форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проблема подавления broadcast от одной станции на всю сеть."

Сообщение от _RAW_ (ok) on 27-Апр-06, 12:31

В общем есть проблема. У разработчиков в нашей организации стоит в тесте проект который общается внутри сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины 192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи (всего три машины - сервер и два клиента) - 192.168.0.0. Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся в одной комнате и соответственно к каталисту приходят на один порт. Допустим FastEthernet0/17. Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его на 10.4.253.0 Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой реакции. пакеты все равно флудят сеть. Как мне быть? желательно с примером. Пока мысли такие что надо организовать влан из 0/17 и что то на нем сделать. Но как это делается не знаю.. С вланами на каталистах не работал еще. В общем надеюсь на общественность.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Проблема подавления broadcast от одной станции на всю сеть."

Сообщение от fantom (??) on 27-Апр-06, 13:07

>В общем есть проблема. >У разработчиков в нашей организации стоит в тесте проект который общается внутри >сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины >192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи >(всего три машины - сервер и два клиента) - 192.168.0.0. > >Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся >в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся >в одной комнате и соответственно к каталисту приходят на один порт. >Допустим FastEthernet0/17. > >Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его >на 10.4.253.0 > >Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время >порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте >прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой >реакции. пакеты все равно флудят сеть. > >Как мне быть? желательно с примером. >Пока мысли такие что надо организовать влан из 0/17 и что то >на нем сделать. Но как это делается не знаю.. С вланами >на каталистах не работал еще. >В общем надеюсь на общественность. Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ компов предприятия, то можно просто выдернуть шнурок из 17-го порта :) если на этом порту ЕСТЬ компы из сети предприятия - разбивка на VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов непоймут. Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950 неумеет маршрутизировать трафик между VLAN-ами.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 27-Апр-06, 17:28
	>Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ >компов предприятия, то можно просто выдернуть шнурок из 17-го порта :) К сожалению сегмент целый предприятия. Обе сетки на одном физическом уровне. >если на этом порту ЕСТЬ компы из сети предприятия - разбивка на >VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов >непоймут. >Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950 > неумеет маршрутизировать трафик между VLAN-ами. Да, там трикомы неуправляемые дальше по сегменту... В принципе у меня 2620 лежит один пылится но там только один езернет, второй bri... так что в любом случае вланы бы не построил за отсутствием подходящего маршрутизатора... В общем засада. видимо придется терпеть по сетке флуд этот броадкастовый.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от Nailer (??) on 27-Апр-06, 18:05
	>>Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ >>компов предприятия, то можно просто выдернуть шнурок из 17-го порта :) > >К сожалению сегмент целый предприятия. Обе сетки на одном физическом уровне. > >>если на этом порту ЕСТЬ компы из сети предприятия - разбивка на >>VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов >>непоймут. >>Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950 >> неумеет маршрутизировать трафик между VLAN-ами. > >Да, там трикомы неуправляемые дальше по сегменту... >В принципе у меня 2620 лежит один пылится но там только один >езернет, второй bri... так что в любом случае вланы бы не >построил за отсутствием подходящего маршрутизатора... > >В общем засада. видимо придется терпеть по сетке флуд этот броадкастовый. На 2620, если оно XM, можно поднять транк и сделать рутинг.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от fantom (??) on 27-Апр-06, 18:23
	>>Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ >>компов предприятия, то можно просто выдернуть шнурок из 17-го порта :) > >К сожалению сегмент целый предприятия. Обе сетки на одном физическом уровне. > >>если на этом порту ЕСТЬ компы из сети предприятия - разбивка на >>VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов >>непоймут. >>Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950 >> неумеет маршрутизировать трафик между VLAN-ами. > >Да, там трикомы неуправляемые дальше по сегменту... >В принципе у меня 2620 лежит один пылится но там только один >езернет, второй bri... так что в любом случае вланы бы не >построил за отсутствием подходящего маршрутизатора... > >В общем засада. видимо придется терпеть по сетке флуд этот броадкастовый. Хватит и одного эзера, Если трафик на этом 17 порту не более  5-7Мбит, то 2620потянет, если больше - скорее всего непотянет. Кроме того сегмент за 17 портом придется в отдельную подсеть запихнуть.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 28-Апр-06, 14:20
	>Хватит и одного эзера, >Если трафик на этом 17 порту не более  5-7Мбит, то 2620потянет, >если больше - скорее всего непотянет. > >Кроме того сегмент за 17 портом придется в отдельную подсеть запихнуть. Там разработчики на том сегменте. штампуют к моему серверу SQL запросы постоянные. Трафик на уровне 50 мегабит в секунду. и сессий куча. Имхо 2620 не справится. помощнее нужно что то.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от Nailer (??) on 28-Апр-06, 14:49
	>>Хватит и одного эзера, >>Если трафик на этом 17 порту не более  5-7Мбит, то 2620потянет, >>если больше - скорее всего непотянет. >> >>Кроме того сегмент за 17 портом придется в отдельную подсеть запихнуть. > >Там разработчики на том сегменте. штампуют к моему серверу SQL запросы постоянные. >Трафик на уровне 50 мегабит в секунду. и сессий куча. Имхо >2620 не справится. помощнее нужно что то. Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-) Конфиг покажите, с акцесс-листом..
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 28-Апр-06, 17:12
	>Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-) > > >Конфиг покажите, с акцесс-листом.. Там сейчас чисто в аксесслистах. пробовал создать одно правило всего... access-list 101 deny udp host 192.168.0.101 10.4.253.0 в общем то этим и ограничивался по хорошему надо аксесслист запрещающий пулу 192.168.0.0 общаться по удп с сетью 10.4.253.0 ну или закрыть на 10.4.253.0 обращения по порту 21845... софтина работает по этому порту.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от Nailer (??) on 28-Апр-06, 17:29
	>>Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-) >> >> >>Конфиг покажите, с акцесс-листом.. > > >Там сейчас чисто в аксесслистах. > >пробовал создать одно правило всего... >access-list 101 deny udp host 192.168.0.101 10.4.253.0 > >в общем то этим и ограничивался > >по хорошему надо аксесслист запрещающий пулу 192.168.0.0 общаться по удп с сетью >10.4.253.0 > >ну или закрыть на 10.4.253.0 обращения по порту 21845... софтина работает по >этому порту. А вешать на порт вешали? :-) Или просто акцесс-лист создали?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	11. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 28-Апр-06, 17:35
	>А вешать на порт вешали? :-) Или просто акцесс-лист создали? не вешал... как? %)
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	12. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от Nailer (??) on 02-Май-06, 09:57
	>>А вешать на порт вешали? :-) Или просто акцесс-лист создали? > >не вешал... как? %) int fa0/1 ip access-group 1 in exit
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	13. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 03-Май-06, 10:22
	>int fa0/1 >ip access-group 1 in >exit я так понимаю номер access-group должен совпадать с номером access-list?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	14. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от Nailer (??) on 03-Май-06, 10:47
	>>int fa0/1 >>ip access-group 1 in >>exit > >я так понимаю номер access-group должен совпадать с номером access-list? да
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от nikl on 28-Апр-06, 17:29
	>>Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-) >> >> >>Конфиг покажите, с акцесс-листом.. > > >Там сейчас чисто в аксесслистах. > >пробовал создать одно правило всего... >access-list 101 deny udp host 192.168.0.101 10.4.253.0 а потом же стоит неявное access-list 101 deny any any
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 28-Апр-06, 17:32
	>а потом же стоит неявное >access-list 101 deny any any не, это вытер перед тем как программить. show access-lists показывает пустоту. или правило что я забиваю.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Проблема подавления broadcast от одной станции на всю сеть."

Сообщение от vorch on 03-Май-06, 13:17

>В общем есть проблема. >У разработчиков в нашей организации стоит в тесте проект который общается внутри >сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины >192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи >(всего три машины - сервер и два клиента) - 192.168.0.0. > >Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся >в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся >в одной комнате и соответственно к каталисту приходят на один порт. >Допустим FastEthernet0/17. > >Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его >на 10.4.253.0 > >Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время >порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте >прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой >реакции. пакеты все равно флудят сеть. > >Как мне быть? желательно с примером. >Пока мысли такие что надо организовать влан из 0/17 и что то >на нем сделать. Но как это делается не знаю.. С вланами >на каталистах не работал еще. >В общем надеюсь на общественность. Не будет вам счастья с 2950 :( Нужный вам ACL можно создать только на устройствах L3, а 2950 - чистый L2, на нем ACL вешается только на управляющий интерфейс. А вот если бы у вас был L3, тот же 2620, то ACL был бы приблизительно таким access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845 access-list 101 permit ip any any А потом int <нужный подинтерфейс> ip access-group 101 in

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	16. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от Nailer (??) on 03-Май-06, 13:25
	>>В общем есть проблема. >>У разработчиков в нашей организации стоит в тесте проект который общается внутри >>сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины >>192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи >>(всего три машины - сервер и два клиента) - 192.168.0.0. >> >>Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся >>в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся >>в одной комнате и соответственно к каталисту приходят на один порт. >>Допустим FastEthernet0/17. >> >>Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его >>на 10.4.253.0 >> >>Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время >>порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте >>прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой >>реакции. пакеты все равно флудят сеть. >> >>Как мне быть? желательно с примером. >>Пока мысли такие что надо организовать влан из 0/17 и что то >>на нем сделать. Но как это делается не знаю.. С вланами >>на каталистах не работал еще. >>В общем надеюсь на общественность. > > >Не будет вам счастья с 2950 :( Нужный вам ACL можно создать >только на устройствах L3, а 2950 - чистый L2, на нем >ACL вешается только на управляющий интерфейс. А вот если бы у >вас был L3, тот же 2620, то ACL был бы приблизительно >таким >access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845 >access-list 101 permit ip any any >А потом >int <нужный подинтерфейс> >ip access-group 101 in Акцесс-листы есть на 2950-EMI. На 2950-SMI все как вы сказали. http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c8.html
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	18. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от vorch on 04-Май-06, 10:22
	> >Акцесс-листы есть на 2950-EMI. На 2950-SMI все как вы сказали. > >http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c8.html Да, прошу прощения, не заметил, что в постановке задачи фигурирует C2950G-24-EI Тогда все просто access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845 access-list 101 permit ip any any int fa0/17 ip access-group 101 in
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	17. "Проблема подавления broadcast от одной станции на всю сеть."
	Сообщение от _RAW_ (ok) on 04-Май-06, 10:03
	>Не будет вам счастья с 2950 :( Нужный вам ACL можно создать >только на устройствах L3, а 2950 - чистый L2, на нем >ACL вешается только на управляющий интерфейс. А вот если бы у >вас был L3, тот же 2620, то ACL был бы приблизительно >таким >access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845 >access-list 101 permit ip any any >А потом >int <нужный подинтерфейс> >ip access-group 101 in У меня EI каталист... вродь нормально вешаются листы на интерфейсы. Проверил... Только вот прописал ща правила как вы сказали (110 их обозначил от греха подальше): access-list 110 deny udp 192.168.0.0 0.0.0.255 any eq 21845 access-list 110 permit ip any any повесил их на 17 интерфейс - куда кабелюка приходит от того сектора где флудит машина 192.168.0.101 interf fa 0/17 ip access-group 110 in зашил в память всё... проверил конфиг. листы есть, интерфейс говорит что привязан к группе правил 110. но броадкасты смотрю продолжаются. странненько.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]