Конфигурация коммутатора доступа

[alibek]

Просьба просмотреть конфигурацию, нет ли ошибок или недоработок.
Порты доступа 1-24, магистральные 25-28, VLAN на дом. Абоненты l2-connected, технология PPPoE, есть IPTV.
VLAN 400 для сервисов, VLAN 60 мультикастовый, VLAN 10 управление.

Код: Выделить всё

no spanning-tree
!
port jumbo-frame
!
bridge multicast filtering
!
vlan database
 vlan 10,60,300-499,800-1000
exit
!
ip igmp snooping
ip igmp snooping vlan 60
!
loopback-detection enable
!
pppoe intermediate-agent
!
multicast snooping profile TRUNK
 match ip 239.0.0.0 239.0.255.255
 match ip 239.195.0.0 239.195.255.255
exit
multicast snooping profile CLIENT
 match ip 239.0.0.0 239.0.255.255
 match ip 239.195.0.0 239.195.255.255
exit
!
hostname MES2124MB
!
line telnet
 exec-timeout 15
exit
!
no ip http server
!
clock timezone MSK +3
clock source sntp
sntp client poll timer 7200
sntp unicast client enable
sntp unicast client poll
sntp server 10.1.128.11 poll
sntp server 10.1.128.12 poll
!
service cpu-counters
!
interface range gigabitethernet 1/0/1-24
 loopback-detection enable
 switchport access vlan 400
 switchport protected-port
 storm-control broadcast enable
 storm-control broadcast level kbps 100
 storm-control broadcast logging
 storm-control include-multicast unknown-unicast
 port security mode max-addresses
 port security discard
 port security max 3
 switchport forbidden default-vlan
 pppoe intermediate-agent
 multicast snooping max-groups 5
exit
!
interface gigabitethernet 1/0/25
 switchport mode trunk
 switchport trunk allowed vlan add 10,60,300-499,800-999
 switchport forbidden default-vlan
 pppoe intermediate-agent trust
exit
!
interface range gigabitethernet 1/0/26-28
 switchport mode trunk
 switchport trunk allowed vlan add 10,60,300-499,800-999
 switchport protected-port
 switchport forbidden default-vlan
exit
!
interface vlan 1
 no ip address dhcp
exit
!
interface vlan 10
 name MGMT
 ip address 10.1.13.130 255.255.255.0
exit
!
interface vlan 60
 name IPTV
exit
!
ip default-gateway 10.1.13.250


[Евгений Т]

Добрый день.
Все хорошо, но не увидел:
1. На портах прикрепленных профилей multicast snooping profile
2. errdisable настроек для lbd (если они вам, конечно, нужны)
errdisable recovery cause loopback-detection
Ну и небольшая рекомендация. Для корректного использования функционала pppoe_ia рекомендуем вам обновиться на версию 1.1.44
В ближайшие дни выложим ее на сайт. Пока же отправьте в ЛС ваш почтовый адрес для отправки вам версии.

[alibek]

А как дропать на абонентских портах igmp query, серверные запросы dhcp, ложные PPPoE и т.п.?

[Евгений Т]

как дропать на абонентских портах igmp query

Абонентским порта можно запретить обучение мроутера.
ip igmp snooping vlan 30 forbidden mrouter interface
GigabitEthernet Giga ethernet interface to configure
Port-Channel Ethernet Channel of interfaces

серверные запросы dhcp

Настройте dhcp snooping, чтобы исключить подмену dhcp сервера.

ложные PPPoE

Что под этим понимается? Вы уже настроили pppoe_ia и клиентские padi полетят только на трастовый порт коммутатора.

[alibek]

Абонентским порта можно запретить обучение мроутера.

Ок, попробую.
А просто ip igmp snooping drop query|report не планируется?

Настройте dhcp snooping, чтобы исключить подмену dhcp сервера.

У меня в сети вообще нет DHCP, мне нужно чтобы в случае ошибочного подключения в LAN-порт домашнего маршрутизатора этот маршрутизатор не назначал абонентам IP-адреса. Изоляция портов у меня включена, но иногда ее необходимо выключать.

Что под этим понимается?

Ложный PPPoE концентратор, который может воровать пароли.
Я считал, что PPPoE IA только ставит метку на пакеты, в которой зафиксирован коммутатор и порт.
Вы имеете ввиду, что при включении PPPoE IA PADI-пакеты будут отправляться только на аплинк, а PADO-пакеты не с аплинка будут дропаться?

[Евгений Т]

А просто ip igmp snooping drop query|report не планируется?

Если только через ACL.

У меня в сети вообще нет DHCP, мне нужно чтобы в случае ошибочного подключения в LAN-порт домашнего маршрутизатора этот маршрутизатор не назначал абонентам IP-адреса. Изоляция портов у меня включена, но иногда ее необходимо выключать.

Можно через ACL
ip access-list extended test
deny udp any bootps any bootpc
permit ip any any any any
ex

Вы имеете ввиду, что при включении PPPoE IA PADI-пакеты будут отправляться только на аплинк, а PADO-пакеты не с аплинка будут дропаться?

Да. PADO пакеты не будут отправляться, ведь PADI не дойдут.

[alibek]

Можно через ACL

Подскажите, ACL, примененные к порту, будут действовать на трафик внутри PPPoE?

[Евгений Т]

Нет. Приведенные ACL на PPPoE не действуют. PPPoE - L2 трафик. Для него MAC ACL. Я показал пример настройки IP ACl.

[alibek]

Включаю IPTV, трансляция начинается.
Через некоторое время останавливается.
Если сменить или переподключить канал, то трансляция снова включается на какое-то время.

Видимо не стыкуются тайминги.
Посоветуйте, как настроить мультикаст, чтобы трансляции не прерывались?

[Евгений Т]

IGMP querier в сети есть? Если есть, то кто им является?
Куда подключен мультикаст? Мультикаст идет от провайдера или у вас свой сервер?

[alibek]

В сети есть коммутатор Cisco Catalyst 3750, в него подключены источники мультикаста (есть и внешний поставщик, и свой контент) и на нем же работает igmp querier.
C3750 подключен к коммутатору ядра, к ядру подключены коммутаторы агрегации, к агрегации подключены коммутаторы доступа.
Мультикаст в общем VLAN на всю сеть; для всей сети он приходит только с аплинка (с ядра).

[alibek]

И еще подскажите, по коммутатору MES2124.
Я хочу, чтобы на абонентских портах (1-24) скорость была 100M.
В конфигурацию порта добавить speed 100 или нужно еще что-то?

[alibek]

Иногда при конфигурации диапазона интерфейсов я получаю сообщение:
Interface is locked, but the configuration is updated

С этим нужно что-то делать?

[Евгений Т]

В конфигурацию порта добавить speed 100 или нужно еще что-то?

Лучше negotiation 100f

Иногда при конфигурации диапазона интерфейсов я получаю сообщение:
Interface is locked, but the configuration is updated

Потому что у вас port security настроен. Это информационное сообщение.

Общение по остановке мультикаста предлагаю перевести в почту для быстроты решения.

[senya]

Здравствуйте! Можно конфигурацию изоляции портов для 1124mb? Аплинк 28 порт