Рассмотрим пример настройки функций на базе модели коммутатора DES-3200-28/C1:
# Отключение WEBUI
disable web
\\ Многие провайдеры не используют WEBUI и отключают его, чтобы избежать не нужных ситуаций
# Включение логирования введённых команд
enable command loggingenable syslog
create syslog host 1 ipaddress x.x.x.x severity informational facility local0 state enable
\\ Это поможет знать кто и какие изменения делал на коммутаторе.
# Настройка Storm Control на клиентских портах
config traffic control 1-24 broadcast enable multicast enable action drop threshold 10
\\ 10 пакетов в секунду более чем достаточно для нормальной работы абонента.
# Настройка функции определения петель
config stp ports 1-24 state disable
enable loopdetect
config loopdetect recover_timer 1800 interval 1 mode port-based
config loopdetect log state enable
config loopdetect ports 1-24 state enable
config loopdetect trap both
\\ Время восстановления recover_timer настраивае6тся индивидуально, обычно, от 10 до 30 минут.
# Фильтрация клиентских DHCP серверов
config filter dhcp_server ports 1-24 state enable
# Фильтрация и перемаркировка потоков с помощью ACL
create access_profile profile_id 50 ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type
\\ Блокируем пакеты с MAC адресом источника 00-00-00-00-00-00
config access_profile profile_id 50 add access_id 1 ethernet source_mac 00-00-00-00-00-00 mask FF-FF-FF-FF-FF-FF port 1-24 deny
\\ Блокируем IPv6 пакеты, если не используете в сети
config access_profile profile_id 50 add access_id 2 ethernet ethernet_type 0x86DD port 1-24 deny
create access_profile profile_id 100 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 dscp protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF
\\ Разрешаем DHCP Offer пакеты от сервера и перемаркировываем меткой 6
config access_profile profile_id 100 add access_id 1 ip protocol_id 17 user_define 0x430000 mask 0xFFFF0000 port 25-28 permit priority 6 replace_priority
\\ Разрешаем DHCP Discovery пакеты от клиентов
config access_profile profile_id 100 add access_id 2 ip protocol_id 17 user_define 0x440000 mask 0xFFFF0000 port 1-24 permit priority 6 replace_priority
\\ Блокируем DHCP Offer пакеты от клиентов, если не задействовали функцию DHCP Screening, описанную выше
config access_profile profile_id 100 add access_id 3 ip protocol_id 17 user_define 0x430000 mask 0xFFFF0000 port 1-24 deny
\\ Блокируем SMB трафик
config access_profile profile_id 100 add access_id 4 ip protocol_id 17 user_define 0x870000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 5 ip protocol_id 17 user_define 0x890000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 6 ip protocol_id 17 user_define 0x8A0000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 7 ip protocol_id 17 user_define 0x8B0000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 8 ip protocol_id 17 user_define 0x1BD0000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 9 ip protocol_id 6 user_define 0x870000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 10 ip protocol_id 6 user_define 0x890000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 11 ip protocol_id 6 user_define 0x8A0000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 12 ip protocol_id 6 user_define 0x8B0000 mask 0xFFFF0000 port 1-24 deny
config access_profile profile_id 100 add access_id 13 ip protocol_id 6 user_define 0x1BD0000 mask 0xFFFF0000 port 1-24 deny
\\ Блокируем доступ в подсети управления для абонентов, а также настраиваем Trusted Host/Subnet
config access_profile profile_id 100 add access_id 14 ip destination_ip x.x.x.x mask 255.255.255.0 port 1-24 deny
config access_profile profile_id 100 add access_id 15 ip destination_ip y.y.y.y.y mask 255.255.255.0 port 1-24 deny
\\ Разрешаем Multicast трафик и перемаркировываем меткой 4
config access_profile profile_id 100 add access_id 16 ip destination_ip 224.0.0.0 mask 240.0.0.0 port 25-28 permit priority 4 replace_priority
\\ Разрешаем IGMP пакеты и перемаркировываем меткой 5, но не забываем настроить Multicast Filtering
\\ и другие методы защиты для Multicast функционала. Подробнее здесь:
\\
ftp://ftp.dlink.ru/pub/Trainings/D-Link ... ticast.zip config access_profile profile_id 100 add access_id 17 ip protocol_id 2 port 1-28 permit priority 5 replace_priority
\\ Разрешаем ICMP пакеты и перемаркировываем меткой 1
config access_profile profile_id 100 add access_id 18 ip protocol_id 1 port 1-28 permit priority 1 replace_priority
\\ Разрешаем DNS пакеты и перемаркировываем меткой 1
config access_profile profile_id 100 add access_id 19 ip protocol_id 17 user_define 0x35 mask 0xFFFF port 1-24 permit priority 1 replace_priority
\\ Разрешаем VoIP пакеты и перемаркировываем меткой 5
\\ На абонентских портах VoIP пакеты лучше отлавливать по dst IP VoIP сервера при предоставление этой услуги
config access_profile profile_id 100 add access_id 20 ip destination_ip z.z.z.z mask 255.255.255.0 port 1-24 permit priority 5 replace_priority