Jump to content
Калькуляторы

Cisco на access доступе

Доброе утро коллеги. Хотелось бы совета от тех кто использует cisco на абонентском доступе. Кто как конфигурирует свои свичи?

Вот пример моего конфига:

Building configuration...

Current configuration : 17448 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 4mikro-2d-2p
!
aaa new-model
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization network default group tacacs+ local
enable secret 5 *****.
!
username admin privilege 15 secret 5 *****.
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause loopback
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vtp mode transparent
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
no spanning-tree vlan 4,117,304,1015
!
!
!
!
vlan 4
name Tupik
!
vlan 117
name u117
!
vlan 1015
name ab1015
!
interface FastEthernet0/1 (абонентский порт)
switchport trunk native vlan 1015
switchport trunk allowed vlan 1015
switchport mode trunk
ip access-group dhcp_control in
storm-control broadcast level 30.00
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast
!
*
*
*
*
*
interface FastEthernet0/47 (абонентский порт)
switchport trunk native vlan 1015
switchport trunk allowed vlan 1015
switchport mode trunk
ip access-group dhcp_control in
storm-control broadcast level 30.00
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast

!
interface FastEthernet0/48 (порт для доступа на свич прямо из ящика)
description Management
switchport trunk native vlan 117
switchport trunk allowed vlan 117
switchport mode trunk
!
interface GigabitEthernet0/1
switchport trunk allowed vlan 117
switchport mode trunk
!
interface GigabitEthernet0/2 (аплинк)
description Uplink
switchport trunk native vlan 4
switchport trunk allowed vlan 117,1015
switchport mode trunk
ip dhcp snooping trust
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan117
ip address 172.16.117.122 255.255.255.0
no ip route-cache
!
ip default-gateway 172.16.117.1
no ip http server (отключенный http сервер)
logging trap notifications (отправка логов на удаленный сервер)
logging facility local0
logging 172.16.30.55
access-list 100 remark dhcp_control (ACL которая режет абонентские DHCP)
access-list 100 deny   udp any eq bootps any
access-list 100 permit ip any any
no cdp run (отключенный протокол автообнаружения)
snmp-server community public RO
snmp-server community private RW
snmp-server user private private v1
snmp-server user private private v2c
snmp-server host 172.16.30.50 v2c
snmp ifmib ifalias long
tacacs-server host 172.16.30.57 (сервер авторизации)
tacacs-server key 7 ******
!
line con 0
line vty 5 15
!
!
end

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

если уж spanning-tree portfast и транк то spanning-tree portfast trunk.

 

но в чем смысл транк порта с нейтввланом в сторону абонента?

Share this post


Link to post
Share on other sites

если уж spanning-tree portfast и транк то spanning-tree portfast trunk.

 

но в чем смысл транк порта с нейтввланом в сторону абонента?

access

spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast

native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему.

Share this post


Link to post
Share on other sites

access

spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast

native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему.

 

судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации

 

просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело

 

P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими?

Share this post


Link to post
Share on other sites

access

spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast

native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему.

 

судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации

 

просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело

 

P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими?

 

Вот вырезка с мана

 

Настройка Port Fast на access-интерфейсе:

sw(config)#interface fa0/1
sw(config-if)# spanning-tree portfast

 

Настройка Port Fast на интерфейсе, который работает в режиме trunk (тегированый порт):

sw(config)#interface fa0/1
sw(config-if)# spanning-tree portfast trunk

 

Ну а с другой стороны, зачем лишний геморой, переписал конфиг на:

interface FastEthernet0/1
switchport access vlan 1015
switchport mode access
ip access-group dhcp_control in
storm-control broadcast level 30.00
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast

 

Cisco не юриков, покупаем их по 30$ ведро. Короче за копейки, со своими функциями справляется не хуже того же самого d-link 3200 series

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

вот и я о чем. так лучше :)

 

арп инспекшен не умеют ?

 

я бы порт секьюрити еще включил с максимумом 1-2 мака.

Share this post


Link to post
Share on other sites

Вот вырезка с мана

 

Настройка Port Fast на access-интерфейсе:

 

но у вас-то был не access, а транк с нейтив влан

 

ну ладно, с этим всё понятно.

 

Я бы ещё bpdufilter воткнул и порт-изоляцию, но тут уже надо вдаваться в ваш дизайн в целом

Share this post


Link to post
Share on other sites

вот и я о чем. так лучше :)

 

арп инспекшен не умеют ?

 

я бы порт секьюрити еще включил с максимумом 1-2 мака.

ip arp inspection не умеет ибо cisco 2950

А вот про switchport port-security можно по подробней?

Share this post


Link to post
Share on other sites

 storm-control broadcast level 30.00

 storm-control multicast level 60.00 30.00

 

Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента)

Share this post


Link to post
Share on other sites

 storm-control broadcast level 30.00

 storm-control multicast level 60.00 30.00

 

Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента)

Вот как это выглядит на 2950

#storm-control broadcast level ?
 pps  Enter suppression level in packets per second
 <0 - 100>  Enter Integer part of level as percentage of bandwidth

Поставил storm-control broadcast level pps 200 150 и глобально добавил errdisable recovery interval 30, понаблюдаю, что с этого получится.

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

мы вот так делаем

spanning-tree portfast bpdufilter default
spanning-tree portfast default

interface range FastEthernet0/1-8
switchport mode access
switchport nonegotiate
storm-control broadcast level 1
storm-control multicast level 1

 

не забываем отключать dtp, если он есть на 2950, у нас на 2960 он есть, и на аплинках тоже

Share this post


Link to post
Share on other sites

 storm-control broadcast level 1

 storm-control multicast level 1

 

1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны

Share this post


Link to post
Share on other sites

switchport port-security

switchport port-security maximum 2

А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа.

Share this post


Link to post
Share on other sites

switchport port-security

switchport port-security maximum 2

А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа.

 

http://xgu.ru/wiki/Port_security#Port_security_.D0.BD.D0.B0_.D0.BA.D0.BE.D0.BC.D0.BC.D1.83.D1.82.D0.B0.D1.82.D0.BE.D1.80.D0.B0.D1.85_Cisco

Share this post


Link to post
Share on other sites

 storm-control broadcast level 1

 storm-control multicast level 1

 

1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны

да не, нашим железкам нормально, мы тестили, 1М это 10% от цпу на RSP720.

а еще это универсальная установка, а у нас кроме интернетов еще и L2 каналыб кто знает что там абонент захочет у себя гонять, так что нормально

 

чисто для интернета я бы поставил pps 100 - более чем достаточно

Share this post


Link to post
Share on other sites

Теперь порт выглядит как то так

interface FastEthernet0/1
switchport access vlan 1015
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation restrict
ip access-group dhcp_control in
storm-control broadcast level pps 200 150
storm-control multicast level 60.00 30.00
storm-control action shutdown
storm-control action trap
spanning-tree portfast

Share this post


Link to post
Share on other sites

spanning-tree bpdufilter enable
spanning-tree bpduguard enable

А имеет ли смысл включать bpdufilter и bpduguard если при включенном bpdufilter порт не принимает и не отправляет BPDU?

Share this post


Link to post
Share on other sites

На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало

Share this post


Link to post
Share on other sites

На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало

BPDU Guard — функция, которая позволяет выключать порт при получении BPDU.

BPDU Filtering — после включения функции, порт не принимает и не отправляет BPDU.

Share this post


Link to post
Share on other sites

filtering достаточно. guard не нужно ибо поимеете проблем с клиентами, у которых stp по дефолту на железках включен, админ в другом городе, а оборудование у него недоступно пока ваш канал не заработает

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this