[FATHER_FBI]

Доброе утро коллеги. Хотелось бы совета от тех кто использует cisco на абонентском доступе. Кто как конфигурирует свои свичи?

Вот пример моего конфига:

Building configuration...

Current configuration : 17448 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 4mikro-2d-2p
!
aaa new-model
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization network default group tacacs+ local
enable secret 5 *****.
!
username admin privilege 15 secret 5 *****.
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause loopback
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vtp mode transparent
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
no spanning-tree vlan 4,117,304,1015
!
!
!
!
vlan 4
name Tupik
!
vlan 117
name u117
!
vlan 1015
name ab1015
!
interface FastEthernet0/1 (абонентский порт)
switchport trunk native vlan 1015
switchport trunk allowed vlan 1015
switchport mode trunk
ip access-group dhcp_control in
storm-control broadcast level 30.00
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast
!
*
*
*
*
*
interface FastEthernet0/47 (абонентский порт)
switchport trunk native vlan 1015
switchport trunk allowed vlan 1015
switchport mode trunk
ip access-group dhcp_control in
storm-control broadcast level 30.00
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast

!
interface FastEthernet0/48 (порт для доступа на свич прямо из ящика)
description Management
switchport trunk native vlan 117
switchport trunk allowed vlan 117
switchport mode trunk
!
interface GigabitEthernet0/1
switchport trunk allowed vlan 117
switchport mode trunk
!
interface GigabitEthernet0/2 (аплинк)
description Uplink
switchport trunk native vlan 4
switchport trunk allowed vlan 117,1015
switchport mode trunk
ip dhcp snooping trust
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan117
ip address 172.16.117.122 255.255.255.0
no ip route-cache
!
ip default-gateway 172.16.117.1
no ip http server (отключенный http сервер)
logging trap notifications (отправка логов на удаленный сервер)
logging facility local0
logging 172.16.30.55
access-list 100 remark dhcp_control (ACL которая режет абонентские DHCP)
access-list 100 deny   udp any eq bootps any
access-list 100 permit ip any any
no cdp run (отключенный протокол автообнаружения)
snmp-server community public RO
snmp-server community private RW
snmp-server user private private v1
snmp-server user private private v2c
snmp-server host 172.16.30.50 v2c
snmp ifmib ifalias long
tacacs-server host 172.16.30.57 (сервер авторизации)
tacacs-server key 7 ******
!
line con 0
line vty 5 15
!
!
end

Изменено 30 августа, 2014 пользователем FATHER_FBI

[zhenya`]

если уж spanning-tree portfast и транк то spanning-tree portfast trunk.

 

но в чем смысл транк порта с нейтввланом в сторону абонента?

[FATHER_FBI]

если уж spanning-tree portfast и транк то spanning-tree portfast trunk.

 

но в чем смысл транк порта с нейтввланом в сторону абонента?

access

spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast

native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему.

[s.lobanov]

access

spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast

native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему.

 

судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации

 

просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело

 

P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими?

[FATHER_FBI]

access

spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast

native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему.

 

судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации

 

просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело

 

P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими?

 

Вот вырезка с мана

 

Настройка Port Fast на access-интерфейсе:

sw(config)#interface fa0/1
sw(config-if)# spanning-tree portfast

 

Настройка Port Fast на интерфейсе, который работает в режиме trunk (тегированый порт):

sw(config)#interface fa0/1
sw(config-if)# spanning-tree portfast trunk

 

Ну а с другой стороны, зачем лишний геморой, переписал конфиг на:

interface FastEthernet0/1
switchport access vlan 1015
switchport mode access
ip access-group dhcp_control in
storm-control broadcast level 30.00
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast

 

Cisco не юриков, покупаем их по 30$ ведро. Короче за копейки, со своими функциями справляется не хуже того же самого d-link 3200 series

Изменено 30 августа, 2014 пользователем FATHER_FBI

[zhenya`]

вот и я о чем. так лучше :)

 

арп инспекшен не умеют ?

 

я бы порт секьюрити еще включил с максимумом 1-2 мака.

[s.lobanov]

Вот вырезка с мана

 

Настройка Port Fast на access-интерфейсе:

 

но у вас-то был не access, а транк с нейтив влан

 

ну ладно, с этим всё понятно.

 

Я бы ещё bpdufilter воткнул и порт-изоляцию, но тут уже надо вдаваться в ваш дизайн в целом

[FATHER_FBI]

вот и я о чем. так лучше :)

 

арп инспекшен не умеют ?

 

я бы порт секьюрити еще включил с максимумом 1-2 мака.

ip arp inspection не умеет ибо cisco 2950

А вот про switchport port-security можно по подробней?

[s.lobanov]

 storm-control broadcast level 30.00

 storm-control multicast level 60.00 30.00

 

Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента)

[FATHER_FBI]

 storm-control broadcast level 30.00

 storm-control multicast level 60.00 30.00

 

Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента)

Вот как это выглядит на 2950

#storm-control broadcast level ?
 pps  Enter suppression level in packets per second
 <0 - 100>  Enter Integer part of level as percentage of bandwidth

Поставил storm-control broadcast level pps 200 150 и глобально добавил errdisable recovery interval 30, понаблюдаю, что с этого получится.

Изменено 30 августа, 2014 пользователем FATHER_FBI

[zi_rus]

мы вот так делаем

spanning-tree portfast bpdufilter default
spanning-tree portfast default

interface range FastEthernet0/1-8
switchport mode access
switchport nonegotiate
storm-control broadcast level 1
storm-control multicast level 1

 

не забываем отключать dtp, если он есть на 2950, у нас на 2960 он есть, и на аплинках тоже

[zhenya`]

switchport port-security

switchport port-security maximum 2

[s.lobanov]

 storm-control broadcast level 1

 storm-control multicast level 1

 

1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны

[FATHER_FBI]

switchport port-security

switchport port-security maximum 2

А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа.

[Merridius]

switchport port-security

switchport port-security maximum 2

А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа.

 

http://xgu.ru/wiki/Port_security#Port_security_.D0.BD.D0.B0_.D0.BA.D0.BE.D0.BC.D0.BC.D1.83.D1.82.D0.B0.D1.82.D0.BE.D1.80.D0.B0.D1.85_Cisco

[zi_rus]

 storm-control broadcast level 1

 storm-control multicast level 1

 

1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны

да не, нашим железкам нормально, мы тестили, 1М это 10% от цпу на RSP720.

а еще это универсальная установка, а у нас кроме интернетов еще и L2 каналыб кто знает что там абонент захочет у себя гонять, так что нормально

 

чисто для интернета я бы поставил pps 100 - более чем достаточно

[FATHER_FBI]

Теперь порт выглядит как то так

interface FastEthernet0/1
switchport access vlan 1015
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation restrict
ip access-group dhcp_control in
storm-control broadcast level pps 200 150
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast

[Butch3r]

spanning-tree bpdufilter enable
spanning-tree bpduguard enable

[FATHER_FBI]

spanning-tree bpdufilter enable
spanning-tree bpduguard enable

А имеет ли смысл включать bpdufilter и bpduguard если при включенном bpdufilter порт не принимает и не отправляет BPDU?

[Butch3r]

На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало

[FATHER_FBI]

На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало

BPDU Guard — функция, которая позволяет выключать порт при получении BPDU.

BPDU Filtering — после включения функции, порт не принимает и не отправляет BPDU.

[s.lobanov]

filtering достаточно. guard не нужно ибо поимеете проблем с клиентами, у которых stp по дефолту на железках включен, админ в другом городе, а оборудование у него недоступно пока ваш канал не заработает