Fanat_non_root 88 Опубліковано: 2011-10-19 14:42:34 Share Опубліковано: 2011-10-19 14:42:34 еще expect проще чем перл и для задачи подходит не хуже Ссылка на сообщение Поделиться на других сайтах
NightNET 57 Опубліковано: 2011-10-19 21:04:41 Автор Share Опубліковано: 2011-10-19 21:04:41 Спасибо, буду разбираться. Касательно АЦЛ , то я такими командами закрывал 67,68 порты на юзерских портах коммутаторов. Ссылка на сообщение Поделиться на других сайтах
NightNET 57 Опубліковано: 2011-10-23 12:58:38 Автор Share Опубліковано: 2011-10-23 12:58:38 Проблема так и вылазит.Скрипт интегрировать в Фрю не удалось=( Что предпринимал - На ТГшке ARP Aging Time установил 1200 sec(как по дефолту на Фре) Также закрыл udp/tcp_dst :135,137,138,139,445,src: 67,dst: 68 порты.На сколько это спасет от паразитного траффика посмотрим... config port_security 1-24 admin_state enable max_learning_addr 4 lock_address_mode DeleteOnReset - в большинстве свичей включить не могу, так как на портах висят мыльницы. Выкладываю команды для DES 1210-28 и DES 3200-18 , составить их не сложно, но может кому то пригодиться. Для 1210-28 create access_profile profile_id 1 ip tcp dst_port_msk 0xFFFF config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 137 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 138 ports 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 ports 1-28 deny create access_profile profile_id 2 ip udp dst_port_msk 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 ports 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 ports 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 135 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 139 ports 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 445 ports 1-28 deny create access_profile profile_id 3 ip udp src_port_mask 0xFFFF config access_profile profile_id 3 add access_id auto_assign ip udp src_port 67 ports 1-24 deny save logout Для 3200-18 create access_profile ip udp src_port_mask 0xFFFF profile_id 10 config access_profile profile_id 10 add access_id 1 ip udp src_port 67 port 1-16 deny create access_profile ip tcp dst_port_mask 0xFFFF profile_id 11 config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 port 1-18 deny config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 port 1-18 deny config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 port 1-18 deny config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 port 1-18 deny config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 port 1-18 deny create access_profile ip udp dst_port_mask 0xFFFF profile_id 12 config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 port 1-18 deny config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 port 1-18 deny config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 port 1-18 deny config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 port 1-18 deny config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 port 1-18 deny config access_profile profile_id 12 add access_id 6 ip udp dst_port 68 port 1-16 deny save all Ссылка на сообщение Поделиться на других сайтах
NightNET 57 Опубліковано: 2011-10-23 13:06:13 Автор Share Опубліковано: 2011-10-23 13:06:13 Такой вопрос - что из traffic control(storm control) - broadcast/multicast/unicast рекомендуеться включить и с каким количеством threshold для магистралей на ТГшке? И каким количеством threshold на 1210-28 (минимум 64 Kbps), при том,что в некоторые порты включены тупые свичи . Посоветуйте примером у кого как реализовано Ссылка на сообщение Поделиться на других сайтах
DD-WRT 15 Опубліковано: 2011-10-23 18:05:41 Share Опубліковано: 2011-10-23 18:05:41 В сети есть коммутаторы 3200 серии ??? если есть ищите бытые порты на коммутаторах этой серии, битые порты отключить и вставить заглушку в виде закороченного коннектора, и все будет в порядке. Ссылка на сообщение Поделиться на других сайтах
NightNET 57 Опубліковано: 2011-10-23 18:56:52 Автор Share Опубліковано: 2011-10-23 18:56:52 Да есть, 3 шт, 3200-18, проверяли порты, все ок. Ссылка на сообщение Поделиться на других сайтах
DD-WRT 15 Опубліковано: 2011-10-23 20:07:12 Share Опубліковано: 2011-10-23 20:07:12 Почему я спросил по поводу 3200 серии, после выхода этой серии мы взяли на тест 5 железок 3200-26 TG в качестве агрегации оптики используем, поставили их на 5 домов, все работало отлично до первой грозы, вроде бы и порты рабочие а у некоторых клиентов начались проблемы со связью, причем именно в сегменте с 3200 маки с 3200 были видны за пределами вланов, в общем поменяли на другие железки проблема исчезла по сей день. На паре 3200-26 были подгоревшие порты, так и валяются на складе эти 5 штук. Ссылка на сообщение Поделиться на других сайтах
NightNET 57 Опубліковано: 2011-10-24 06:43:50 Автор Share Опубліковано: 2011-10-24 06:43:50 Хорошо.что у нас их всего 3 значит) Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2012-01-19 12:31:09 Share Опубліковано: 2012-01-19 12:31:09 А есть смысл давать более 1-го мака разрешенного на порту? все равно ведь таймер на обновление мака 5 минут. Unicast MAC Address Aging Time = 300 или все таки поставить 2шт? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 606 Опубліковано: 2012-01-19 13:40:22 Share Опубліковано: 2012-01-19 13:40:22 Мы везде 2 разрешаем, просто для удобства. Шторма ведь все равно не получится. Ссылка на сообщение Поделиться на других сайтах
skybetik 129 Опубліковано: 2015-04-20 09:40:24 Share Опубліковано: 2015-04-20 09:40:24 Апну тему dgs-3100-24tg ACL Подскажите как настроить правильно на этом свиче такое . deny-tcp 135 deny-tcp 139 deny-udp 137 deny-udp 138 deny-tcp 2869 deny-tcp 5000 deny-udp 1900 deny-udp 67 Ссылка на сообщение Поделиться на других сайтах
skybetik 129 Опубліковано: 2015-04-20 10:28:54 Share Опубліковано: 2015-04-20 10:28:54 (відредаговано) Апну тему dgs-3100-24tg ACL Подскажите как настроить правильно на этом свиче такое . deny-tcp 135 deny-tcp 139 deny-udp 137 deny-udp 138 deny-tcp 2869 deny-tcp 5000 deny-udp 1900 deny-udp 67 Отвечу сам #DHCP create access_profile profile_id 1 ip udp src_port_mask ffff config access_profile profile_id 1 add access_id 1 ip udp src_port 67 ports 1:9 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 ports 9-24 deny ---- #tcp create access_profile profile_id 2 ip tcp dst_port_mask ffff config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 135 port 9-24 deny config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 139 port 9-24 deny config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 2869 port 9-24 deny config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 5000 port 9-24 deny #UDP create access_profile profile_id 3 ip udp dst_port_mask ffff config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 137 port 9-24 deny config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 138 port 9-24 deny config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 1900 port 9-24 deny как-то так оно будет DGS-3100# sh access_profile Access Profile Table Access Profile ID: 1 Type: Ip --------------------------------------------------------------------------- --------------------------------------------------------------------------- Mask Option: UDP Source Port Mask --------------------------------------------------------------------------- ffff Access ID: 1 Mode: Permit Ports: 1:8 UDP 67 Access ID: 2 Mode: deny Ports: 1:(9-24) UDP 67 Access Profile ID: 2 Type: Ip --------------------------------------------------------------------------- --------------------------------------------------------------------------- Mask Option: TCP Destination Port Mask --------------------------------------------------------------------------- ffff Access ID: 3 Mode: deny Ports: 1:(9-24) TCP 135 Access ID: 4 Mode: deny Ports: 1:(9-24) TCP 139 Access ID: 5 Mode: deny Ports: 1:(9-24) TCP 2869 Access ID: 6 Mode: deny Ports: 1:(9-24) TCP 5000 Access Profile ID: 3 Type: Ip --------------------------------------------------------------------------- --------------------------------------------------------------------------- Mask Option: UDP Destination Port Mask --------------------------------------------------------------------------- ffff Access ID: 7 Mode: deny Ports: 1:(9-24) UDP 137 Access ID: 8 Mode: deny Ports: 1:(9-24) UDP 138 Access ID: 9 Mode: deny Ports: 1:(9-24) Відредаговано 2015-04-20 10:32:32 skybetik Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас