faq обучение настройка
Текущее время: Чт авг 21, 2025 06:58

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Traffic Control Settin DES-3526
СообщениеДобавлено: Ср сен 17, 2008 16:48 
Не в сети

Зарегистрирован: Пн июн 02, 2008 16:26
Сообщений: 5
DES-3526 FW 5.01-B48.

Web-интерфейс.
Traffic Control Settings> ставлю broadcast лимит 100 пакетов/сек ((Threshold (pps)). Action выбираю drop. State: enable.

Но как было в пиках 1000 и более так и осталось.
Эти данные беру из Monitoring > Packets > UMB Cast(RX).

Он режет или нет?

Может как-то иначе это делается?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 18, 2008 01:59 
Не в сети

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353
скажите на каком порту вы смотрите, и выложите конфиг коммутатора.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 18, 2008 08:37 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Какая группа портов определена?
На каком порту смотрим?
И от куда вообще такое количество broadcast .. ?

У меня на 5-6 тысяч юзверей 40-50 бродкастов на канальном порту.

А потом, на порту ты увидишь всё, что туда летит, вопрос, сколько уходит в дропп ...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 18, 2008 09:45 
Не в сети

Зарегистрирован: Пн июн 02, 2008 16:26
Сообщений: 5
Я взял один сегмент сети подключил к 16-му порту и сделал так:
config traffic control 16 broadcast enable action shutdown threshold 100

И обычным генератором начал нагружать сеть широковещательными пакетами в надежде что предел не будет преодолен, но на этом порту моторы трафика показали и 100 и больше пакетов в секунду (в этот момент сеть работала очень трагически).

Так же я думал что эта функция поможет мне в борьбе с arp-штормами.

Аналогичные действия я делал и с 2-м блоком портов.
Но ничего не дропилось.

#-------------------------------------------------------------------
# DES-3526 Configuration
#
# Firmware: Build 5.01-B48
# Copyright(C) 2008 D-Link Corporation. All rights reserved.
#-------------------------------------------------------------------


# BASIC

config serial_port baud_rate 9600 auto_logout 10_minutes
enable telnet 23
enable web 80

# ACCOUNT LIST


# PASSWORD ENCRYPTION

disable password encryption
config terminal_line default

# BNR

config command_prompt default

# STORM

config traffic control_trap none
config traffic control 1-15 broadcast disable action shutdown threshold 128000 time_interval 5 countdown 0
config traffic control 1-16 multicast disable action shutdown threshold 128000
config traffic control 1-2 unicast disable threshold 128000
config traffic control 16 broadcast enable action shutdown threshold 100 time_interval 5 countdown 0
config traffic control 3-5 broadcast disable multicast disable unicast disable action drop threshold 128000

# LOOP_DETECT

disable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect mode port-based
config loopdetect ports 1-26 state disabled

# GM

config sim candidate
disable sim
config sim dp_interval 30
config sim hold_time 100

# SYSLOG

enable syslog
config system_severity trap information
config system_severity log information

# QOS

config scheduling 0 max_packet 0 max_latency 0
config scheduling 1 max_packet 0 max_latency 0
config scheduling 2 max_packet 0 max_latency 0
config scheduling 3 max_packet 0 max_latency 0
config 802.1p user_priority 0 1
config 802.1p user_priority 1 0
config 802.1p user_priority 2 0
config 802.1p user_priority 3 1
config 802.1p user_priority 4 2
config 802.1p user_priority 5 2
config 802.1p user_priority 6 3
config 802.1p user_priority 7 3
config 802.1p default_priority 1-26 0
config bandwidth_control 1-26 rx_rate no_limit tx_rate no_limit

# MIRROR

disable mirror

# TRAF-SEGMENTATION

config traffic_segmentation 1-26 forward_list 1-26

# PORT

config ports 1-24 speed auto flow_control disable mdix auto learning enable state enable trap enable
config ports 25-26 medium_type copper speed auto flow_control disable mdix auto learning enable state enable trap enable
config ports 25-26 medium_type fiber speed auto flow_control disable learning enable state enable trap enable

# PORT_LOCK

disable port_security trap_log
config port_security ports 1-26 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnReset

# 8021X

disable 802.1x
config 802.1x auth_protocol radius_eap
config 802.1x capability ports 1-26 none
config 802.1x auth_parameter ports 1-26 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable

# SNMPv3

delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
delete snmp view restricted all
delete snmp view CommunityView all
config snmp engineID 800000ab0300179abb76fa
create snmp view restricted 1.3.6.1.2.1.1 view_type included
create snmp view restricted 1.3.6.1.2.1.11 view_type included
create snmp view restricted 1.3.6.1.6.3.10.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.11.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.15.1.1 view_type included
create snmp view CommunityView 1 view_type included
create snmp view CommunityView 1.3.6.1.6.3 view_type excluded
create snmp view CommunityView 1.3.6.1.6.3.1 view_type included
create snmp group initial v3 noauth_nopriv read_view restricted notify_view restricted
create snmp group ReadGroup v1 read_view CommunityView notify_view CommunityView
create snmp group ReadGroup v2c read_view CommunityView notify_view CommunityView
create snmp group WriteGroup v1 read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp group WriteGroup v2c read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp community private view CommunityView read_write
create snmp community public view CommunityView read_only
create snmp user initial initial

# MANAGEMENT

enable snmp traps
enable snmp authenticate traps
config snmp system_name D-Link
disable rmon

# VLAN

disable asymmetric_vlan
config vlan default delete 1-26
config vlan default add untagged 1-26
config vlan default advertisement enable
disable gvrp
config gvrp 1-26 state disable ingress_checking enable acceptable_frame admit_all pvid 1

# FDB

config fdb aging_time 3000
config multicast port_filtering_mode 1-26 forward_unregistered_groups

# MAC_ADDRESS_TABLE_NOTIFICATION

config mac_notification interval 1 historysize 1
disable mac_notification
config mac_notification ports 1-26 disable

# STP

config stp version rstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable
config stp priority 32768 instance_id 0
config stp hellotime 2
config stp mst_config_id name 00:17:9A:BB:76:FA revision_level 0
disable stp
config stp ports 1-26 externalCost auto edge false p2p auto state enable
config stp ports 1-26 fbpdu disable
config stp ports 1-26 restricted_role false
config stp ports 1-26 restricted_tcn false
config stp mst_ports 1-26 instance_id 0 internalCost auto priority 128

# SSH

config ssh server maxsession 8
config ssh server contimeout 300
config ssh server authfail 2
config ssh server rekey never
config ssh server port 22
disable ssh

# SSL

disable ssl
enable ssl ciphersuite RSA_with_RC4_128_MD5
enable ssl ciphersuite RSA_with_3DES_EDE_CBC_SHA
enable ssl ciphersuite DHE_DSS_with_3DES_EDE_CBC_SHA
enable ssl ciphersuite RSA_EXPORT_with_RC4_40_MD5
config ssl cachetimeout timeout 600

# SAFE_GUARD

config safeguard_engine state disable cpu_utilization rising_threshold 100 falling_threshold 20 trap_log disable

# TIMERANGE


# ACL

disable cpu_interface_filtering

# SNTP

disable sntp
config time_zone operator - hour 6 min 0
config sntp primary 0.0.0.0 secondary 0.0.0.0 poll-interval 720
config dst disable

# IPBIND
disable address_binding acl_mode
disable address_binding trap_log
disable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-26 limit 5


# FILTER


# ARP_Spoofing_Prevention


# ROUTE

create iproute default 172.16.0.1 1

# SNOOP

disable igmp_snooping
config igmp_snooping default host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier default query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier default last_member_query_interval 1 state disable
config limited_multicast_addr ports 1-26 access deny state disable

# LACP

config link_aggregation algorithm mac_source
config lacp_port 1-26 mode passive

# GVLAN


# IP

config ipif System vlan default ipaddress 172.16.100.1/16 state enable
disable autoconfig

# ARP

config arp_aging time 20
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable

# LLDP

disable lldp
config lldp message_tx_interval 30
config lldp tx_delay 2
config lldp message_tx_hold_multiplier 4
config lldp reinit_delay 2
config lldp notification_interval 5
config lldp ports 1-26 notification disable
config lldp ports 1-26 admin_status tx_and_rx

# ACCESS_AUTHENTICATION_CONTROL

config authen_login default method local
config authen_enable default method local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 0
config authen parameter attempt 3
config authen enable_admin all state enable
disable authen_policy

# DHCP_RELAY

disable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
config dhcp_relay option_60 state disable
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 state disable
config dhcp_relay option_61 default drop

# DHCP_LOCAL_RELAY

disable dhcp_local_relay

#-------------------------------------------------------------------
# End of configuration file for DES-3526
#-------------------------------------------------------------------


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 18, 2008 11:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Прочтите manual, там написано какие broadcast пакеты блокирует коммутатор и сравните с теми, что ходят у Вас в сети.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 18, 2008 12:07 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Странно,
Судя по конфигу, порт должен уходить в даун .

Давай для начала вырубим весь IP бродкаст на всех портах
далее, по желанию, разрешишь:
Код:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-26 deny

Закроем виндовую самбу:
Код:
# ports destination 135 137 138 139 445 520 1900
# ---------------------------------------------------------------------------------
create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x02080000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076C0000 0x0 port 1-26 deny

Протокол явно не указан, так что резать будет и tcp и udp пакеты.

Вернём настройки traffic control в дефолтные:
Код:
config traffic control_trap none
config traffic control 1-5 broadcast disable multicast disable unicast disable  action drop threshold 128000

и ограничим broadcast и multicast на группах 1-3 двадцатью пакетами, этого достаточно для арпов:
Код:
config traffic control 1-3 broadcast enable multicast enable unicast disable  action drop threshold 20


сейвимся, смотрим.

Дело в том, что нельзя в одной группе портов определить action drop и ction shutdown
drop работает на уровне порта.
shutdown работает на уровне группы портов

Да, и желательно:
Код:
enable loopdetect
config loopdetect ports 1-25 state enabled
config loopdetect ports 26 state disabled

предполагается, что 26 порт канальный.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 19, 2008 11:00 
Не в сети

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353
да и если я не ошибаюсь большая часть функций работает только с входящими для порта пакетами, могу предположить что и Taffic Control тоже. Так что не там судя по всему ограничиваете.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 19, 2008 13:03 
Не в сети

Зарегистрирован: Пн июн 02, 2008 16:26
Сообщений: 5
Спасибо за помощь и разъяснение.
Все заработало!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB