Fanat_non_root 88 Posted 2011-10-19 14:42:34 Share Posted 2011-10-19 14:42:34 еще expect проще чем перл и для задачи подходит не хуже Link to post Share on other sites
NightNET 88 Posted 2011-10-19 21:04:41 Author Share Posted 2011-10-19 21:04:41 Спасибо, буду разбираться. Касательно АЦЛ , то я такими командами закрывал 67,68 порты на юзерских портах коммутаторов. Link to post Share on other sites
NightNET 88 Posted 2011-10-23 12:58:38 Author Share Posted 2011-10-23 12:58:38 Проблема так и вылазит.Скрипт интегрировать в Фрю не удалось=( Что предпринимал - На ТГшке ARP Aging Time установил 1200 sec(как по дефолту на Фре) Также закрыл udp/tcp_dst :135,137,138,139,445,src: 67,dst: 68 порты.На сколько это спасет от паразитного траффика посмотрим... config port_security 1-24 admin_state enable max_learning_addr 4 lock_address_mode DeleteOnReset - в большинстве свичей включить не могу, так как на портах висят мыльницы. Выкладываю команды для DES 1210-28 и DES 3200-18 , составить их не сложно, но может кому то пригодиться. Для 1210-28 create access_profile profile_id 1 ip tcp dst_port_msk 0xFFFF config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 137 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 138 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 ports 1-28 deny create access_profile profile_id 2 ip udp dst_port_msk 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 ports 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 ports 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 135 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 139 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 445 ports 1-28 deny create access_profile profile_id 3 ip udp src_port_mask 0xFFFF config access_profile profile_id 3 add access_id auto_assign ip udp src_port 67 ports 1-24 deny save logout Для 3200-18 create access_profile ip udp src_port_mask 0xFFFF profile_id 10 config access_profile profile_id 10 add access_id 1 ip udp src_port 67 port 1-16 deny create access_profile ip tcp dst_port_mask 0xFFFF profile_id 11 config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 port 1-18 deny config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 port 1-18 deny config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 port 1-18 deny config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 port 1-18 deny config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 port 1-18 deny create access_profile ip udp dst_port_mask 0xFFFF profile_id 12 config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 port 1-18 deny config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 port 1-18 deny config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 port 1-18 deny config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 port 1-18 deny config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 port 1-18 deny config access_profile profile_id 12 add access_id 6 ip udp dst_port 68 port 1-16 deny save all Link to post Share on other sites
NightNET 88 Posted 2011-10-23 13:06:13 Author Share Posted 2011-10-23 13:06:13 Такой вопрос - что из traffic control(storm control) - broadcast/multicast/unicast рекомендуеться включить и с каким количеством threshold для магистралей на ТГшке? И каким количеством threshold на 1210-28 (минимум 64 Kbps), при том,что в некоторые порты включены тупые свичи . Посоветуйте примером у кого как реализовано Link to post Share on other sites
DD-WRT 15 Posted 2011-10-23 18:05:41 Share Posted 2011-10-23 18:05:41 В сети есть коммутаторы 3200 серии ??? если есть ищите бытые порты на коммутаторах этой серии, битые порты отключить и вставить заглушку в виде закороченного коннектора, и все будет в порядке. Link to post Share on other sites
NightNET 88 Posted 2011-10-23 18:56:52 Author Share Posted 2011-10-23 18:56:52 Да есть, 3 шт, 3200-18, проверяли порты, все ок. Link to post Share on other sites
DD-WRT 15 Posted 2011-10-23 20:07:12 Share Posted 2011-10-23 20:07:12 Почему я спросил по поводу 3200 серии, после выхода этой серии мы взяли на тест 5 железок 3200-26 TG в качестве агрегации оптики используем, поставили их на 5 домов, все работало отлично до первой грозы, вроде бы и порты рабочие а у некоторых клиентов начались проблемы со связью, причем именно в сегменте с 3200 маки с 3200 были видны за пределами вланов, в общем поменяли на другие железки проблема исчезла по сей день. На паре 3200-26 были подгоревшие порты, так и валяются на складе эти 5 штук. Link to post Share on other sites
NightNET 88 Posted 2011-10-24 06:43:50 Author Share Posted 2011-10-24 06:43:50 Хорошо.что у нас их всего 3 значит) Link to post Share on other sites
Melanxolik 63 Posted 2012-01-19 12:31:09 Share Posted 2012-01-19 12:31:09 А есть смысл давать более 1-го мака разрешенного на порту? все равно ведь таймер на обновление мака 5 минут. Unicast MAC Address Aging Time = 300 или все таки поставить 2шт? Link to post Share on other sites
KaYot 3,732 Posted 2012-01-19 13:40:22 Share Posted 2012-01-19 13:40:22 Мы везде 2 разрешаем, просто для удобства. Шторма ведь все равно не получится. Link to post Share on other sites
skybetik 134 Posted 2015-04-20 09:40:24 Share Posted 2015-04-20 09:40:24 Апну тему dgs-3100-24tg ACL Подскажите как настроить правильно на этом свиче такое . deny-tcp 135 deny-tcp 139 deny-udp 137 deny-udp 138 deny-tcp 2869 deny-tcp 5000 deny-udp 1900 deny-udp 67 Link to post Share on other sites
skybetik 134 Posted 2015-04-20 10:28:54 Share Posted 2015-04-20 10:28:54 (edited) Апну тему dgs-3100-24tg ACL Подскажите как настроить правильно на этом свиче такое . deny-tcp 135 deny-tcp 139 deny-udp 137 deny-udp 138 deny-tcp 2869 deny-tcp 5000 deny-udp 1900 deny-udp 67 Отвечу сам #DHCP create access_profile profile_id 1 ip udp src_port_mask ffff config access_profile profile_id 1 add access_id 1 ip udp src_port 67 ports 1:9 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 ports 9-24 deny ---- #tcp create access_profile profile_id 2 ip tcp dst_port_mask ffff config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 135 port 9-24 deny config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 139 port 9-24 deny config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 2869 port 9-24 deny config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 5000 port 9-24 deny #UDP create access_profile profile_id 3 ip udp dst_port_mask ffff config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 137 port 9-24 deny config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 138 port 9-24 deny config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 1900 port 9-24 deny как-то так оно будет DGS-3100# sh access_profile Access Profile Table Access Profile ID: 1 Type: Ip --------------------------------------------------------------------------- --------------------------------------------------------------------------- Mask Option: UDP Source Port Mask --------------------------------------------------------------------------- ffff Access ID: 1 Mode: Permit Ports: 1:8 UDP 67 Access ID: 2 Mode: deny Ports: 1:(9-24) UDP 67 Access Profile ID: 2 Type: Ip --------------------------------------------------------------------------- --------------------------------------------------------------------------- Mask Option: TCP Destination Port Mask --------------------------------------------------------------------------- ffff Access ID: 3 Mode: deny Ports: 1:(9-24) TCP 135 Access ID: 4 Mode: deny Ports: 1:(9-24) TCP 139 Access ID: 5 Mode: deny Ports: 1:(9-24) TCP 2869 Access ID: 6 Mode: deny Ports: 1:(9-24) TCP 5000 Access Profile ID: 3 Type: Ip --------------------------------------------------------------------------- --------------------------------------------------------------------------- Mask Option: UDP Destination Port Mask --------------------------------------------------------------------------- ffff Access ID: 7 Mode: deny Ports: 1:(9-24) UDP 137 Access ID: 8 Mode: deny Ports: 1:(9-24) UDP 138 Access ID: 9 Mode: deny Ports: 1:(9-24) Edited 2015-04-20 10:32:32 by skybetik Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now