asy

Здравствуйте. Решил обновить прошивку на SNR-S2990G-24T. Что-то подвис странно: трафик пропускал практически весь (а может и весь, но была жалоба одна подозрительная), а доступ по IP и через консоль пропал. Версия старая - 7.0.3.5(R0102.0089). Судя по списку изменений и наличию всяких убранных "memory leak" с этого начать логично. На форуме тут написано, что последняя - R0102.0233. Но в каталоге на сайте есть подкаталог VSF и там лежит R0254.0052. Что это и чем отличается ? Список изменений там начинается с R0254.0046. Заодно. В README_first.txt отдельно упомянут SNR-S2990G-24TX. Это именно тот, который с POE, 24T приписка не касается и бутром обновлять до 7.1.41 (сейчас 7.1.37) ?

Спасибо.

Приветствую. А у современных коммутаторв SNR каких-нибудь Single IP Management есть ? У 2960, которые EOS, вижу, а у новых не видно в описании. Никогда не надо было, а тут вот возник вопрос вдруг.

Да, 3200-10. Спасибо, заработало. Про strip что-то не ищется в DES3200C1_R4.42_UI.doc. Думал про него, но цифры не подобрал правильно.

Что-то не выходит каменный цветок. create vlan 222 tag 222 config vlan 222 add tagged 9 config vlan 222 add untagged 1 advertisement disable enable qinq config qinq ports 1 role uni missdrop disable outer_tpid 0x8100 config qinq ports 1 add_inner_tag 0x6F config qinq ports 2-10 role nni missdrop disable outer_tpid 0x8100 config qinq ports 2-10 add_inner_tag disable config qinq ports 1-10 strip disable create vlan_translation ports 1 add cvid 111 svid 222 0x6F = 111, в порт 9 приходит дважды тегированный пакет: внешний 222, внутренний - 111, на порту 1 висит устройство без тега. Что я упустил ? В направлении порт 1 -> порт 9 летит правильно, 111 внутри 222, а вот в обратном направлении, 9 -> 1, на первом порту тэг 111 не снимается.

Я знаю, но это если к клиенту ставить только. На свою сторону на доступ Микротики ставить - это несколько замороченно, на мой взгляд. Можно, но это надо сеть переделывать: железки менять на те, у которых MPLS есть. Хотелось бы, но кто бы денег дал... По случаю меняю, кое-что с MPLS есть, но мало, и пробовать даже не начинал пока, хотя можно в академических целях уже.

Да, как раз уже тоже нашёл, хотел дописать. Спасибо.

Опасный зверь по-умолчанию: "enable qinq" - и теряем коммутатор. DES-2300-10 (4.36.B010), без консольки никуда... Нашлось про то же : http://forum.nag.ru/forum/index.php?showtopic=61737&view=findpost&p=578752 Кстати, обновил до 4.46.B006, всё то же самое.

Спасибо. И в примере ведь add. Как не заметил...

Такое было, но результат там не обозначен. У меня не получается тоже. Просто Q-in-Q работает вот с таким конфигом: ! vlan 950 ! Interface Ethernet1/0/24 dot1q-tunnel enable switchport access vlan 950 ! А вот попытка переделать в Selective к успеху не приводит. Конфиг такой делаю, проверяю на vlan 715: ! vlan 710-715;950 ! class-map vlanlist match vlan range 714-715 ! policy-map vlanpolicy class vlanlist set s-vid 950 exit ! Interface Ethernet1/0/24 service-policy input vlanpolicy switchport mode hybrid switchport hybrid allowed vlan 710;713-715 tag switchport hybrid allowed vlan 950 untag ! SoftWare Version 7.0.3.5(B0207.0021) Как правильно-то в итоге ? Ещё по поводу http://shop.nag.ru/article/nastrojka-qinq-i-selective-qinq-na-kommutatorah-snr несколько замечаний: Фрагменты конфигов бы лучше с "!" начинать везде, читабельнее. Перевод строки пропущен: switchport mode hybrid switchport hybrid allowed vlan 1000-1001 tag В примере для S3750G-24S-E одинаковое имя для class-map и policy-map. То ли так положено, то ли случайно. vlan отсутствует. То ли надо, то ли нет...

А скриншоты они сделали ?

за сегодня 386144 обращений от ревизора на страницу блокировок Это кстати даа. Буду ставить отдельный сервер http для страницы блокировок. Основной - такую хрень 404 не вынесет. Нда. Кстати, а обязательство заглушку отдавать есть ? IP коробок известны, reject на файрволе веб-сервера по src ip не достаточно ли ? Но это, правда, не для описанного случая, а когда сам улетающий пакет редиректится на сервер с заглушкой и не попадает на запрещённый ресурс.

В смысле ? Дают какой-то отдельный софт, которым можно самостоятельно проверить по текщей выгрузке ? да. Тогда ещё уточню. У Cвязьнадзора раньше было для Windows, c завязкой на библиотеки Excel (убьёшься угадывать, чтобы в wine поставить; хотя, может, можно было бы и постараться один раз), и требующее данные в формате xls, а не xml, как в выгрузке. Не оно ? Именно тот же самый xml на вход даётся ?

Чисто теоретически, если блокировщик писался правильно, момент обновления может быть очень быстрый: формируется новый набор данных в памяти, потом просто меняется указатель - сколько-то там тактов CPU. Если сделано, допустим, в Linux, и через iptables, то сброс и заполнение правил заново - минуты (а с новыми ядрами, вовсе, часы). А вот если использовать ipset, то swap между старым и новым сетом происходит со скоростью нажатия enter (сам сет заполняется с минуту на текущий момент).

В смысле ? Дают какой-то отдельный софт, которым можно самостоятельно проверить по текщей выгрузке ?

Вообще-то "или", если что-то, вдруг, не поменялось недавно.

А вот кстати, вопрос несколько не в тему, но рядом. На текущий момент в реестре 29501 уникальный IP-адрес. А кто-то думает о чистке этого реестра ? Ведь многие владельцы (особенно юрлица) пропадают, IP-адреса переходят в другое ведение со сменой контента и т.п. А ведь зарубежным владельцам адресов по барабану это всё в большинстве, они даже обращаться с заявкой "разблокируйте" не будут.

vlan_translation - это же замена тэга, а не довешивание ещё одного ? Или у D-Link не так ?

Приветствую. А существуют ли коммутаторы, которые могут дважды затегировать пакет ? То есть, принять на порт нетегированный трафик и выпустить его уже в виде Q-in-Q. Что-то пока получается так, что надо на порт принимать уже тегированный, чтобы ещё один тег навесить. Или я что-то где-то не дочитываю.

Пришлось на support@ писать... Ответ:

Понятно. А FAQ никакого нет по особенностям форума ? Если есть, то, что-то, найти не получается.

А просветите пожалуйста, почему ссылки у меня не вставляются ? Даже если ответить с цитированием, в цитате, где ссылка была, она ломается. Тэг URL есть, но я прямо вот его и вижу. Вот, к примеру: Моя ссылка. Firefox, сейчас 36. Ладно бы, если у всех не работали, но люди тут вполне ссылками пользуются, и я их вижу. Ни у кого идей нет ?

Линки какие ? Если медные, то у него SFP по-умолчанию, и автопереключения нет (может, даже, и хорошо, что нет). Надо в конфиге написать что-то вроде ! Interface Ethernet1/0/21 media-type copper !

Является ли SNR-S3-2SFP+ модулем с горячей заменой ? Судя по исполнению (направляющие для точного попадания, удлинённые контакты "земля") является, но явного указания об этом найти не удалось что-то. Прямо вот на http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/09339.SNR-S3-2SFP дописали бы, что "поддерживает горячую замену". Или "не поддерживает".

Проблемы, которые могут быть общими, лучше на форуме озвучивать. Вот, dr Tr0jan мог бы и не ждать ответа в сервис-деске... Или уж результаты в FAQ выносить оттуда...