Может кому-нибудь будет интересным то что я писал не то для себя, не то для начальства.
Собственно речь о моделях 3026 3226 3526
1. можно ACLами заблокировать порты 135, 137–139, 445 тем самым убить трафик от вирусов и MSовского netbios. С другой стороны дополнительная защита пользователей самих от себя.
2. Включение traffic control broadcast
-- 3526 traffic control работает
-- 3026 работает, только Threshold минимально возможный 64 кб/c
работа этой технологии при возникновении петель загружает процессор на 100%
3. Включение SafeGuard? Engine (only 35xx). Спорный вопрос, так как блокирует паразитный трафик при его определенном имеющемся уровне. включать обязательно на свитчах 35хх, без нее большой поток обычного трафика грузит проц.
traffic_segmentation помогает лишь отчасти, броадкаст трафик не попадает на порты абоненту но уходит вверх к корневым свитчам. Где явно вызовет загрузку их этим трафиком.
Однако эта функция действенна при работе в сети пользователей через PPPoE. К примеру при возникновении broadcast storm и попадании броадкастов на порт абонента, он не может инициировать PPPoE соеденение. А если настроен traffic_segmentation где каждый порт работает только с uplink, и броадкаст не попадает на порт абонента, но уходит на аплинк, PPPoE соединение удаеться установить и прекрасно работать.
В этом эксперименте были использованы броадкасты сгенерированные pingом, а не петлевые.
У 3526 при хождении по нему большого количества броадкастов загрузка процессора 100%, при отключенной функции SafeGuard? Engine и дефалтных установках
При включении traffic control в свитчах в режиме drop на наименьший threshold получаем.
threshold bytes/s frame/s
3026 64 byte/s 7500 117
35xx 1 frame/s 57 1
табличка приведена для того что бы показать какие разительные перемены в этих сериях свичей
в 3526 появились интересные функции – та самая SafeGuard? Engine
технология позволяет избавиться от проблемы потери управления свитчом при паразитном трафике когда процессор загружен на 100%, что может случиться в случае настроенной функции traffic control при аппаратном обрезании полосы для броадкастов.
Так же в на 35xx в traffic control появились функции выбора действия при broadcast, multicast storm
* Drop – отбрасывает пакеты, оставляя полосу пропускания размером в Threshold.
* Shutdown – метод работает только для Broadcast и Multicast storms, потому что чип имеет счетчик только для этих двух типов пакетов. Если один из штормов обнаруживаеться и он выше Threshold, свитч блокирует на порту весь входящий трафик кроме пакетов STP BPDU, на время указанное в countdown. Если за промежуток этого времени шторм не заканчивается, то порт блокируется совсем. Сообщение об этом будет отправлено по Trap Receiver. После выключения порт поднять прийдеться администратору руками через Веб интерфейс или CLI.
В общем, то первая функция была основная раньше, добавилась возможность выключения порта. Функция может быть полезной в том случае если не включен SafeGuard? Engine, для того что бы не грузился процессор при петле, одновременно можно сразу узнать о том где случилась петля если настроена на всех свитчах Trap Receiver.
Но если это случиться не в рабочее время, абоненты в любом случае пострадают, либо отключен будет дом, либо будет перегружен управляющий коммутатор в результате чего теоретически будет недоступен интернет у всех других абонентов подключенных к этому свитчу.
Однако traffic control в сети где применяется pppoe применять нельзя, потому что при потоке броадкастов могут дропатся пакеты инициализации pppoe сессии.
Движок форума не позволяет мне опубликовать статью в полном виде с таблицами и прочим. поэтому рекомендую если хотите ознакомится пройти
http://npj.ru/airo/traffic-dlink
так же описаны некоторые примеры ACL для блокировки паразитного трафика
http://npj.ru/airo/dlink-acl
Все выше написанное выводы сделанные мною, в чем то могу ошибаться, если я в чем то неправ, обязательно поправьте 
Вход
Регистрация
FAQ
Поиск
