Настройка DMZ на роутере
Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети. Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.
Установка статического IP-адреса
Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP 192.168.0.1, то для компьютера можно указать 192.168.0.10. Маска подсети стандартная – 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.
Следует обратить внимание, что IP-адрес, заданный компьютеру не должен быть в диапазоне адресов, раздаваемых. На этом настройка компьютера завершена и можно переходить к настройкам роутера. На этом настройка компьютера завершена и можно переходить к настройкам роутера
На этом настройка компьютера завершена и можно переходить к настройкам роутера.
Настройка роутера
Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.
Находим соответствующий пункт меню в веб-интерфейсе устройства:
- На роутерах Asus нужная вкладка так и называется – DMZ.
- На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
- У D-Link ищите пункт «Межсетевой экран».
В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это 192.168.0.10.
Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.
Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.
Создание DMZ удобный способ упростить работу нужных программ, однако следует иметь в виду, что открытый доступ к ПК повышает риски сетевых атак и заражения вирусами.
Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.
DMZ в роутере — это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера.
Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером. Особенно часто DMZ применяется для доступа из любой точки интернета к IP камерам или видеорегистратору, т.е. для видеонаблюдения.
Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые.
DMZ — это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:
Ввести в настройках DMZ роутера IP видеорегистратора
Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS
Почему для DMZ требуется именно постоянный IP адрес, и почему его можно заменить DDNS?
Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.
Настройка MTU на компьютере
Для увеличения производительности, чтобы на маршрутизатор не приходили слишком большие пакеты, возможна настройка MTU на оборудовании. В частности, можно выставить размер MTU на персональном компьютере, требуется воспользоваться командной строкой, запущенной от имени администратора:
- Определим текущее значение MTU. В командной строке выполнить команду «netsh interface ipv4 show subinterfaces». В строке ответа напротив Ethernet видим, что текущий параметр MTU, составляет 1500
- Установим новое значение. В командной строке следует выполнить команду, например, если необходимо заменить на 1024, то она будет выглядеть следующим образом: «netsh interface ipv4 set subinterface “Ethernet” mtu=1024 store=persistent»
- Проверяем, что новое значение установилось
После данной установки на компьютере, с него будут отправляться пакеты, у которых максимальный размер на уровне IP будет 1024 байта, но на MAC уровне максимальный отправляемый блок данных будет размером 1038 байт (14 из них для заголовка MAC).
Большего размера пакеты не будут отправляться. То есть, если в настройках роутера рассчитан и правильно выставлен MTU 1024, то точно такой же MTU следует задать в настройках подключенного к нему компьютера.
Настройка сервера на базе роутера Asus RT-N14U на заводской прошивке
В качестве подопытного выбран бюджетный маршрутизатор Asus RT-N14U с поддержкой USB, возможностью подключения принтера и 3G/4G модуля. Стандартная прошивка позволяет настроить его в качестве файлового/медиа сервера.
Прежде всего нужно подключить внешний накопитель к USB порту и убедиться в его работоспособности. Увидеть то, что роутер определил флешку или диск можно на главной странице настроек маршрутизатора. Будет показано имя накопителя и его объем.
Настройка сервера осуществляется через пункт меню «USB-приложение» по кнопке «Файл/Медиа-сервер». Откроется новая страница настроек с несколькими вкладками. На вкладке «Сетевое окружение (samba)» настраивается доступ к ресурсам диска, при необходимости настраивается разграничение доступа по пользователю/паролю или же общий гостевой доступ для всех пользователей. Выставляются права на файлы: чтение (R), запись (W) или запрет на доступ (N).
Для того, чтобы пользоваться общим диском, нужно подключить его к компьютеру, планшету или телефону. На компьютерах с операционной системой Windows подключение выполняется через Проводник, меню «Сервис — Подключить сетевой диск» или выполнить команду:
net use \\192.168.1.1
Для систем Linux в терминале выполняется команда mount.cifs (должен быть установлен пакет cifs-utils):
mount.cifs //192.168.1.1 /mnt/sharefolder
Доступ с телефона или планшета под управлением Android или iOS возможет при установке программы ASUS Aicloud
Вкладка «Общий ресурс в FTP» позволяет открыть общий доступ к ресурсам через FTP протокол. Настраивается аналогично файловому серверу. Для этого службу нужно включить и при желании можно разрешить вход анонимным пользователям, что делать категорически не рекомендуется по соображениям безопасности. Использовать FTP из интернета можно только при наличии статического IP адреса или используя службу DDNS.
Вкладка «Другие настройки» позволяет изменить имя устройства, название рабочей группы, количество одновременных подключений к серверу и настроить кодировку символов.
Маршрутизатор позволяет автоматически скачивать и раздавать файлы, используя протоколы HTTP/FTP или службу Torrent. Файлы загружаются в выбранную папку внешнего дискового накопителя. Служба загрузки (Download Master) устанавливается непосредственно на накопитель и занимает объем 50 Мб. Установка происходит нажатием на кнопку «Intall» меню «USB-приложение». Нужно выбрать в какую папку для установки службы и, после установки, ее нужно будет запустить. Эта утилита запускается отдельной службой и работает через TCP порт 8081. Можно в браузере набирать адрес роутера и порт для доступа и управления загрузками, например, http://192.168.1.1:8081.
В настройках утилиты можно выбрать папку для сохранения файлов, порт работы программы, и некоторые другие варианты конфигурации. Добавление ссылок для закачки осуществляется через интуитивно понятный интерфейс и не составить сложности разобраться самостоятельно.
Стандартная прошивка поддерживает технологию DLNA. Эта технология предназначена для просмотра мультимедиа контента на телевизорах, планшетах, телефонах без установки дополнительного ПО. Устанавливается служба через меню «USB-приложение», кнопка «Media Server Install». После установки службу нужно будет включить и указать папку, где будут храниться медиафайлы.
Настройка в роутере
Настройка dmz зависит от модели вашего роутера. Более того, способы отличаются не только для маршрутизаторов двух разных производителей, но и для одного. Все зависит от версии прошивки, которая используется в маршрутизаторе. Если вы не знаете, старая или новая версия у вас установлена, просмотрите оба варианта и найдете знакомые пункты меню. К счастью, некоторые производители оставляют одни и те же названия пунктов меню, так что алгоритм будет одинаковым, несмотря на различие внешнего вида.
Все настройки происходят через интерфейс устройства. Чтобы попасть в него, наберите адрес в поисковой строке браузера. Стандартный адрес посмотрите на нижней стороне роутера (обычно 192.168.0.1 или 192.168.1.1). После того, как наберете, нажмите Enter. Откроется веб-сайт, внешний вид которого зависит от модели и прошивки. Введите логин и пароль, по умолчанию admin в оба поля.
Asus
В левой части окна, в меню найдите вкладку «Интернет» и нажмите на неё. Теперь кликните по разделу DMZ. Активируйте функцию и вбейте адрес устройства. В конце не забудьте нажать «Применить».
TP-Link
В первых версиях прошивки нужный раздел находится на вкладке «Переадресация». Зайдите туда, включите и введите нужные данные.
В новой версии путь будет чуть дольше. «Дополнительные настройки» – «NAT переадресация» – щелкаем по нужному разделу, ставим галочку, тут впишите IP-адрес девайса и щелкните по сохранению.
D-Link
Здесь перейдите в расширенные настройки, а дальше найдите «Межсетевой экран», здесь будет доступен DMZ. Поставьте галочку на включении и вбейте адрес устройства. Можно просто выбрать из уже подключенных девайсов. На некоторых маршрутизаторах есть настройка «NAT Loopback». Она позволяет фильтровать пакеты, которые уходят в интернет через сетевой экран. Если у вас слабый аппарат, то включать её не стоит, так как она сильно нагружает процессор роутера.
Zyxel
Здесь все опять зависит от версии прошивки, точнее, от версии самого роутера. Для начала рассмотрим старые модели. Нужные опции находятся в разделе «Домашняя сеть», из него перейдите в «Устройства» и выберите из списка тот агрегат, который будет играть роль дмз-хоста. Откроется окно с описанием устройства. Напишите название и поставьте галочку «Постоянный IP-адрес»
Обратите внимание: на «Доступ в Интернет» должен быть установлен режим «Разрешен». Жмите на кнопку «Зарегистрировать»
Далее щелкните по вкладке «Безопасность» и перейдите в раздел «Трансляция сетевых адресов (NAT)», кликните по кнопке «Добавить правило». Там проставьте следующую информацию:
- описание – любое, просто поставьте такое, чтобы точно не забыть;
- интерфейс – укажите тот, через который идет подключение к глобальной сети;
- протокол – оставьте только TCP/UDP (все порты и ICMP);
- перенаправить на адрес – здесь поставьте адрес будущего внешнего устройства.
Keenetic
В новой прошивке, установленной на последних моделях модема, все выглядит практически так же, только немного поменялись названия. Для начала перейдите в «Мои сети и Wi-Fi», затем выберите «Список устройств», проверьте, что нужное устройство находится в зарегистрированных. Для перехода к этапу регистрации щелкните по нужному девайсу, напишите имя и нажмите на «Зарегистрировать».
Теперь найдите свой девайс в зарегистрированных устройствах и снова кликните по нему. Здесь найдите настройку «Постоянный IP-адрес» и активируйте её.
Теперь направляйтесь в раздел «Сетевые правила», далее пункт «Переадресация» и нажимаем на создание правила. Введите следующие данные:
- установите галку «Включить правило»;
- описание – любое, но такое, чтобы случайно не удалить;
- вход – укажите тот, через который поступает интернет;
- выход – укажите здесь ДМХ хост;
- протокол – выбирайте «TCP/UDP (все порты и ICMP)»;
- расписание работы – оставьте «Работает постоянно» или займитесь созданием расписания.
Tenda
Перейдите в «Расширенные настройки» и щелкните по хосту ДМЗ. Переведите рычажок во включенное положение и введите адрес.
В новой прошивке найдите «Advanced», а дальше раздел dmz host. Включите его и введите адрес.
Настройки простые и есть почти во всех стационарных моделях маршрутизаторов. Бывает dmz и в usb модеме, правда, здесь уже все зависит от продвинутости самого устройства. Все-таки не ко всем из них подключается несколько устройств, большинство рассчитаны на использование только с одним. Чтобы это выяснить, лучше прочитать характеристики на сайте производителя.
Статья помоглаНе помогла
Как работает роутер
Самый обычный домашний роутер, который уже есть почти в каждой квартире – это весьма интересное и сложное устройство. Между прочим, оно объединяет в себе функции сразу трёх различных сетевых устройств:
- свитч – устройство для объединения других сетевых устройств в локальную сеть
- беспроводная точка доступа, которая отвечает за Wi-Fi соединение
- сам роутер, который отвечает за маршрутизацию трафика между сетями (в домашних роутерах он просто перенаправляет трафик в сеть Интернет-провайдера и обратно)
В роутере в качестве операционной системы установлен Linux (да-да). У очень многих роутеров имеется DHCP-сервер, веб-сервер, SSH-сервер, NAT, Telnet, файервол – всё это есть практически в каждом домашнем роутере. Также могут быть дополнительные сервисы и утилиты.
Между прочим, при профессиональном развёртывании сети (например, в крупной организации, которая занимает несколько этажей здания), используются все три упомянутых сетевых элемента по отдельности: с помощью свитчей компьютеры и серверы объединяются в локальную сеть. На самом деле, для локальной сети роутер не нужен – один или несколько свитчей справятся с передачей локального трафика. Свитч – это устройство второго уровня (Layer 2), который называется канальным (data link). Свитчи не имеют IP и не понимают их. Перенаправление трафика в локальной сети, то есть с помощью свитчей, происходит на основе MAC-адресов.
Беспроводные точки доступа (AP) – это также устройства второго уровня – у них нет своих IP адресов. В больших сетях AP подключаются к свитчам.
И, наконец, классические роутеры – в них нет необходимости при передаче данных в локальной сети – они нужны для маршрутизации трафика МЕЖДУ сетями. Это могут быть локальные подсети одной организации или локальная сеть организации и сеть Интернет-провайдера.
Как уже было сказано, в домашнем роутере все необходимые элементы для обеспечения локальной сети и маршрутизации трафика во внешнюю сеть собраны в одном устройстве.
Упрощённо говоря – порты LAN вашего роутера – это свитч, который подключён к роутеру по внутреннему сетевому интерфейсу (eth0, например), а порт WAN – это сетевой интерфейс роутера для маршрутизации трафика во внешние сети. На самом деле – это чуть упрощённая модель, все порты LAN 1-4 и WAN могут принадлежать одному программируемому свитчу и быть разделены с помощью виртуальных LAN (VLAN) – не будем вникать в такие дебри, но просто знайте, что это позволяет, к примеру, изменить VLAN1 и VLAN2 так, что у роутера будет, например, три WAN порта и два LAN.
Я буду показывать настройку роутера на примере RT-N66U с прошивкой Asuswrt-Merlin. Большая часть из этих настроек доступна для большинства роутеров. Но внешний вид веб интерфейса может быть самым разным, в том числе совершенно не похожим на скриншоты, которые я сделал для вас.
Если вы и так знаете, как настраивать роутер, то переходите сразу к хардкорной части.
Сколько IP адресов у роутера
Домашнему роутеру необходимо и достаточно ровно два IP адреса. Один IP адрес – в локальной сети, и ещё один IP адрес для сети Интернет-провайдера. У каждого роутера должно быть столько IP адресов, к скольким сетям он одновременно подключён. К примеру, если роутер объединяет три подсети, то у него три IP адреса.
Как включить upnp на роутере, самостоятельно
Прежде всего – что такое UPNP? Это – служба Universal Plug and Play, позволяющая автоматически находить и настраивать любые устройства в локальной сети. Сначала – рассмотрим, как включить upnp на роутере, затем – на компьютере. Все популярные программы: uTorrent, ICQ, Skype – корректно работают с этой службой, в них нужно просто «включить» UPNP… Все остальные настройки (портов и IP-адресов для работы программ), система «берет на себя». То есть, настраивать ничего не придется, в каждой новой программе – включается UPNP, и роутер – выдает «адрес» и «порт». Впрочем, все – по порядку.
Что даст вашей локальной «сети» включение UPNP? Высокую скорость работы на торрентах, без необходимости настраивать роутер. Технологию UPNP «понимают» большинство современных программ. Отсутствует необходимость в проброске портов
Вручную же, настраивать сопоставление портов для каждой программы – сложно; а без него, не будет реакции на «внешнюю» сеть (важно для FTP-server, Skype, ICQ)
Чтобы включить службу UPNP, сначала – внесем изменения в настройки роутера.
Настраиваем роутер
Зайдите в web-интерфейс вашего роутера. Нужна вкладка с «дополнительными настройками». На примере dir-300: «Advanced Network» ->«Advanced».
Web интерфейс роутера
Установив одну галочку «Enable UPNP», сохраните настройки с перезагрузкой («Save Settings»).
На D-link 500T, нужно включить UPnP (вкладка «Advanced» – > «UPnP») и DHCP-1-34 (и, затем – жать «Apply»).
Web интерфейс роутера D-link 500T
Смысл, в общем, понятен: в большинстве роутеров, сервис включается одной галочкой («UPNP»), с сохранением данных и перезагрузкой. Другие примеры – будут рассмотрены дальше.
Изменяем настройки на компьютере
В «Панель управления», в меню «Сетевых подключений» – нужен пункт «Дополнительные компоненты»:
Сетевые подключения
В новом окне, смотрим «состав» «Сетевых служб»:
Компоненты Windows
Здесь – как раз и включается «интерфейс UPNP».
Пользовательский интерфейс UPNP
Жмем «ОК». Затем «Далее». Ждем какое-то время (до завершения установки):
Мастер настройки
После которой, среди «Сетевых подключений» – появится новое («Шлюз Интернета»):
Окно “сетевые подключения”
На этом, настройка – завершена. Аналогичные действия, выполняем на каждом компьютере.
Примечание: иногда, чтобы сервис начал работать, требуется перезагрузка ПК.
Например, пусть это будет u-Torrent:
Настройка программы u-Torrent
В меню «Настройки» – нажать «Настройки Программы». Выбрать «Соединение». И настройть – как на рисунке. После «ОК» -> «Применить», торрент будет работать c UPNP.
Убедиться в чем – можно, перейдя к «Свойствам» соединения в «Шлюзе»:
Контекстное меню
В «Свойствах», нужно нажать «Параметры»:
Параметры подключения – Свойство
В которых, мы видим, что правило для «u-Torrent» – появилось автоматически:
Дополнительные параметры
Примечание: если u-Torrent установлен на нескольких «станциях» сети, в каждом u-Torrent-е, вы задаете «свой» порт:
Настройка портов
К примеру, возможны значения: 64400, 64399, и т.д. Притом, ни в коем случае не нужно задействовать «Случайный порт».
Настройка клиента u-Torrent – завершена.
Приступим к настройке программы Skype:
Настройка клиента Skype
Вот как настроить UPNP в «Скайп» (включив одну галочку – «UPNP»). В результате, получим локальную сеть, которая работает так.
Схема подключения
Ваша программа, станет доступна из внешней сети по «внешнему» IP-адресу (в паре «внешний» IP: ее «порт»). Следить нужно только за тем, чтобы значения «порта» – не пересекались (в разных программах; на разных ПК). Пожалуй, это – единственное, что от пользователя требуется.
Дополнительно: включение в роутерах сервиса «UPNP»
В Zyxel keenetic (v1):
Web интерфейс Zyxel keenetic
Вкладка «Домашняя сеть» -> «UPNP», нужна галочка – «Разрешить». Нажав «Сохранить», вы сохраните настройки без перезагрузки (которая, вроде бы, не обязательна).
Web интерфейс dir-620
Здесь UPNP – на последней закладке «Сети» (ставим галочку, сохраняем, перезагружаем).
Как устроен типичный ISP (Internet Service Provider)
Многие задаются вопросом как устроена сеть провайдера или как им самим строить сеть, в данной статье я покажу как спроектирована и работает сеть у меня, на логическом уровне. Хотя не считаю свою структуру за идеальную, можно было сделать и лучше, но это мое имхо
Типичная сеть передачи данных состоит из 4-х уровней, многие говорят что 3 но на самом деле их 4
1 уровень – граница сеть, т.е стык с другими операторами, он же бордер На этом уровне обычно ведется работа с магистральными операторами у кого берем Интернет и операторами клиентами – которым даем Интернет
2 уровень – это само ядро сети В него входят биллинг, radius сервер, центральные коммутаторы куда все воткнуто, NAT и шейперы (которыми нарезаем полосу клиенту. Можно резать и на порту управляемого коммутатора – но в таком случае и локальные ресурсы будут на тарифной скорости, нам-же надо предоставить тарифную скорость в Интернет и до 100мбит внутри своей сети Взаимодействие между оборудованием обычно тоже происходит с помощью протоколов динамической маршрутизации таких как BGP (В этом случае внутреннее BGP или OSPF), но есть и приверженцы статических маршрутов
3 уровень – это уровень распределения, агрегация В этот уровень обычно обычно входят управляемые коммутаторы (2-го или 3-го уровня) квартала или района, в зависимости от внутреннего устройства сети. В моем случае ставятся коммутаторы 3-го уровня и иногда дополняются коммутатором 2-го уровня, т.к при схеме VLAN на дом – не стоит разгребать домовые вланы в ядре сети
4 уровень – уровень доступа, акцесс, точка клиентского доступа Это те самые домовые свитчи которые стоят в подвалах и на чердаках домов в ящике. К ним уже подключаются клиенты. В странах СНГ чаще всего используется D-Link DES-3526, D-Link 3026 и потихоньку начали ставить D-Link DES-3028, для юридических лиц обычно уже брезгуют длинками и ставят Cisco Catalyst 2950
Теперь о том как это работает у меня:
1) устройство 1-го уровня
В качестве пограничных маршрутизаторов используются 2 железки Juniper j4350 к каждой из которых подключен свой магистральный аплинк, взаимодействие с аплинками происходит с помощью BGP протокола (т.е отдаем аплинкам сети закрепленные за нашей AS (автономная система) и получаем от них полный список маршрутов в сети Интернет (full-view)
2) устройство 2-го уровня
На втором уровне происходит NAT-инг клиентов, шейпирование тарифных скоростей и маршрутизация (Интернет или пиринговые сети)
В качестве NAT-еров и шейперов используются две интелевских серверных платформы под управлением FreeBSD (на каждом из них производится и NAT и нарезка скоростей и каждый из них резервирует друг друга). Шейпинг осуществляется с помощью dummynet и таблиц (tablearg) а нат с помощью pf Так-же между этими маршрутизаторами и пограничными маршрутизаторами (j4350) бегает внутреннее BGP для того чтобы в случае отказа одного из бордеров – быстро переключится на второй да и некая балансировка трафика тоже не будет лишней Между маршрутизаторами и коммутаторами 3-го уровня бегает протокол OSPF для обмена внутрисетевыми и пиринговыми маршрутами + мы аннонсим с маршрутизаторов на них дефаулт роут, т.е маршрут по умолчанию. Маршрутизатор 1 имеет метрику 100 Маршрутизатор 2 имеет метрику 200, т.е в случае отказа одного из маршрутизаторов – все пакеты пойдут через резервные ( интервал переключения около 10 секунд)
3) устройство 3-го уровня
При моей схеме VLAN на дом на уровне распределения приходится держать коммутаторы 3-го уровня, которые занимаются маршрутизацией домовых сетей и вланов. На коммутаторах работает IGMP snooping, обрезается весь ненужный мультикаст и режутся бродкасты и порты NetBIOS (tcp/udp 135-139, 445)
4) устройство 4-го уровня
На четвертом уровне стоят коммутаторы D-Link DES-3526, планируем ставить DES-3028, т.к 4-ре гигабитных порта очень часто нужны. Да и по слухам 3526 уже EOL К коммутаторам напрямую подключаются клиенты, на абонентских порах включен loopback detect (для выключения портов с петлей), максимальное количество mac-адресов на порту равно 5, включен igmp snooping и фильтруется весь мультикаст кроме диапазонов 224.200.100.0-224.200.150.255 и 224.0.0.2, так-же зарезаются все бродкасты (кроме arp протокола) и весь NetBIOS
А теперь логическая схема всего этого дела:
