тех кто использует cisco на абонентском доступе. Кто как конфигурирует свои свичи? Вот пример моего конфига: Building configuration... Current configuration : 17448 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 4mikro-2d-2p ! aaa new-model aaa authentication login default group tacacs+ local-case aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization network default group tacacs+ local enable secret 5 *****. ! username admin privilege 15 secret 5 *****. errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause loopback ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent ! ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 4,117,304,1015 ! ! ! ! vlan 4 name Tupik ! vlan 117 name u117 ! vlan 1015 name ab1015 ! interface FastEthernet0/1 (абонентский порт) switchport trunk native vlan 1015 switchport trunk allowed vlan 1015 switchport mode trunk ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast ! * * * * * interface FastEthernet0/47 (абонентский порт) switchport trunk native vlan 1015 switchport trunk allowed vlan 1015 switchport mode trunk ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast ! interface FastEthernet0/48 (порт для доступа на свич прямо из ящика) description Management switchport trunk native vlan 117 switchport trunk allowed vlan 117 switchport mode trunk ! interface GigabitEthernet0/1 switchport trunk allowed vlan 117 switchport mode trunk ! interface GigabitEthernet0/2 (аплинк) description Uplink switchport trunk native vlan 4 switchport trunk allowed vlan 117,1015 switchport mode trunk ip dhcp snooping trust ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan117 ip address 172.16.117.122 255.255.255.0 no ip route-cache ! ip default-gateway 172.16.117.1 no ip http server (отключенный http сервер) logging trap notifications (отправка логов на удаленный сервер) logging facility local0 logging 172.16.30.55 access-list 100 remark dhcp_control (ACL которая режет абонентские DHCP) access-list 100 deny udp any eq bootps any access-list 100 permit ip any any no cdp run (отключенный протокол автообнаружения) snmp-server community public RO snmp-server community private RW snmp-server user private private v1 snmp-server user private private v2c snmp-server host 172.16.30.50 v2c snmp ifmib ifalias long tacacs-server host 172.16.30.57 (сервер авторизации) tacacs-server key 7 ****** ! line con 0 line vty 5 15 ! ! end Edited August 30, 2014 by FATHER_FBI Вставить ник Quote
zhenya` Posted August 30, 2014 Posted August 30, 2014 если уж spanning-tree portfast и транк то spanning-tree portfast trunk. но в чем смысл транк порта с нейтввланом в сторону абонента? Вставить ник Quote
FATHER_FBI Posted August 30, 2014 Author Posted August 30, 2014 если уж spanning-tree portfast и транк то spanning-tree portfast trunk. но в чем смысл транк порта с нейтввланом в сторону абонента? accessspanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. Вставить ник Quote
s.lobanov Posted August 30, 2014 Posted August 30, 2014 access spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими? Вставить ник Quote
FATHER_FBI Posted August 30, 2014 Author Posted August 30, 2014 (edited) access spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими? Вот вырезка с мана Настройка Port Fast на access-интерфейсе: sw(config)#interface fa0/1 sw(config-if)# spanning-tree portfast Настройка Port Fast на интерфейсе, который работает в режиме trunk (тегированый порт): sw(config)#interface fa0/1 sw(config-if)# spanning-tree portfast trunk Ну а с другой стороны, зачем лишний геморой, переписал конфиг на: interface FastEthernet0/1 switchport access vlan 1015 switchport mode access ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast Cisco не юриков, покупаем их по 30$ ведро. Короче за копейки, со своими функциями справляется не хуже того же самого d-link 3200 series Edited August 30, 2014 by FATHER_FBI Вставить ник Quote
zhenya` Posted August 30, 2014 Posted August 30, 2014 вот и я о чем. так лучше :) арп инспекшен не умеют ? я бы порт секьюрити еще включил с максимумом 1-2 мака. Вставить ник Quote
s.lobanov Posted August 30, 2014 Posted August 30, 2014 Вот вырезка с мана Настройка Port Fast на access-интерфейсе: но у вас-то был не access, а транк с нейтив влан ну ладно, с этим всё понятно. Я бы ещё bpdufilter воткнул и порт-изоляцию, но тут уже надо вдаваться в ваш дизайн в целом Вставить ник Quote
FATHER_FBI Posted August 30, 2014 Author Posted August 30, 2014 вот и я о чем. так лучше :) арп инспекшен не умеют ? я бы порт секьюрити еще включил с максимумом 1-2 мака. ip arp inspection не умеет ибо cisco 2950 А вот про switchport port-security можно по подробней? Вставить ник Quote
s.lobanov Posted August 30, 2014 Posted August 30, 2014 storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента) Вставить ник Quote
FATHER_FBI Posted August 30, 2014 Author Posted August 30, 2014 (edited) storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента) Вот как это выглядит на 2950 #storm-control broadcast level ? pps Enter suppression level in packets per second <0 - 100> Enter Integer part of level as percentage of bandwidth Поставил storm-control broadcast level pps 200 150 и глобально добавил errdisable recovery interval 30, понаблюдаю, что с этого получится. Edited August 30, 2014 by FATHER_FBI Вставить ник Quote
zi_rus Posted August 30, 2014 Posted August 30, 2014 мы вот так делаем spanning-tree portfast bpdufilter default spanning-tree portfast default interface range FastEthernet0/1-8 switchport mode access switchport nonegotiate storm-control broadcast level 1 storm-control multicast level 1 не забываем отключать dtp, если он есть на 2950, у нас на 2960 он есть, и на аплинках тоже Вставить ник Quote
zhenya` Posted August 30, 2014 Posted August 30, 2014 switchport port-security switchport port-security maximum 2 Вставить ник Quote
s.lobanov Posted August 30, 2014 Posted August 30, 2014 storm-control broadcast level 1 storm-control multicast level 1 1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны Вставить ник Quote
FATHER_FBI Posted August 30, 2014 Author Posted August 30, 2014 switchport port-security switchport port-security maximum 2 А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа. Вставить ник Quote
Merridius Posted August 30, 2014 Posted August 30, 2014 switchport port-security switchport port-security maximum 2 А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа. http://xgu.ru/wiki/Port_security#Port_security_.D0.BD.D0.B0_.D0.BA.D0.BE.D0.BC.D0.BC.D1.83.D1.82.D0.B0.D1.82.D0.BE.D1.80.D0.B0.D1.85_Cisco Вставить ник Quote
zi_rus Posted August 30, 2014 Posted August 30, 2014 storm-control broadcast level 1 storm-control multicast level 1 1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны да не, нашим железкам нормально, мы тестили, 1М это 10% от цпу на RSP720. а еще это универсальная установка, а у нас кроме интернетов еще и L2 каналыб кто знает что там абонент захочет у себя гонять, так что нормально чисто для интернета я бы поставил pps 100 - более чем достаточно Вставить ник Quote
FATHER_FBI Posted September 1, 2014 Author Posted September 1, 2014 Теперь порт выглядит как то так interface FastEthernet0/1 switchport access vlan 1015 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security violation restrict ip access-group dhcp_control in storm-control broadcast level pps 200 150 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast Вставить ник Quote
Butch3r Posted September 1, 2014 Posted September 1, 2014 spanning-tree bpdufilter enable spanning-tree bpduguard enable Вставить ник Quote
FATHER_FBI Posted September 1, 2014 Author Posted September 1, 2014 spanning-tree bpdufilter enable spanning-tree bpduguard enable А имеет ли смысл включать bpdufilter и bpduguard если при включенном bpdufilter порт не принимает и не отправляет BPDU? Вставить ник Quote
Butch3r Posted September 1, 2014 Posted September 1, 2014 На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало Вставить ник Quote
FATHER_FBI Posted September 1, 2014 Author Posted September 1, 2014 На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало BPDU Guard — функция, которая позволяет выключать порт при получении BPDU. BPDU Filtering — после включения функции, порт не принимает и не отправляет BPDU. Вставить ник Quote
s.lobanov Posted September 1, 2014 Posted September 1, 2014 filtering достаточно. guard не нужно ибо поимеете проблем с клиентами, у которых stp по дефолту на железках включен, админ в другом городе, а оборудование у него недоступно пока ваш канал не заработает Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.