FATHER_FBI Posted August 30, 2014 (edited) · Report post Доброе утро коллеги. Хотелось бы совета от тех кто использует cisco на абонентском доступе. Кто как конфигурирует свои свичи? Вот пример моего конфига: Building configuration... Current configuration : 17448 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 4mikro-2d-2p ! aaa new-model aaa authentication login default group tacacs+ local-case aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization network default group tacacs+ local enable secret 5 *****. ! username admin privilege 15 secret 5 *****. errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause loopback ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent ! ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 4,117,304,1015 ! ! ! ! vlan 4 name Tupik ! vlan 117 name u117 ! vlan 1015 name ab1015 ! interface FastEthernet0/1 (абонентский порт) switchport trunk native vlan 1015 switchport trunk allowed vlan 1015 switchport mode trunk ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast ! * * * * * interface FastEthernet0/47 (абонентский порт) switchport trunk native vlan 1015 switchport trunk allowed vlan 1015 switchport mode trunk ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast ! interface FastEthernet0/48 (порт для доступа на свич прямо из ящика) description Management switchport trunk native vlan 117 switchport trunk allowed vlan 117 switchport mode trunk ! interface GigabitEthernet0/1 switchport trunk allowed vlan 117 switchport mode trunk ! interface GigabitEthernet0/2 (аплинк) description Uplink switchport trunk native vlan 4 switchport trunk allowed vlan 117,1015 switchport mode trunk ip dhcp snooping trust ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan117 ip address 172.16.117.122 255.255.255.0 no ip route-cache ! ip default-gateway 172.16.117.1 no ip http server (отключенный http сервер) logging trap notifications (отправка логов на удаленный сервер) logging facility local0 logging 172.16.30.55 access-list 100 remark dhcp_control (ACL которая режет абонентские DHCP) access-list 100 deny udp any eq bootps any access-list 100 permit ip any any no cdp run (отключенный протокол автообнаружения) snmp-server community public RO snmp-server community private RW snmp-server user private private v1 snmp-server user private private v2c snmp-server host 172.16.30.50 v2c snmp ifmib ifalias long tacacs-server host 172.16.30.57 (сервер авторизации) tacacs-server key 7 ****** ! line con 0 line vty 5 15 ! ! end Edited August 30, 2014 by FATHER_FBI Share this post Link to post Share on other sites
zhenya` Posted August 30, 2014 · Report post если уж spanning-tree portfast и транк то spanning-tree portfast trunk. но в чем смысл транк порта с нейтввланом в сторону абонента? Share this post Link to post Share on other sites
FATHER_FBI Posted August 30, 2014 · Report post если уж spanning-tree portfast и транк то spanning-tree portfast trunk. но в чем смысл транк порта с нейтввланом в сторону абонента? accessspanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. Share this post Link to post Share on other sites
s.lobanov Posted August 30, 2014 · Report post access spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими? Share this post Link to post Share on other sites
FATHER_FBI Posted August 30, 2014 (edited) · Report post access spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими? Вот вырезка с мана Настройка Port Fast на access-интерфейсе: sw(config)#interface fa0/1 sw(config-if)# spanning-tree portfast Настройка Port Fast на интерфейсе, который работает в режиме trunk (тегированый порт): sw(config)#interface fa0/1 sw(config-if)# spanning-tree portfast trunk Ну а с другой стороны, зачем лишний геморой, переписал конфиг на: interface FastEthernet0/1 switchport access vlan 1015 switchport mode access ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast Cisco не юриков, покупаем их по 30$ ведро. Короче за копейки, со своими функциями справляется не хуже того же самого d-link 3200 series Edited August 30, 2014 by FATHER_FBI Share this post Link to post Share on other sites
zhenya` Posted August 30, 2014 · Report post вот и я о чем. так лучше :) арп инспекшен не умеют ? я бы порт секьюрити еще включил с максимумом 1-2 мака. Share this post Link to post Share on other sites
s.lobanov Posted August 30, 2014 · Report post Вот вырезка с мана Настройка Port Fast на access-интерфейсе: но у вас-то был не access, а транк с нейтив влан ну ладно, с этим всё понятно. Я бы ещё bpdufilter воткнул и порт-изоляцию, но тут уже надо вдаваться в ваш дизайн в целом Share this post Link to post Share on other sites
FATHER_FBI Posted August 30, 2014 · Report post вот и я о чем. так лучше :) арп инспекшен не умеют ? я бы порт секьюрити еще включил с максимумом 1-2 мака. ip arp inspection не умеет ибо cisco 2950 А вот про switchport port-security можно по подробней? Share this post Link to post Share on other sites
s.lobanov Posted August 30, 2014 · Report post storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента) Share this post Link to post Share on other sites
FATHER_FBI Posted August 30, 2014 (edited) · Report post storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента) Вот как это выглядит на 2950 #storm-control broadcast level ? pps Enter suppression level in packets per second <0 - 100> Enter Integer part of level as percentage of bandwidth Поставил storm-control broadcast level pps 200 150 и глобально добавил errdisable recovery interval 30, понаблюдаю, что с этого получится. Edited August 30, 2014 by FATHER_FBI Share this post Link to post Share on other sites
zi_rus Posted August 30, 2014 · Report post мы вот так делаем spanning-tree portfast bpdufilter default spanning-tree portfast default interface range FastEthernet0/1-8 switchport mode access switchport nonegotiate storm-control broadcast level 1 storm-control multicast level 1 не забываем отключать dtp, если он есть на 2950, у нас на 2960 он есть, и на аплинках тоже Share this post Link to post Share on other sites
zhenya` Posted August 30, 2014 · Report post switchport port-security switchport port-security maximum 2 Share this post Link to post Share on other sites
s.lobanov Posted August 30, 2014 · Report post storm-control broadcast level 1 storm-control multicast level 1 1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны Share this post Link to post Share on other sites
FATHER_FBI Posted August 30, 2014 · Report post switchport port-security switchport port-security maximum 2 А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа. Share this post Link to post Share on other sites
Merridius Posted August 30, 2014 · Report post switchport port-security switchport port-security maximum 2 А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа. http://xgu.ru/wiki/Port_security#Port_security_.D0.BD.D0.B0_.D0.BA.D0.BE.D0.BC.D0.BC.D1.83.D1.82.D0.B0.D1.82.D0.BE.D1.80.D0.B0.D1.85_Cisco Share this post Link to post Share on other sites
zi_rus Posted August 30, 2014 · Report post storm-control broadcast level 1 storm-control multicast level 1 1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны да не, нашим железкам нормально, мы тестили, 1М это 10% от цпу на RSP720. а еще это универсальная установка, а у нас кроме интернетов еще и L2 каналыб кто знает что там абонент захочет у себя гонять, так что нормально чисто для интернета я бы поставил pps 100 - более чем достаточно Share this post Link to post Share on other sites
FATHER_FBI Posted September 1, 2014 · Report post Теперь порт выглядит как то так interface FastEthernet0/1 switchport access vlan 1015 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security violation restrict ip access-group dhcp_control in storm-control broadcast level pps 200 150 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast Share this post Link to post Share on other sites
Butch3r Posted September 1, 2014 · Report post spanning-tree bpdufilter enable spanning-tree bpduguard enable Share this post Link to post Share on other sites
FATHER_FBI Posted September 1, 2014 · Report post spanning-tree bpdufilter enable spanning-tree bpduguard enable А имеет ли смысл включать bpdufilter и bpduguard если при включенном bpdufilter порт не принимает и не отправляет BPDU? Share this post Link to post Share on other sites
Butch3r Posted September 1, 2014 · Report post На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало Share this post Link to post Share on other sites
FATHER_FBI Posted September 1, 2014 · Report post На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало BPDU Guard — функция, которая позволяет выключать порт при получении BPDU. BPDU Filtering — после включения функции, порт не принимает и не отправляет BPDU. Share this post Link to post Share on other sites
s.lobanov Posted September 1, 2014 · Report post filtering достаточно. guard не нужно ибо поимеете проблем с клиентами, у которых stp по дефолту на железках включен, админ в другом городе, а оборудование у него недоступно пока ваш канал не заработает Share this post Link to post Share on other sites