SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Я уже наверное всех замучал =)

У меня еще вопрос.

Мультикаст влан можно ассоциировать на acccess-порт либо же глобально на другой влан.

Вот в этом случае глобальной ассоциации на другой влан, мультикаст пойдет только в access-порты этого влана?

Или же во все порты, где этот влан присутствует в тегированном/нетегированном виде?

[Зеркалирование SNR S2985G-24T]

Спасибо!

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Сегодня хотел попытаться сымитировать проблему на этом коммутаторе:

SNR-S2990X-24FQ(config)#sh version
  SNR-S2990X-24FQ Device, Compiled on Jan 10 13:47:05 2019
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:7a:72:7b
  Vlan MAC f8:f0:82:7a:72:7a
  SoftWare Package Version 7.5.3.2(R0010.0044)
  BootRom Version 7.5.6
  HardWare Version 1.0.1
  CPLD Version 1.05
  Serial No.:SW080710J513000054
  Copyright (C) 2019 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 0 days, 1 hours, 51 minutes

Делаю все ровно также, как и в прошлый раз, но мультикаст-влан на гибридный порт ни в какую не хочет ассоциироваться, ругаясь, что это не аццесс-порт:

SNR-S2990X-24FQ(config-if-ethernet1/0/10)#switchport association multicast-vlan 4
Port Ethernet1/0/10 is not an access port

Похоже на разных коммутаторах свои тонкости настройки.

[Зеркалирование SNR S2985G-24T]

То есть непосредственно в него никакое устройство воткнуто быть не должно?

[Зеркалирование SNR S2985G-24T]

Я немного недопонимаю про порт-рефлектор..

С RSPAN вланом понятно - передаем дальше по сети, а рефлектор - это что-то типа простого порта назначения SPAN в купе с уходящим RSPAN-вланом?

Ну то есть в порт-рефлектор зеркалируемый трафик идет без влан-тега?

[SNR-S2990X-24FQ, вопрос по изоляции портов]

Спасибо!

Читал ведь, а понял все наоборот.

Сейчас сам удивляюсь как =)

[Зеркалирование SNR S2985G-24T]

Здравствуйте!

А есть ли возможность как-то продублировать трафик в два destination-порта?

[SNR-S2990X-24FQ, вопрос по изоляции портов]

Здравствуйте!

То есть я видимо совершенно неверно понял логику процесса...

Получается, что порты, которые в группе, изолируются друг от друга, при этом сохраняя возможность "общаться" с другими портами в других группах и неизолированными портами?

[SNR-S2990X-24FQ, вопрос по изоляции портов]

Друзья, приветствую всех!

Тестирую тут зеркалирование портов на свитче SNR-S2990X-24FQ.

e1/0/1 - целевой порт, куда будет зеркалироваться входящий трафик с портов e1/0/14 и e1/0/16.

Для чистоты эксперимента сделал изоляцию портов, проверил зеркалирование, вроде пакеты от нужных устройств в порт улетают.. но наткнулся на непонятный момент. Итак, имеется изоляция портов:

SNR-S2990X-24FQ(config)#sh isolate-port group
Isolate-port group port1-12
    The isolate-port Ethernet1/0/12
    The isolate-port Ethernet1/0/11
    The isolate-port Ethernet1/0/10
    The isolate-port Ethernet1/0/9
    The isolate-port Ethernet1/0/8
    The isolate-port Ethernet1/0/7
    The isolate-port Ethernet1/0/6
    The isolate-port Ethernet1/0/5
    The isolate-port Ethernet1/0/4
    The isolate-port Ethernet1/0/3
    The isolate-port Ethernet1/0/2
    The isolate-port Ethernet1/0/1

Isolate-port group port13-23
    The isolate-port Ethernet1/0/23
    The isolate-port Ethernet1/0/22
    The isolate-port Ethernet1/0/21
    The isolate-port Ethernet1/0/20
    The isolate-port Ethernet1/0/19
    The isolate-port Ethernet1/0/18
    The isolate-port Ethernet1/0/17
    The isolate-port Ethernet1/0/16
    The isolate-port Ethernet1/0/15
    The isolate-port Ethernet1/0/14
    The isolate-port Ethernet1/0/13

Isolate-port group port24
    The isolate-port Ethernet1/0/24

Но почему тогда я, будучи воткнутым в порт e1/0/1 вижу непонятный трафик, который прилетает в порт 24?

Более того, в порту 1/0/14 находится источник мультикаста и у меня в плеере этот мультик прекрасно воспроизводится.

Притом что source-порты в настройках зеркалирования временно убраны:
 

SNR-S2990X-24FQ(config)#sh monitor
monitor session 1:
Destination Ethernet1/0/1

--------------------------------------------------------
No monitor in session 2
--------------------------------------------------------
No monitor in session 3
--------------------------------------------------------
No monitor in session 4
--------------------------------------------------------

Я что-то не понимаю? Или это как-то так и работает?

[Прошу удалить]

Создал тему не в том разделе.

Прошу удалить. Спасибо.

[Помогите правильно настроить проброс]

Bind умеет вьюсы  (views), наверное для вашего случая подойдет.

Он будет выдавать разные ip при запросе в зависимости от того откуда пришел запрос на разрешение имени.

[Микротик режет скорость по проводу]

PPPoE тут явно ни при чем, лучше, как сказали выше, просто сбросить конф.

Минимально настроить и проверить.

Ps: и обновиться.

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Мультикаста там нет, по крайней мере я его не наблюдаю когда сам смотрю за роутером ТВ, и в то же время с роутера делаю дамп трафика в адм. вилане.

Если у рук снова окажется подобная железка, обязательно проведу повторные опыты, в этот раз не удалось, т.к. уже пора было выставлять на место.

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

К сожалению коммутатор сегодня был установлен на основное место своего обитания.

Но, проблему я воспроизвел два раза, с помощью приставки. Т.е. сначала приставка находилась в default vlan в 27 порту:

Ethernet1/0/27
Type :Universal
Mode :Hybrid
Port VID :1
Hybrid tag allowed Vlan: 33
Hybrid untag allowed Vlan: 1
Associated Vlan: 4

Она в нем включалась, получала плейлист и начинала вещание.

Затем я просто перетыкал патчкорд в другой порт (на него мультикаст-влан не ассоциирован):

Ethernet1/0/25
Type :Universal
Mode :Access
Port VID :33

И приставка опять показывала, даже каналы переключались. Незнамо откуда, но мультикаст тут был.

 

Если, скажем, изначально включать приставку в этот порт, то она не будет показывать, т.к. не получит ip-адреса (в этом вилане нет dhcp) и не скачает плейлист, чтобы отправлять igmp-запросы.

Но вот пока она адрес еще "не потеряла" (я выдергиваю ее из 27 порта) и знает из плейлиста адреса мультикаст-каналов, она выдает картинку, хоть и воткнута в 25й access port vlan id 33.

 

Вот версия свитча

SNR-S2965-24T#show version
...
  SoftWare Version 7.0.3.5(R0241.0280)
  BootRom Version 7.2.40
  HardWare Version 2.0.1
...

 

ps: ip igmp snooping настраивался на multicast vlan id 4

pps: простите за косноязычие.. 

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Имею в виду вот что:

- Настраиваю гибридный порт, tagged vlan = 33, untagged = 1 (default)

- ассоциирую мультикаст-влан id 4 на этот порт

Получаю то, что узалал выше:

Ethernet1/0/27
Type :Universal
Mode :Hybrid
Port VID :1
Hybrid tag allowed Vlan: 33
Hybrid untag allowed Vlan: 1
Associated Vlan: 4

В итоге включаю приставку в этот порт, начинает идти ТВ, вижу подписку в статусе igmp snooping. Затем делаю некий порт в access mode vlan id 33, перетыкаю приставку в этот порт и вижу, что ТВ продолжает идти, даже переключаются каналы.

 

То есть мультикаст vlan с гибридного порта уходит не только в untagged vlan, а также в определенные на порту tagged vlan.. получается как-то так... ну либо я чего-то не понимаю.

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Но, как оказалось, ТВ пошло и в tagged-вланы для порта.. Хм..

Ошибся, не пошло =)

Таки пошло )))

Ворачиваю пока чтоли опять все на default vlan

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

9 hours ago, alibek said:

У меня не одна сотня коммутаторов настроена таким образом (MVR на access-портах).

У нас на этом свитче кроме портов доступа просто есть несколько транзитных, до других железок, потому и понадобился гибрид. Переделал уже все на простой igmp snooping в default vlan.

 

Руки то таки чешутся, решил попробовать ассоциировать с уже гибридным портом мультикаст вилан. И оно сработало без ругательств:
 

SNR-S2965-24T(config)#interface ethernet 1/0/27
SNR-S2965-24T(config-if-ethernet1/0/27)#switchport association multicast-vlan 4
Set port(s) associated to multicast vlan 4 successfully
SNR-S2965-24T(config-if-ethernet1/0/27)#
SNR-S2965-24T(config)#sh switchport interface ethernet 1/0/27

Ethernet1/0/27
Type :Universal
Mode :Hybrid
Port VID :1
Hybrid tag allowed Vlan: 33
Hybrid untag allowed Vlan: 1
Associated Vlan: 4

Вот жеж, оказывается порядок все-таки важен..

Спасибо всем!

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Спасибо всем за ответы!

Придется настраивать без мультикаст-влана, т.к. трафик идет в default vlan id 1 и нужны гибриды (за свитчом далее еще несколько управляшек).

А ассоциировать мультикаст-влан на default vlan свитч не дает )

[SNR-S2965-24T, мультикаст-влан и гибридные порты, ошибка]

Друзья, здравствуйте!

Настраиваю SNR-S2965-24T..

Сначала настроил мультикаст-вилан, попробовал "ассоциировать" его на vlan id 1, свитч заругался.. ну я "ассоциировал" его на порты, пока что все без тега. Вот типичный порт:

Interface Ethernet1/0/6
 switchport association multicast-vlan 4
 loopback-detection specified-vlan 1
 loopback-detection control shutdown

Теперь, мне надо сделать так, чтобы с некоторых портов определенный влан уходил тегом, меняю режим портов на гибридный и:

SNR-S2965-24T(config-if-port-range)#switchport mode hybrid
Error:Interface Ethernet1/0/14 's already associated with multicast vlan, fail to change interface mode!
Error:Interface Ethernet1/0/15 's already associated with multicast vlan, fail to change interface mode!
Error:Interface Ethernet1/0/23 's already associated with multicast vlan, fail to change interface mode!
Error:Interface Ethernet1/0/27 's already associated with multicast vlan, fail to change interface mode!

Вот такая ерунда... У меня в голове "ассоциация" мультикаст-влана на порт означает, что мультик в порт в дефолтный вилан пойдет.. Так что же ему не нравится?

[Mikrotik & SIP]

Я со включенным sip alg настраивал как-то (даже не вспомнил про него), но микротик подменял адрес источника (с белого на серый) у пакетов, идущих на сервер РТ. Решил банально, отключил получение default route (неважно какая метрика) в серой сети.

 

Кроме проброса портов, трафик еще в forward разрешить надо. Есть какая-то хитрая галочка типа "connection nat state", но я не пробовал.

[Невозможно получить 100 мбит/с от провайдера из за высокой загрузки процессора]

Проверить fasttrack, HV offload на портах мосте (если есть), правила файрвола выставить таким образом, чтобы трафик их проходил быстрее.

[6.44.5 выпущена: вот теперь можно обновляться]

Что-то все равно страшно... с 6.43 то.. 

Особо после первых двух пунктов в "Before an upgrade"

[CRS1xx/CRS2xx, IGMP Snooping при влан-фильтрации средствами switch]

Друзья, всем привет!

Постараюсь быть краток, надеюсь на вашу помощь.

Нужно на CRS1xx/CRS2xx настроить влан-фильтрацию, да так, чтобы igmp-snooping продолжал работать.

Задача как бы проста: разрешать хождение вланов (управляющий и прочие) только там, где нужно.

Настраивать вланы на бридже нельзя, потеряю HW Offloading, поэтому пытаюсь средствами switch.

 

После чтения мануалов дошел до того, что делать надо навроде так:

/interface ethernet switch vlan
add ports=switch1-cpu,sfp1,uplink,sfp2,sfp3,sfp4,sfp5 vlan-id=0
add ports=switch1-cpu,sfp1,uplink vlan-id=99

/interface ethernet switch egress-vlan-tag
add tagged-ports=switch1-cpu,sfp1,uplink vlan-id=99

/interface ethernet switch
set forward-unknown-vlan=no

То есть разрешаю нетегированный трафик на всех портах и управляющий влан на некоторых.

Указываю с каких портов трафик какого влана должен уходить в теге.

Отключаю хождение прочих тегированных кадров.

 

При таком раскладе и включенном igmp-snooping на бридже я вдруг обнаружил, что мультикаст пошел во все порты. И уже после, наткнулся на это:

Quote

CRS series switches are capable of running IGMP Snooping along with hardware offloading, but CRS1xx and CRS2xx series switches will not work properly with IGMP Snooping if VLAN switching is configured on the switch chip. It is possible to use IGMP Snooping along with VLAN switching, but then you must make sure that IGMP packets are sent out with the correct VLAN tag using egress ACL rules.

То есть выходит, что при свитч-фильтрации вланов работа igmp-snooping нарушается, но все можно запустить, если igmp-пакеты будут уходить через нужный влан, что делается настройкой acl для egress трафика на свитче.

Я в лоб попробовал как-то так:

/interface ethernet switch acl
add ip-dst=224.0.0.0/4 mac-protocol=ip new-customer-vid=0 table=egress

Не вышло..

Прошу помощи, какой-такой ACL нужно написать, чтобы igmp-пакеты выходили в нужном направлении?

 

-

Ps: пробовал еще как-то так (трафик с нетегированных портов принимать скажем в влан 1:

/interface ethernet switch vlan
add ports=switch1-cpu,sfp1-uplink,sfp2 vlan-id=99
add ports=switch1-cpu,sfp1-uplink,combo,sfp2,sfp3,sfp4,sfp5 vlan-id=1

/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=1 ports=sfp1-uplink,sfp2,sfp3,sfp4,sfp5,combo

/interface ethernet switch egress-vlan-tag
add tagged-ports=switch1-cpu,sfp1-uplink,sfp2 vlan-id=99
add tagged-ports=switch1-cpu vlan-id=1

/interface ethernet switch
set forward-unknown-vlan=no

/interface ethernet switch acl
add dst-ports=sfp1-uplink ip-dst=224.0.0.0/4 mac-protocol=ip new-customer-vid=1 src-ports=switch1-cpu table=egress

Но в общем тоже ничего не вышло. Отключаю igmp-snooping на бридже - ТВ идет, но во все порты. Включаю - не идет вообще (не вижу ответов квериера, хотя igmp запросы на ТВ вайршарком вижу)

[Несколько проблем с регистратором SNR NVR-D6400FR]

В общем какие-то беды с этим регистратором опять. Не пишет зараза по движению теперь.

Придется сбросить конфиг, чего я так не хотел.

[Несколько проблем с регистратором SNR NVR-D6400FR]

Скорее всего начальник туда ломился :) чтобы видео посмотреть, наиболее вероятная версия.

С фокусом смены ip-адреса и перезагрузкой - спасибо, буду знать, так потом и сделаю.

Пока пусть работает =).