FATHER_FBI Posted August 30, 2014 (edited) · Report post Доброе утро коллеги. Хотелось бы совета от тех кто использует cisco на абонентском доступе. Кто как конфигурирует свои свичи? Вот пример моего конфига: Building configuration... Current configuration : 17448 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 4mikro-2d-2p ! aaa new-model aaa authentication login default group tacacs+ local-case aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization network default group tacacs+ local enable secret 5 *****. ! username admin privilege 15 secret 5 *****. errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause loopback ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent ! ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 4,117,304,1015 ! ! ! ! vlan 4 name Tupik ! vlan 117 name u117 ! vlan 1015 name ab1015 ! interface FastEthernet0/1 (абонентский порт) switchport trunk native vlan 1015 switchport trunk allowed vlan 1015 switchport mode trunk ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast ! * * * * * interface FastEthernet0/47 (абонентский порт) switchport trunk native vlan 1015 switchport trunk allowed vlan 1015 switchport mode trunk ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast ! interface FastEthernet0/48 (порт для доступа на свич прямо из ящика) description Management switchport trunk native vlan 117 switchport trunk allowed vlan 117 switchport mode trunk ! interface GigabitEthernet0/1 switchport trunk allowed vlan 117 switchport mode trunk ! interface GigabitEthernet0/2 (аплинк) description Uplink switchport trunk native vlan 4 switchport trunk allowed vlan 117,1015 switchport mode trunk ip dhcp snooping trust ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan117 ip address 172.16.117.122 255.255.255.0 no ip route-cache ! ip default-gateway 172.16.117.1 no ip http server (отключенный http сервер) logging trap notifications (отправка логов на удаленный сервер) logging facility local0 logging 172.16.30.55 access-list 100 remark dhcp_control (ACL которая режет абонентские DHCP) access-list 100 deny udp any eq bootps any access-list 100 permit ip any any no cdp run (отключенный протокол автообнаружения) snmp-server community public RO snmp-server community private RW snmp-server user private private v1 snmp-server user private private v2c snmp-server host 172.16.30.50 v2c snmp ifmib ifalias long tacacs-server host 172.16.30.57 (сервер авторизации) tacacs-server key 7 ****** ! line con 0 line vty 5 15 ! ! end Edited August 30, 2014 by FATHER_FBI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted August 30, 2014 · Report post если уж spanning-tree portfast и транк то spanning-tree portfast trunk. но в чем смысл транк порта с нейтввланом в сторону абонента? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted August 30, 2014 · Report post если уж spanning-tree portfast и транк то spanning-tree portfast trunk. но в чем смысл транк порта с нейтввланом в сторону абонента? accessspanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 30, 2014 · Report post access spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted August 30, 2014 (edited) · Report post access spanning-tree portfast trunk применяется в том случае когда порт тегированный, а в моем случае порт access поэтому и spanning-tree portfast native потому что порт абонентский. Насчет того каким делать порт, транковым или аксесным, это вечный холивар. Так что давайте опустим эту тему. судя по конфигу, у вас не access, а trunk с native vlan. С точки зрения обработки неслужебного трафика это одного и тоже. А вот на счёт stp, я не проверял, но думаю, что zhenya` прав и нужно писать portfast trunk в вашей конфигурации просто проверьте, у вас "мгновенно" начинается коммутация трафика после поднятия порта или сначала stp делает своё дело P.S. Судя по версии ПО это какие-то древние шумящие Cisco. В чём смысл их использования в ISP? Или это в юр.лица, где не хочется иметь дело с длинком и прочими? Вот вырезка с мана Настройка Port Fast на access-интерфейсе: sw(config)#interface fa0/1 sw(config-if)# spanning-tree portfast Настройка Port Fast на интерфейсе, который работает в режиме trunk (тегированый порт): sw(config)#interface fa0/1 sw(config-if)# spanning-tree portfast trunk Ну а с другой стороны, зачем лишний геморой, переписал конфиг на: interface FastEthernet0/1 switchport access vlan 1015 switchport mode access ip access-group dhcp_control in storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast Cisco не юриков, покупаем их по 30$ ведро. Короче за копейки, со своими функциями справляется не хуже того же самого d-link 3200 series Edited August 30, 2014 by FATHER_FBI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted August 30, 2014 · Report post вот и я о чем. так лучше :) арп инспекшен не умеют ? я бы порт секьюрити еще включил с максимумом 1-2 мака. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 30, 2014 · Report post Вот вырезка с мана Настройка Port Fast на access-интерфейсе: но у вас-то был не access, а транк с нейтив влан ну ладно, с этим всё понятно. Я бы ещё bpdufilter воткнул и порт-изоляцию, но тут уже надо вдаваться в ваш дизайн в целом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted August 30, 2014 · Report post вот и я о чем. так лучше :) арп инспекшен не умеют ? я бы порт секьюрити еще включил с максимумом 1-2 мака. ip arp inspection не умеет ибо cisco 2950 А вот про switchport port-security можно по подробней? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 30, 2014 · Report post storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted August 30, 2014 (edited) · Report post storm-control broadcast level 30.00 storm-control multicast level 60.00 30.00 Вы думаете, что 30 мегабит броадкаста это нормально? если уж и ставить шторм-контроль, то на минимальной отметке, не помню чему оно равно на 2950/60, но 5 пакетов в секуду более, чем достаточно, если абонетские конечные устройства для вас не прозрачны(в РФ и в Украине обычно не делают L2 до конечного устройства клиента) Вот как это выглядит на 2950 #storm-control broadcast level ? pps Enter suppression level in packets per second <0 - 100> Enter Integer part of level as percentage of bandwidth Поставил storm-control broadcast level pps 200 150 и глобально добавил errdisable recovery interval 30, понаблюдаю, что с этого получится. Edited August 30, 2014 by FATHER_FBI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted August 30, 2014 · Report post мы вот так делаем spanning-tree portfast bpdufilter default spanning-tree portfast default interface range FastEthernet0/1-8 switchport mode access switchport nonegotiate storm-control broadcast level 1 storm-control multicast level 1 не забываем отключать dtp, если он есть на 2950, у нас на 2960 он есть, и на аплинках тоже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted August 30, 2014 · Report post switchport port-security switchport port-security maximum 2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 30, 2014 · Report post storm-control broadcast level 1 storm-control multicast level 1 1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted August 30, 2014 · Report post switchport port-security switchport port-security maximum 2 А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Merridius Posted August 30, 2014 · Report post switchport port-security switchport port-security maximum 2 А когда количество маков превысит порог, левый мак будет дропать или весь порт заблокируется? В интернете не нашел вразумительного ответа. http://xgu.ru/wiki/Port_security#Port_security_.D0.BD.D0.B0_.D0.BA.D0.BE.D0.BC.D0.BC.D1.83.D1.82.D0.B0.D1.82.D0.BE.D1.80.D0.B0.D1.85_Cisco Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted August 30, 2014 · Report post storm-control broadcast level 1 storm-control multicast level 1 1мбит, например, arp-ов это очень, многим железкам(обрабатывающих его) поплохеет. если уж и резать на доступе, то полумеры типа 1-5% бродкаста от скорости порта как часто приводят в примерах - практически бесполезны да не, нашим железкам нормально, мы тестили, 1М это 10% от цпу на RSP720. а еще это универсальная установка, а у нас кроме интернетов еще и L2 каналыб кто знает что там абонент захочет у себя гонять, так что нормально чисто для интернета я бы поставил pps 100 - более чем достаточно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted September 1, 2014 · Report post Теперь порт выглядит как то так interface FastEthernet0/1 switchport access vlan 1015 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security violation restrict ip access-group dhcp_control in storm-control broadcast level pps 200 150 storm-control multicast level 60.00 30.00 storm-control action shutdown storm-control action trap spanning-tree portfast Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 1, 2014 · Report post spanning-tree bpdufilter enable spanning-tree bpduguard enable Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted September 1, 2014 · Report post spanning-tree bpdufilter enable spanning-tree bpduguard enable А имеет ли смысл включать bpdufilter и bpduguard если при включенном bpdufilter порт не принимает и не отправляет BPDU? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 1, 2014 · Report post На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted September 1, 2014 · Report post На сколько я помню при filter он не отправляет bpdu, а при guard если прилетает bpdu то он блокирует порт. Могу ошибаться, так как с циской работал мало BPDU Guard — функция, которая позволяет выключать порт при получении BPDU. BPDU Filtering — после включения функции, порт не принимает и не отправляет BPDU. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 1, 2014 · Report post filtering достаточно. guard не нужно ибо поимеете проблем с клиентами, у которых stp по дефолту на железках включен, админ в другом городе, а оборудование у него недоступно пока ваш канал не заработает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...