дык надо еще 0х9000-й протокол разрешить

_________________
не важно, из какого места растут золотые руки

Также попробуйте сниффером посмотреть разницу между ситуацией с правилами ACL и без правил ACL, тогда сразу все станет наглядно.

Имею
---------
DES-3028, Build 2.52.B11.

Клиентские порты 1-3.
К 1 порту подключен простой свитч, на нем петля (порт-порт).
2-3 порты соединены напрямую.

ACL на клиентских портах
Ethernet-800 (IP): Permit
Ethernet-806 (ARP): Permit
Ethernet, Source MAC 00-00-00-00-00-00: Deny
-----------

При поднятии 1 порта он уходит в Err-Disabled (блокируется BLD), шторма "наверх" нет.
При поднятии 2-3 портов имею шторм.
-------------
Убираю последнее правило
Ethernet, Source MAC 00-00-00-00-00-00: Deny
------------
При поднятии 2-3 портов отрабатывает STP, один из портов становится альтернативным.

Отличный результат, то что надо. Только по ACL все разрешено...
Пытался добавлять разрешение для Ethernet-9000 и Ethernet-8181 в ACL и CPU Interface Filtering - никакого эффекта.

Нужны привила для разрешения STP на клиентских портах.
Номера протоколов Ethernet, используемых STP нагуглить не смог...

Снифером... Усложнит стенд и не факт что увижу.
-------------
Нагуглил...


Делаю разрешающее правило
----
Type: Ethernet
Destination MAC (маска): FF-FF-FF-FF-FF-FF
Destination MAC: 01-80-C2-00-00-00
Actions: Permit ( Rx Rate: 64kbps) (64 kbps за глаза хватит)
-------
Все работает!!!
Проблема решена.

В общем, маленький мануал как защитить сеть ethernet от "фокусов" клиентов в сети провайдера. Конечное устройство провайдера - DES-3028. Спасает от всевозможных петель у клиента и связанных с ними штормов по сети.
Может кому пригодится...

Численные параметры - на свой вкус, даю общие.

1. Loopback Detection Global Settings
Loopdetect Status - Enebled

Соответственно, на клиентских портах (Loopback Detection Port_based Table) включить.

2. STP Bridge Global Settings
Spanning Tree Protocol - Enebled
STP Version - RSTP
Forwarding BPDU - Enebled
Loopback Detection - Disebled
LBD Recover Time - 0 (обязательно! Иначе STP будет пытаться поднимать порт)

3. STP Port Settings (параметры клиентских портов)
State - Enebled
Edge - True
BPDU - Enabled
LBD - Disebled
Restricted Role - True
Restricted TCN - True

4. ACL на клиентских портах. Если используются ACL и есть правило "все запрещать", то надо создать разрешающее правило (действующее до запрещающего):
Type: Ethernet
Destination MAC (маска): FF-FF-FF-FF-FF-FF
Destination MAC: 01-80-C2-00-00-00
Actions: Permit ( Rx Rate: 64kbps) (64 kbps за глаза хватит)


У меня работает. Защищает сеть от петель у клиента следующих видов:
- Порт-порт (2 клиента соединили свои кабели напрямую, маловероятно, но...).
- Порт-свич-порт (2 клиента соединили свои кабели через свич или "умный" коммутатор)
- У клиента свой коммутатор/свич, и в нем петля порт-порт.

Рад слышать, что разобрались! Что касается сниффера, то если собираете ситуацию на стенде им лучше пользоваться при написании любых ACL, так как это самый простой способ проверить корректность написания правила.

в последней прошивке 6.00.B48 на DES-3526 я не вижу в конфигурации STP опцию LBD , т.е. LBD осталась только как отдельная ф-ция? можно ли теперь самостоятельный LBD и STP на одном порту использовать?

_________________
Как гласит закон Мэрфи - в любой программе есть по крайней мере одна ошибка.

2 atomic_chippolino > Вы что-то путаете, на данной моделе STP LBD не было.

_________________
С уважением,
Бигаров Руслан.

Задача - пресечерие любых петель. Перечитал топик.

На стр. 2 Руслан соглашается с методом отключения отдельной функции loopdetect и включения stp + lbd(stp-based) на клиентских портах.

На стр. 3 Иван рекомендует отключить lbd в stp (но сам stp должен быть включен на клиентских портах для защиты петель между портами) и включить независимую функцию loopdetect.

Кому верить и какой метод все-таки лучше применять ?

Совместно, т.е. STP LBD определяет петли между разными портами, но поскольку он не может определиь петлю с порта на этот же порт, то нужно ещё использовать LBD Independet STP v4.00.

P.S.: На DES-3200 LBD v4.03 может определять петлю с порта на этот же порт и между портами.

_________________
С уважением,
Бигаров Руслан.

И еще на 3200 нет STP LBD, судя по всему.

_________________
D-Link Switches: Tips & Tricks

С LBD v4.03 это и не нужно.

_________________
С уважением,
Бигаров Руслан.

В таком случае LBD STP-based и не нужен ведь, достаточно просто STP, он один из закольцованных портов переведет в Backup своими силами.

enable stp
config stp ports 1-24 state enable lbd disable
enable loopdetect
config loopdetect port 1-24 state enabled

Вам решать что нужно, а что нет. Но клиентские порты нужно объявить как edge и рестрикты на них включить.

_________________
С уважением,
Бигаров Руслан.

Это само собой...

Имеется два свича

Device Type : DES-3028 Fast Ethernet Switch
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.41.B06

Device Type : DES-3028G Fast Ethernet Switch
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.90.B05

Клиентские порты 1-24
Задача - защититься от петель в одном порту и от закорачивания двух портов

пытаюсь ввести

# STP

enable stp
config stp version rstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd disable lbd_recover_timer 60
config stp priority 36864 instance_id 0
config stp mst_config_id name 00:1E:58:AE:CC:F5 revision_level 0
config stp trap new_root enable topo_change enable
config stp ports 1-24 externalCost auto edge true p2p auto state enable lbd disable
config stp mst_ports 1-28 instance_id 0 internalCost auto priority 128
config stp ports 1-28 fbpdu enable
config stp ports 1-24 restricted_role true
config stp ports 1-24 restricted_tcn true
config stp ports 25-28 externalCost auto edge false p2p auto state disable lbd disable
config stp ports 25-28 restricted_role false
config stp ports 25-28 restricted_tcn false


# LOOP_DETECT

enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24 state enabled

На одном (2.41.B06) все проходит нормально.
На втором (2.90.B05) имеем
DES-3028G:5#config loopdetect port 1-24 state enabled
Command: config loopdetect ports 1-24 state enabled

Cannot enable LBD on the port as it is STP enabled.
Fail!

что делать? Откатываться не хочется