Jump to content
Калькуляторы

Фильтрация трафика на уровне доступа Свичи доступа, какой трафик на них фильтровать

Всем привет!

Подскажите пожалуйста, а лучше покажите примеры конфигов для edge-core, huawei, qtech, dlink, что вы фильтруете на уровне доступа.

Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом.

 

Вот список того, что пока мне приходит в голову на тему фильтрации на доступе:

1) NetBios

2) PPPoE PADO (левые серваки PPPoE)

3) Левые серваки DHCP

4) Попытки объявить себя igmp querier'ом

Share this post


Link to post
Share on other sites

Ну почему наглость? Нормальная практика обмена опытом.

Мультикаст ОТ абонента полезно накрыть еще. Rate-limit на броадкаст и unknown unicast повесить. А так вы все классическое перечислили. Сверху свое специфичное по вкусу можно докинуть.

 

Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом.

Мультикаст вообще вырезать нафиг на абонентских портах по ip диапазону. Оставить только IGMP в нужных группах если IPTV гоняете.

Для unknown unicast почти у всех есть специальная команда. У того же длинка, например, config traffic control.

Share this post


Link to post
Share on other sites

Нормальная практика обмена опытом.

Тут этого обмена опытом можно не напрягаясь несколько тем найти с массой примеров под конкретное железо.

Если уж сильно нужено, то вот пример закрытия портов указанных в Объединение в сеть домашних компьютеров, работающих под управлением разных версий Windows

 

create access_profile                                        ip tcp dst_port 0xffff profile_id 2
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port    139 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port    445 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   2869 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   3587 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   5357 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port   5358 port 1-28 deny

create access_profile                                        ip udp dst_port 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port     67 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port     68 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port    137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port    138 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   1900 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   3540 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   3702 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port   5355 port 1-28 deny

Share this post


Link to post
Share on other sites

Красивая acl для цисок. В последнем правиле прописать раздаваемые адреса, в примере все 10.x.y.0/24 подсетки.

 

permit udp any any eq 67

deny ip any 224.0.0.0 31.255.255.255

deny ip any 10.0.0.255 0.255.255.0

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this