Dlink — различия между версиями
Admin (обсуждение | вклад) |
Admin (обсуждение | вклад) (→Работа с конфигурацией) |
||
(не показано 28 промежуточных версии 2 участников) | |||
Строка 1: | Строка 1: | ||
+ | == Первоначальная настройка == | ||
+ | Прибиваем предыдущую конфигурацию | ||
+ | <pre> | ||
+ | reset system | ||
+ | </pre> | ||
+ | Заливаем актуальный минимум | ||
+ | <pre> | ||
+ | create vlan manage tag 10 | ||
+ | config vlan manage add tagged 49-52 | ||
+ | config vlan manage add forbidden 1-48 | ||
+ | create iproute default 10.10.0.1 | ||
+ | config ipif System vlan manage ipaddress 10.10.24.254/16 state enable | ||
+ | enable sntp | ||
+ | config time_zone operator + hour 3 min 0 | ||
+ | config sntp primary 10.10.0.25 secondary 0.0.0.0 poll-interval 720 | ||
+ | config log_save_timing on_demand | ||
+ | enable syslog | ||
+ | config system_severity trap information | ||
+ | config system_severity log information | ||
+ | create syslog host 1 ipaddress 10.10.0.25 severity debug facility local0 udp_port 514 state enable | ||
+ | enable jumbo_frame | ||
+ | enable qinq | ||
+ | config qinq ports 1-52 role nni missdrop disable outer_tpid 0x8100 | ||
+ | save all | ||
+ | </pre> | ||
+ | Апгрейд прошивки за два подхода (save после каждого обязателен!) | ||
+ | <pre> | ||
+ | download firmware_fromTFTP 10.10.0.25 src_file DES3200R_4.38.B000.had | ||
+ | save | ||
+ | reboot | ||
+ | |||
+ | download firmware_fromTFTP 10.10.0.25 src_file DES3200R_4.44.B001.had | ||
+ | save | ||
+ | reboot | ||
+ | </pre> | ||
+ | |||
+ | == Основные команды для работы с коммутаторами D-Link серии DES и DXS == | ||
+ | Просмотр основных характеристик коммутаторов dlink | ||
+ | show switch | ||
+ | Просмотр загрузки процессора (CPU) | ||
+ | show utilization cpu | ||
+ | ==== Работа с конфигурацией ==== | ||
+ | Просмотр текущей конфигурации | ||
+ | show config current_config | ||
+ | Просмотр конфигурации в nvram | ||
+ | show config config_in_nvram | ||
+ | Сохранение текущей конфигурации | ||
+ | save | ||
+ | Сброс к заводским настройкам | ||
+ | reset system | ||
+ | Выгрузка конфига на TFTP: | ||
+ | Обычный упр. свич | ||
+ | upload cfg_toTFTP 10.10.10.5 dest_file conf.cfg | ||
+ | Смарт свич | ||
+ | upload cfg_toTFTP 10.10.10.5 config.txt config_id 1 | ||
+ | |||
+ | ==== Настройка ip маски и шлюза ==== | ||
+ | Настройка IP адреса и сетевой маски. | ||
+ | config ipif [имя_интерфейса] ipaddress [ip-адрес/маска] | ||
+ | Пример: | ||
+ | config ipif SYS ipaddress 192.168.5.10/24 | ||
+ | Просмотр интерфейсов управления. | ||
+ | show ipif | ||
+ | Задание шлюза по умолчанию. | ||
+ | create iproute default [ip-адрес_шлюза] | ||
+ | Пример: | ||
+ | create iproute default 192.168.5.1 | ||
+ | Просмотра маршрута по умолчанию. | ||
+ | show iproute | ||
+ | Удаление маршрута по умолчанию. | ||
+ | delete iproute default | ||
+ | ==== Настройка VLAN на коммутаторах dlink ==== | ||
+ | Просмотр всех созданных vlan. | ||
+ | show vlan | ||
+ | Создание vlan. | ||
+ | create vlan [имя_vlan] tag [номер_vlan] | ||
+ | Пример: | ||
+ | create vlan USER tag 813 | ||
+ | Добавление vlan на порты. | ||
+ | config vlan [имя_vlan] add [tagged | untagged| forbidden] [порты] | ||
+ | Пример: | ||
+ | config vlan USERTAG add untagged 1-3,5 | ||
+ | config vlan USERUNTAG add tagged 8,10 | ||
+ | config vlan USER add forbidden 9 | ||
+ | В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5. | ||
+ | Во втором случае добавляется тегированная (tagged) vlan на порты 8,10. | ||
+ | В третьем случае запрещается прохождение vlan на 9-ом порту. | ||
+ | |||
+ | Настройка vlan управления коммутатора: | ||
+ | config ipif [имя_интерфейса] vlan [имя_vlan] ipaddress [ip-адрес/маска] state enable | ||
+ | Пример: | ||
+ | config ipif SYS vlan management ipaddress 192.168.2.40/24 state enable | ||
+ | Удаление default vlan со всех портов. | ||
+ | config vlan default delete 1-26 | ||
+ | ==== Настройка пользователей на коммутаторах dlink ==== | ||
+ | Настройка имени пользователя и пароля. | ||
+ | create account [уровень доступа] [имя_пользователя] | ||
+ | Пример: | ||
+ | create account admin admin | ||
+ | Enter a case-sensitive new password:******** | ||
+ | Enter the new password again for confirmation:******** | ||
+ | Просмотр учетной записи. | ||
+ | show account | ||
+ | Cменить пароль существующему пользователю. | ||
+ | config account [имя_пользователя] | ||
+ | Пример: | ||
+ | config account admin | ||
+ | Enter a old password:******** | ||
+ | Enter a case-sensitive new password:******** | ||
+ | Enter the new password again for confirmation:******** | ||
+ | ==== Просмотр mac и arp таблиц ==== | ||
+ | Просмотр таблицы mac-адресов. | ||
+ | show fdb | ||
+ | Просмотр таблицы mac-адресов для определенного порта. | ||
+ | show fdb port [номер порта] | ||
+ | Пример: | ||
+ | show fdb port 5 | ||
+ | Просмотр arp табицы. | ||
+ | show arpentry | ||
+ | ==== Просмотр диагностической информации по портам ==== | ||
+ | Просмотр режимов работы портов (Speed, Duplex, FlowCtrl). | ||
+ | show ports | ||
+ | Просмотр ошибок на портe. | ||
+ | show error ports [номер_порта] | ||
+ | Пример: | ||
+ | show error ports 3 | ||
+ | Просмотр статистики по всем портам. | ||
+ | show utilization ports | ||
+ | Посмотреть инфу о SFP модуле | ||
+ | show ddm ports 10 status | ||
+ | |||
+ | ==== Установка комментария на порт ==== | ||
+ | config ports [номер_порта] description [коментарий] | ||
+ | Пример: | ||
+ | config ports 10 description my-server | ||
+ | размер комментария может содержать до 32 символов и не должен содержать пробелы. | ||
+ | ==== Перезагрузка коммутатора ==== | ||
+ | reboot | ||
+ | |||
+ | == Q-in-Q == | ||
+ | [http://ftp.dlink.ru/pub/Trainings/SwitchWhitePapers/Q-in-Q_Port-Based_and_Selective.pdf Q-in-Q мануал от Dlink] | ||
+ | |||
« role uni » означает, что взаимодействие по этим портам будет осуществляться между пользователем и граничным коммутатором провайдера. | « role uni » означает, что взаимодействие по этим портам будет осуществляться между пользователем и граничным коммутатором провайдера. | ||
Строка 7: | Строка 149: | ||
«missdrop enable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться только согласно правилам vlan_translation. | «missdrop enable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться только согласно правилам vlan_translation. | ||
− | «missdrop disable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться согласно правилам vlan_translation, а к трафику не попавшему под правила vlan_translation будет | + | «missdrop disable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться согласно правилам vlan_translation, |
+ | а к трафику не попавшему под правила vlan_translation будет добавляться внешний тег(SP-VLAN) равный PVID | ||
порта, т.е. SP-VID = PVID. | порта, т.е. SP-VID = PVID. | ||
Строка 21: | Строка 164: | ||
пропустить трафик с двумя тегами через оборудование с поддержкой IEEE 802.1q, но без поддержки Q-in-Q. | пропустить трафик с двумя тегами через оборудование с поддержкой IEEE 802.1q, но без поддержки Q-in-Q. | ||
</pre> | </pre> | ||
+ | |||
+ | |||
+ | == GVRP == | ||
+ | [[Файл:dlink_gvrp.png]] | ||
+ | Коммутаторы No2 и No3 - Транзитные коммутаторы | ||
+ | <pre> | ||
+ | enable gvrp | ||
+ | config gvrp 27-28 state enable | ||
+ | </pre> | ||
+ | Коммутатор No4 - Access коммутатор | ||
+ | <pre> | ||
+ | enable gvrp | ||
+ | config gvrp 27 state enable | ||
+ | create vlan vlanid 100 advertisement | ||
+ | config vlan vlanid 100 add untagged 1 | ||
+ | config vlan vlanid 100 add tagged 27 | ||
+ | </pre> | ||
+ | <pre>Ключ advertisement при создании вилана говорит коммутатору о том, что этот вилан необходимо анонсировать соседям</pre> | ||
+ | |||
+ | == Блокировка "DHCP Server" клиентов == | ||
+ | |||
+ | |||
+ | Первый вариант: | ||
+ | <pre> | ||
+ | create access_profile ip udp src_port_mask 0xFFFF profile_id 1 | ||
+ | config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25-26 permit | ||
+ | config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny | ||
+ | </pre> | ||
+ | Второй вариант: | ||
+ | <pre> | ||
+ | config filter dhcp_server ports 1-24 state enable | ||
+ | config filter dhcp_server add permit ports 25-26 | ||
+ | </pre> | ||
+ | |||
+ | ==PPPoE только на Uplink== | ||
+ | |||
+ | PPPoE - концентратор подключён к порту 26 коммутатора DES-3526, клиенты подключены к портам 1-25, MAC-адрес концентратора - 00-13-5F-AA-BB-CC. | ||
+ | |||
+ | Примечание: За полным описание протокола PPPoE обращайтесь к RFC 2516. | ||
+ | |||
+ | Настройки DES-3526: | ||
+ | |||
+ | 1. Создаём профиль ACL для разрешения PPPoE-пакетов от концентратора клиентам | ||
+ | |||
+ | create access-profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1 | ||
+ | |||
+ | 2. Разрешаем PPPoE-session-пакеты от концентратора клиентам | ||
+ | |||
+ | config access-profile 1 add access_id 100 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit | ||
+ | |||
+ | 3. Разрешаем PPPoE-data-пакеты от концентратора клиентам | ||
+ | |||
+ | config access-profile 1 add access_id 200 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit | ||
+ | |||
+ | 4. Создаём профиль ACL для разрешения PPPoE-пакетов от клиентов концентратору или серверу | ||
+ | |||
+ | create access-profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2 | ||
+ | |||
+ | 5. Разрешаем широковещательные PPPoE-session PADI пакеты от клиентов | ||
+ | |||
+ | config access-profile 2 add access_id 100 ethernet destination FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit | ||
+ | |||
+ | 6. Разрешаем PPPoE-session пакеты от клиентов к серверу | ||
+ | |||
+ | config access-profile 2 add access_id 200 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit | ||
+ | |||
+ | 7. Разрешаем PPPoE-session пакеты от клиентов к серверу | ||
+ | |||
+ | config access-profile 2 add access_id 300 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit | ||
+ | |||
+ | 8. Создаём профиль ACL для запрещения всех остальных PPPoE-пакетов | ||
+ | |||
+ | create access-profile ethernet ethernet_type profile 3 | ||
+ | |||
+ | 9. Запрещаем все остальные PPPoE пакеты | ||
+ | |||
+ | config access-profile 3 add access_id 100 ethernet ethernet_type 0x8863 port 1-26 deny | ||
+ | config access-profile 3 add access_id 200 ethernet ethernet_type 0x8864 port 1-26 deny | ||
+ | |||
+ | == Фильтры для свичей доступа == | ||
+ | |||
+ | Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера) | ||
+ | <pre> | ||
+ | config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode deleteontimeout | ||
+ | </pre> | ||
+ | Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами | ||
+ | <pre> | ||
+ | config stp version rstp | ||
+ | config stp ports 1-8 fbpdu disable state disable | ||
+ | </pre> | ||
+ | Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети | ||
+ | <pre> | ||
+ | enable loopdetect | ||
+ | config loopdetect recover_timer 1800 | ||
+ | config loopdetect interval 10 | ||
+ | config loopdetect ports 1-8 state enable | ||
+ | config loopdetect ports 9-10 state disable | ||
+ | </pre> | ||
+ | Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер). | ||
+ | <pre> | ||
+ | create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1 | ||
+ | config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit | ||
+ | config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit | ||
+ | config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny | ||
+ | </pre> | ||
+ | Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера). | ||
+ | <pre> | ||
+ | create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 | ||
+ | config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny | ||
+ | </pre> | ||
+ | И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя. | ||
+ | <pre> | ||
+ | config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5 | ||
+ | </pre> | ||
+ | |||
+ | ACL для DES-3200-52 | ||
+ | |||
+ | <pre> | ||
+ | create access_profile profile_id 1 profile_name microsoft ip tcp dst_port_mask 0xFFFF | ||
+ | config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-48 deny | ||
+ | config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-48 deny | ||
+ | config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 369 port 1-48 deny | ||
+ | config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-48 deny | ||
+ | |||
+ | create access_profile profile_id 2 profile_name microsoft_udp ip udp dst_port_mask 0xFFFF | ||
+ | config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-48 deny | ||
+ | config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-48 deny | ||
+ | </pre> | ||
+ | |||
+ | == Vlan translation(mapping)== | ||
+ | |||
+ | С нашей стороны в порт 1 свитча DES-3200 приходят вланы 1110-1119. | ||
+ | Нужно отдать с 10 порта на циску трафик с этих вланов с другими тегами - 2110-2119 соответственно. (Vlan Mapping в cisco) | ||
+ | <pre> | ||
+ | enable qinq | ||
+ | config qinq ports 10 vlan_translation enable | ||
+ | config qinq ports 10 role uni outer_tpid 0x8100 | ||
+ | create vlan_translation ports 10 replace cvid 1110 svid 2110 | ||
+ | create vlan_translation ports 10 replace cvid 1111 svid 2111 | ||
+ | ... | ||
+ | create vlan_translation ports 10 replace cvid 1119 svid 2119 | ||
+ | </pre> |
Текущая версия на 06:20, 20 января 2022
Содержание
Первоначальная настройка
Прибиваем предыдущую конфигурацию
reset system
Заливаем актуальный минимум
create vlan manage tag 10 config vlan manage add tagged 49-52 config vlan manage add forbidden 1-48 create iproute default 10.10.0.1 config ipif System vlan manage ipaddress 10.10.24.254/16 state enable enable sntp config time_zone operator + hour 3 min 0 config sntp primary 10.10.0.25 secondary 0.0.0.0 poll-interval 720 config log_save_timing on_demand enable syslog config system_severity trap information config system_severity log information create syslog host 1 ipaddress 10.10.0.25 severity debug facility local0 udp_port 514 state enable enable jumbo_frame enable qinq config qinq ports 1-52 role nni missdrop disable outer_tpid 0x8100 save all
Апгрейд прошивки за два подхода (save после каждого обязателен!)
download firmware_fromTFTP 10.10.0.25 src_file DES3200R_4.38.B000.had save reboot download firmware_fromTFTP 10.10.0.25 src_file DES3200R_4.44.B001.had save reboot
Основные команды для работы с коммутаторами D-Link серии DES и DXS
Просмотр основных характеристик коммутаторов dlink
show switch
Просмотр загрузки процессора (CPU)
show utilization cpu
Работа с конфигурацией
Просмотр текущей конфигурации
show config current_config
Просмотр конфигурации в nvram
show config config_in_nvram
Сохранение текущей конфигурации
save
Сброс к заводским настройкам
reset system
Выгрузка конфига на TFTP: Обычный упр. свич
upload cfg_toTFTP 10.10.10.5 dest_file conf.cfg
Смарт свич
upload cfg_toTFTP 10.10.10.5 config.txt config_id 1
Настройка ip маски и шлюза
Настройка IP адреса и сетевой маски.
config ipif [имя_интерфейса] ipaddress [ip-адрес/маска]
Пример:
config ipif SYS ipaddress 192.168.5.10/24
Просмотр интерфейсов управления.
show ipif
Задание шлюза по умолчанию.
create iproute default [ip-адрес_шлюза]
Пример:
create iproute default 192.168.5.1
Просмотра маршрута по умолчанию.
show iproute
Удаление маршрута по умолчанию.
delete iproute default
Настройка VLAN на коммутаторах dlink
Просмотр всех созданных vlan.
show vlan
Создание vlan.
create vlan [имя_vlan] tag [номер_vlan]
Пример:
create vlan USER tag 813
Добавление vlan на порты.
config vlan [имя_vlan] add [tagged | untagged| forbidden] [порты]
Пример:
config vlan USERTAG add untagged 1-3,5 config vlan USERUNTAG add tagged 8,10 config vlan USER add forbidden 9
В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5. Во втором случае добавляется тегированная (tagged) vlan на порты 8,10. В третьем случае запрещается прохождение vlan на 9-ом порту.
Настройка vlan управления коммутатора:
config ipif [имя_интерфейса] vlan [имя_vlan] ipaddress [ip-адрес/маска] state enable
Пример:
config ipif SYS vlan management ipaddress 192.168.2.40/24 state enable
Удаление default vlan со всех портов.
config vlan default delete 1-26
Настройка пользователей на коммутаторах dlink
Настройка имени пользователя и пароля.
create account [уровень доступа] [имя_пользователя]
Пример:
create account admin admin Enter a case-sensitive new password:******** Enter the new password again for confirmation:********
Просмотр учетной записи.
show account
Cменить пароль существующему пользователю.
config account [имя_пользователя]
Пример:
config account admin Enter a old password:******** Enter a case-sensitive new password:******** Enter the new password again for confirmation:********
Просмотр mac и arp таблиц
Просмотр таблицы mac-адресов.
show fdb
Просмотр таблицы mac-адресов для определенного порта.
show fdb port [номер порта]
Пример:
show fdb port 5
Просмотр arp табицы.
show arpentry
Просмотр диагностической информации по портам
Просмотр режимов работы портов (Speed, Duplex, FlowCtrl).
show ports
Просмотр ошибок на портe.
show error ports [номер_порта]
Пример:
show error ports 3
Просмотр статистики по всем портам.
show utilization ports
Посмотреть инфу о SFP модуле
show ddm ports 10 status
Установка комментария на порт
config ports [номер_порта] description [коментарий]
Пример:
config ports 10 description my-server
размер комментария может содержать до 32 символов и не должен содержать пробелы.
Перезагрузка коммутатора
reboot
Q-in-Q
« role uni » означает, что взаимодействие по этим портам будет осуществляться между пользователем и граничным коммутатором провайдера.
« role nni » означает, что этот порт взаимодействует с сетью провайдера или другим граничным коммутатором.
«vlan_translation» данные правила ассоциирует C-VID с SP-VID.
«missdrop enable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться только согласно правилам vlan_translation.
«missdrop disable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться согласно правилам vlan_translation, а к трафику не попавшему под правила vlan_translation будет добавляться внешний тег(SP-VLAN) равный PVID порта, т.е. SP-VID = PVID.
«use_inner_priority enable» означает, что коммутатор будет использовать приоритет 802.1p тега C-VLAN в теге SP-VLAN.
«outer_tpid» означает, что коммутатор будет задавать TPID для внешнего тега(SP-VLAN) равный заданному значению.
Согласно стандарту IEEE 802.1ad TPID равен 0x88A8 для Q-in-Q пакетов. У Cisco TPID равен 0x9100. Сейчас на всех современных коммутаторах можно задать любой TPID для совместимости оборудования разных вендоров, например: можно задать TPID равный 0x8100, как у обычного IEEE 802.1q VLAN, в случае, если необходимо пропустить трафик с двумя тегами через оборудование с поддержкой IEEE 802.1q, но без поддержки Q-in-Q. 
GVRP
Коммутаторы No2 и No3 - Транзитные коммутаторы
enable gvrp config gvrp 27-28 state enable
Коммутатор No4 - Access коммутатор
enable gvrp config gvrp 27 state enable create vlan vlanid 100 advertisement config vlan vlanid 100 add untagged 1 config vlan vlanid 100 add tagged 27
Ключ advertisement при создании вилана говорит коммутатору о том, что этот вилан необходимо анонсировать соседям
Блокировка "DHCP Server" клиентов
Первый вариант:
create access_profile ip udp src_port_mask 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25-26 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny
Второй вариант:
config filter dhcp_server ports 1-24 state enable config filter dhcp_server add permit ports 25-26
PPPoE только на Uplink
PPPoE - концентратор подключён к порту 26 коммутатора DES-3526, клиенты подключены к портам 1-25, MAC-адрес концентратора - 00-13-5F-AA-BB-CC.
Примечание: За полным описание протокола PPPoE обращайтесь к RFC 2516.
Настройки DES-3526:
1. Создаём профиль ACL для разрешения PPPoE-пакетов от концентратора клиентам
create access-profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1
2. Разрешаем PPPoE-session-пакеты от концентратора клиентам
config access-profile 1 add access_id 100 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit
3. Разрешаем PPPoE-data-пакеты от концентратора клиентам
config access-profile 1 add access_id 200 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit
4. Создаём профиль ACL для разрешения PPPoE-пакетов от клиентов концентратору или серверу
create access-profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2
5. Разрешаем широковещательные PPPoE-session PADI пакеты от клиентов
config access-profile 2 add access_id 100 ethernet destination FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit
6. Разрешаем PPPoE-session пакеты от клиентов к серверу
config access-profile 2 add access_id 200 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit
7. Разрешаем PPPoE-session пакеты от клиентов к серверу
config access-profile 2 add access_id 300 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit
8. Создаём профиль ACL для запрещения всех остальных PPPoE-пакетов
create access-profile ethernet ethernet_type profile 3
9. Запрещаем все остальные PPPoE пакеты
config access-profile 3 add access_id 100 ethernet ethernet_type 0x8863 port 1-26 deny config access-profile 3 add access_id 200 ethernet ethernet_type 0x8864 port 1-26 deny
Фильтры для свичей доступа
Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode deleteontimeout
Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp config stp ports 1-8 fbpdu disable state disable
Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-8 state enable config loopdetect ports 9-10 state disable
Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny
Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny
И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.
config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5
ACL для DES-3200-52
create access_profile profile_id 1 profile_name microsoft ip tcp dst_port_mask 0xFFFF config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-48 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-48 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 369 port 1-48 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-48 deny create access_profile profile_id 2 profile_name microsoft_udp ip udp dst_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-48 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-48 deny
Vlan translation(mapping)
С нашей стороны в порт 1 свитча DES-3200 приходят вланы 1110-1119. Нужно отдать с 10 порта на циску трафик с этих вланов с другими тегами - 2110-2119 соответственно. (Vlan Mapping в cisco)
enable qinq config qinq ports 10 vlan_translation enable config qinq ports 10 role uni outer_tpid 0x8100 create vlan_translation ports 10 replace cvid 1110 svid 2110 create vlan_translation ports 10 replace cvid 1111 svid 2111 ... create vlan_translation ports 10 replace cvid 1119 svid 2119