Jump to content
Калькуляторы

Фильтрация трафика на уровне доступа Свичи доступа, какой трафик на них фильтровать

Reply to this topic

triam   

triam
Posted

Всем привет!

Подскажите пожалуйста, а лучше покажите примеры конфигов для edge-core, huawei, qtech, dlink, что вы фильтруете на уровне доступа.

Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом.

 

Вот список того, что пока мне приходит в голову на тему фильтрации на доступе:

1) NetBios

2) PPPoE PADO (левые серваки PPPoE)

3) Левые серваки DHCP

4) Попытки объявить себя igmp querier'ом

Share this post

Link to post
Share on other sites

sexst   

sexst
Posted

Ну почему наглость? Нормальная практика обмена опытом.

Мультикаст ОТ абонента полезно накрыть еще. Rate-limit на броадкаст и unknown unicast повесить. А так вы все классическое перечислили. Сверху свое специфичное по вкусу можно докинуть.

 

Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом.

Мультикаст вообще вырезать нафиг на абонентских портах по ip диапазону. Оставить только IGMP в нужных группах если IPTV гоняете.

Для unknown unicast почти у всех есть специальная команда. У того же длинка, например, config traffic control.

Share this post

Link to post
Share on other sites

snark   

snark
Posted

Нормальная практика обмена опытом.

Тут этого обмена опытом можно не напрягаясь несколько тем найти с массой примеров под конкретное железо.

Если уж сильно нужено, то вот пример закрытия портов указанных в Объединение в сеть домашних компьютеров, работающих под управлением разных версий Windows

 

create access_profile                                        ip tcp dst_port 0xffff profile_id 2
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port    139 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port    445 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   2869 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   3587 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   5357 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   5358 port 1-28 deny

create access_profile                                        ip udp dst_port 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port     67 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port     68 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port    137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port    138 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   1900 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   3540 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   3702 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   5355 port 1-28 deny

Share this post

Link to post
Share on other sites

Дегтярев Илья   

Дегтярев Илья
Posted

Красивая acl для цисок. В последнем правиле прописать раздаваемые адреса, в примере все 10.x.y.0/24 подсетки.

 

permit udp any any eq 67

deny ip any 224.0.0.0 31.255.255.255

deny ip any 10.0.0.255 0.255.255.0

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...