terrible Опубликовано 21 августа, 2009 (изменено) · Жалоба Как получить отчетность о работе IP-SourceGuard по SNMP или Syslog? интересуют заблокированные IP и/или MAC адреса Всё уже излазил, не нашёл :( Изменено 21 августа, 2009 пользователем terrible Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 21 августа, 2009 · Жалоба Оно дает только 64 группы. нужно в 2.5 раза больше... никак ? Простите, а можно бизнес-кейз взглянуть? Это что за такое хитрое пакетирование? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 21 августа, 2009 · Жалоба Вы с какой целью интересуетесь ? А так, мы агенты между клиентами и поставщиком травы, эээ.... тиви.. мопед не мой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 22 августа, 2009 (изменено) · Жалоба Как получить отчетность о работе IP-SourceGuard по SNMP или Syslog?интересуют заблокированные IP и/или MAC адреса Всё уже излазил, не нашёл :( сначала стоит указать платформу и прошивку на ней - тогда смогу помочь:) Изменено 23 августа, 2009 пользователем jeejay Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 24 августа, 2009 · Жалоба сначала стоит указать платформу и прошивку на ней - тогда смогу помочь:)ES3528_opcode_V1.3.7.4L2 ES3528M если что, то купил за 9к рублей новую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 26 августа, 2009 · Жалоба эта информация пишется в лог, соурс-гвард отметок о заблокированных не создает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 27 августа, 2009 · Жалоба Разобрался, проблема решается через ip arp inspection Вопрос номер 2: как по протоколу SNMP добавить и удалить запись IP-Source-Guard ? список имеющихся записей получаю нормально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 27 августа, 2009 (изменено) · Жалоба Cоздаем запись так:OID .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.__MAC десятичном формате i величина Например так: snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.0.0.69.10.35.17 i 3 Если нужно расшифровка значения после i: SYNTAX INTEGER { -- the following two values are states: -- these values may be read or written active(1), notInService(2), -- the following value is a state: -- this value may be read, but not written notReady(3), -- the following three values are -- actions: these values may be written, -- but are never read createAndGo(4), createAndWait(5), destroy(6) То есть удаляете выставляя в OID 1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.__MAC десятичном формате integer 6 Изменено 27 августа, 2009 пользователем jeejay Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 27 августа, 2009 · Жалоба Удаление получилось, однако с созданием беда: Делаю вот так: snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.xx.xx.xx.xx.xx.xx i 5 snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.5.1.xx.xx.xx.xx.xx.xx a 10.168.57.32 snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.6.1.xx.xx.xx.xx.xx.xx i 1 snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.xx.xx.xx.xx.xx.xx i 1 snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.xx.xx.xx.xx.xx.xx i 4 последние 2 строки не обрабатываются, возвращает что не может установить значение после этого прохожусь валком, и получаю, что запись создана, с нужным вланом ипом портом и маком, однако статус получаю notInService(2), запись в конфиге не появляется Дальнейшее пинание этой записи по статусу любыми значениями результата не даёт, запись остаётся висеть в статусе notInService(2), даже удалить не получается. Где ошибка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 28 августа, 2009 · Жалоба Предварительно надо включить соурс-гвард на соответствующем порту: snmpset -c private -v 2c 192.168.2.15 .1.3.6.1.4.1.259.6.10.94.1.48.1.1.2.9 i 1 ( то есть на том, для которого делали соурс-байндинг - у Вас это первый порт и OID примет вид .1.3.6.1.4.1.259.6.10.94.1.48.1.1.2.1) После этого смена статуса отрабатывается нормально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 августа, 2009 · Жалоба Спасибо большое, всё получилось :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
veng Опубликовано 19 сентября, 2009 · Жалоба Помогите разобраться со следующей проблемой. Собрал схему (см. рис.), от ES4612 до cisco 7201 идет 5 vlan'ов. На 7201 терминируются PPPoE. Маршрутизацию между vlan осуществляет ES4612. Конфиг 7201: ... interface GigabitEthernet0/0.1021 encapsulation dot1Q 1021 no ip proxy-arp no snmp trap link-status pppoe enable group global no cdp enable ! interface GigabitEthernet0/0.1022 encapsulation dot1Q 1022 no ip proxy-arp no snmp trap link-status pppoe enable group global no cdp enable ! interface GigabitEthernet0/0.1023 encapsulation dot1Q 1023 no ip proxy-arp no snmp trap link-status pppoe enable group global no cdp enable ! interface GigabitEthernet0/0.1024 encapsulation dot1Q 1024 no ip proxy-arp no snmp trap link-status pppoe enable group global no cdp enable ! interface GigabitEthernet0/0.1025 encapsulation dot1Q 1025 no ip proxy-arp no snmp trap link-status pppoe enable group global no cdp enable ... Конфиг ES4612: ! interface ethernet 1/1 no switchport broadcast switchport allowed VLAN add 1021 untagged switchport ingress-filtering switchport native VLAN 1021 switchport allowed VLAN remove 1 switchport allowed VLAN add 3,400 tagged spanning-tree spanning-disabled ! interface ethernet 1/2 no switchport broadcast switchport allowed VLAN add 1022 untagged switchport ingress-filtering switchport native VLAN 1022 switchport allowed VLAN remove 1 switchport allowed VLAN add 3,400 tagged spanning-tree spanning-disabled ! interface ethernet 1/3 no switchport broadcast switchport allowed VLAN add 1023 untagged switchport ingress-filtering switchport native VLAN 1023 switchport allowed VLAN remove 1 switchport allowed VLAN add 3,400 tagged spanning-tree spanning-disabled ! interface ethernet 1/4 no switchport broadcast switchport allowed VLAN add 1024 untagged switchport ingress-filtering switchport native VLAN 1024 switchport allowed VLAN remove 1 switchport allowed VLAN add 3,400 tagged spanning-tree spanning-disabled ! interface ethernet 1/5 no switchport broadcast switchport allowed VLAN add 1025 untagged switchport ingress-filtering switchport native VLAN 1025 switchport allowed VLAN remove 1 switchport allowed VLAN add 3,400 tagged spanning-tree spanning-disabled ! ... interface ethernet 1/8 no switchport broadcast switchport allowed VLAN add 1 untagged switchport ingress-filtering switchport native VLAN 1 switchport allowed VLAN add 3,400,1021-1025 tagged spanning-tree spanning-disabled ! ... ! interface VLAN 1021 IP address 10.2.0.1 255.255.255.0 IP address 10.2.32.1 255.255.255.0 secondary IP address 10.2.64.1 255.255.255.0 secondary ! ! interface VLAN 1022 IP address 10.2.1.1 255.255.255.0 IP address 10.2.33.1 255.255.255.0 secondary IP address 10.2.65.1 255.255.255.0 secondary ! ! interface VLAN 1023 IP address 10.2.2.1 255.255.255.0 IP address 10.2.34.1 255.255.255.0 secondary IP address 10.2.66.1 255.255.255.0 secondary ! ! interface VLAN 1024 IP address 10.2.3.1 255.255.255.0 IP address 10.2.35.1 255.255.255.0 secondary IP address 10.2.67.1 255.255.255.0 secondary ! ! interface VLAN 1025 IP address 10.2.4.1 255.255.255.0 IP address 10.2.36.1 255.255.255.0 secondary IP address 10.2.68.1 255.255.255.0 secondary ! ... В тестовом варианте схема работает. Однако когда применил ее на реальной сети, пинг до ES4612 вырос до 2000-3000ms!!!. При этом статистика по snmp так же перестала работать и траф начал ходить очень медленно. При этом работает ТОЛЬКО IP протокол (ни одного клиента PPPoE). До включения схемы объем прокачиваемого трафика через ES4612 не превышает 60 Мбит/сек на интерфейс. Стоит только положить интерфейс на cisco - все нормализуется. Версия прошивки ES4612 Vty-0#sh version Unit1 Serial number : A643004352 Hardware version : R01A Number of ports :12 Main power status :up Redundant power status :not present Agent (master) Unit ID : 1 Loader version : 2.3.0.1 Boot ROM version : 2.2.0.1 Operation code version : 1.0.2.57 Где грабли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 21 сентября, 2009 (изменено) · Жалоба первая мысль - петля. так ли уж необходим транк между циской и ежом? P.S.: внизу хабы????!!! Изменено 21 сентября, 2009 пользователем jeejay Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kristoff_Vampire Опубликовано 21 сентября, 2009 · Жалоба Я ещё ни от одного человека не слышал что ES4612 нормально заработал при включённом Л3. Сам на эти грабли напарывался и не верил. Да и знакомые тоже. Как Л2 пашет на ура, как Л3 задыхается. Может в новых прошивках чото изменили, но год назад это был дохлый номер. Свич дох на руках при нагрузке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 21 сентября, 2009 · Жалоба прошивки меняются довольно часто. раз в 2-3 месяца стабильно выходят новые прошивки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
veng Опубликовано 21 сентября, 2009 · Жалоба первая мысль - петля. так ли уж необходим транк между циской и ежом? P.S.: внизу хабы????!!! так вроде б не от куда ей взятся... петле. кругом L3 интерфейсы... Внизу обычные (неуправляемые) свичи. Учитывая что без cisco все работает замечательно (уже более месяца), то не понятно как cisco-интерфейсы L3 влияют на производительность es4612К вопросу о транке: вы предлагаете проключить на циску 6 портов доступа? У меня на циске всего 4 интерфейса :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 21 сентября, 2009 · Жалоба Я ещё ни от одного человека не слышал что ES4612 нормально заработал при включённом Л3. Сам на эти грабли напарывался и не верил. Да и знакомые тоже. Как Л2 пашет на ура, как Л3 задыхается. Может в новых прошивках чото изменили, но год назад это был дохлый номер. Свич дох на руках при нагрузке. нагрузка какого уровня? у нас полтора года пашет и не жужжит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kristoff_Vampire Опубликовано 22 сентября, 2009 · Жалоба Простая статическая маршрутизация, без аксесс листов,никакой динамики, порядка 10 виланов. Нагрузка была не больше 400Мб/с сумарно через свич. Как только включили Л3, пинги увеличились до 2000 мс через свич и потери. На свич попасть было вообще не реально. Аналогичная ситуация у знакомого. Причём другие модели Edge-Core L3 коммутаторов работают нормально. Но повторюсь проблема была год назад. После этого вышло 2 или 3 новых прошивки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goletsa Опубликовано 28 сентября, 2009 · Жалоба На syslog сервер информация шлется в странном формате. Sep 22 16:25:58 %Jan 01 00:00:17 2006 MODULE_PORT[zIMI]:%LINK-5-CHANGED: Interface Ethernet1/24, changed state to UP Sep 22 16:25:58 %Jan 01 00:00:17 2006 MODULE_PORT[zIMI]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/24, changed state to DOWN Sep 22 16:25:59 %Jan 01 00:00:20 2006 MODULE_PORT[tphyDaemon]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/8, changed state to UP Sep 22 16:25:59 %Jan 01 00:00:20 2006 DEFAULT[tphyDaemon]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1001,changed state to UP Sep 22 16:25:59 %Jan 01 00:00:20 2006 DEFAULT[tphyDaemon]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1,changed state to UP Sep 22 16:25:59 %Sep 22 12:25:56 2009 DEFAULT[zIMI]:System cold restart... Sep 22 16:27:35 %Sep 22 12:27:33 2009 MODULE_UTILS_TELNET[subTelnetd1]:Telnet: User login failed from 192.168.100.1:48749. Вместо имени хоста с устройства отдается дата. show version 1 ES4624-SFP Device, Compiled on Aug 24 15:32:08 2009 SoftWare Version ES4624-SFP_6.0.207.0 BootRom Version ES4624-SFP_1.7.0 HardWare Version 1.0.0.0 Copyright (C) 2001-2007 by Accton Technology Corp. All rights reserved. Uptime is 0 weeks, 0 days, 0 hours, 7 minutes. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eugene Tsepelev Опубликовано 5 октября, 2009 · Жалоба А может кто из продавцов сказать что за фигня с заказами ? А то мне как то отгружать не хотят, говорят что запрет на отгрузку стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 5 октября, 2009 · Жалоба привыкай, у ёжиков такое вот охренительное представительство в России Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
greenx Опубликовано 15 октября, 2009 · Жалоба Существуют в природе нормальные MIB-ы для 4612 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jeejay Опубликовано 15 октября, 2009 · Жалоба А чем Вас эти не устраивают: МИБы 4612 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 октября, 2009 · Жалоба Подскажите, что может грузить проц 3528M на дефолтном конфиге при всех выключенных (или незадействованных) портах? сейчас вижу нагрузку 35-38% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
greenx Опубликовано 15 октября, 2009 (изменено) · Жалоба А чем Вас эти не устраивают:МИБы 4612 Ну, хотя бы тем что, дата их последней модификации 2004 год, а только 2009 году вышло 6 прошивок.Опой чувствую, что-то должно было поменяться :) Да и написан он криво и не закончено как-то. Изменено 15 октября, 2009 пользователем greenx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...