Перейти к содержимому
Калькуляторы

GeeZeeNburg

Пользователи
  • Публикации

    131
  • Зарегистрирован

  • Посещение

О GeeZeeNburg

  • Звание
    Студент
    Студент

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Нет, recovery не стоит специально из опасения, что если роутер решил DHCP-ответами посыпать, то и пофлудить может, а у нас option 82 без vlan-per-user. Вопрос именно такой, какой озвучил andpuxa. А в чем смысл банить мак до такой степени, что его нельзя удалить? Если это фича, почему тогда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff не ругается, что "запись неудаляема, передерните снупинг на порту", а просто молча ничего не делает? no ip dhcp snooping action попробуем, спасибо. Не пришло в голову, думал, запись кладется в таблицу статически.
  2. SNR-S2965-48T#sh ver SNR-S2965-48T Device, Compiled on May 07 19:33:53 2023 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:xx:xx:xx Vlan MAC f8:f0:82:xx:xx:xx SoftWare Version 7.0.3.5(R0241.0594) BootRom Version 7.2.40 HardWare Version 1.0.1 CPLD Version N/A Serial No.:SW052010F9190xxxxx Copyright (C) 2023 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 2 days, 15 hours, 43 minutes Используем ip dhcp snooping enable, на абонентские порты навешиваем ip dhcp snooping action blackhole. Работает замечательно: если очередной абонентский TP-Link захотел поработать DHCP-сервером, то абонентский мак попадает в таблицу, которую можно вывести командой sh mac-address-table blackhole. Трафик от абонента ходить перестает, саппорт говорит юзеру обновить прошивку на роутере, ребутает свитч, все счастливы. Кроме абонентов за тем же свитчом, у которых во время ребута рвутся онлайн-игрухи на самом важном месте. Я перепробовал все, чтобы удалить мак из этой таблицы без ребута. Никаких ручек под кустом (no|clear) ip dhcp snooping для этого нет. Команда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff по идее должна удалять мак из таблицы, но не удаляет. Маки, которые туда положил dhcp snooping, чистятся только ребутом. Просьба ткнуть носом, как удалять маки из таблицы, либо поправить поведение no mac-address-table blackhole, если это баг. Мануал изучен вдоль и поперек, ответов там нет.
  3. Да, я понял, что софтовая. Загрузка проца болтается в районе 15%, норм. Тот же эксперимент показал, что rate-violation control shutdown без параметра recovery тушит порт на 5 минут и затем поднимает, как на прошивке 2018, так и 2023 года. Интересует именно, как работает значение all. UPD: rate-violation unicast 200 тоже успешно тушит абонентские порты... Оно точно смотрит только на unknown unicast, а не на вообще весь юникаст?
  4. У свитчей SNR (конкретно серии 2965, 2985G) есть команда rate-violation, которой с сообщениями в лог можно резать мультики, бродкасты и неизвестные юникасты от абонентов. Ничтоже сумняшеся, что rate-violation all 200 будет иметь такой же эффект, как и rate-violation multicast 200, rate-violation broadcast 200, rate-violation unicast 200, навесил команду на абонентские порты одного свитча. Результат: половине абонов погасило порты. Вопроc: как работает rate-violation all? 1) Cчитает вообще весь трафик, вообще любые пакеты в секунду; 2) multicast + broadcast + unknown unicast в их общей сумме пакетов в секунду; 3) multicast + broadcast + unknown unicast каждого отдельно пакетов в секунду (то есть аналог rate-violation multicast 200, rate-violation broadcast 200, rate-violation unicast 200)?
  5. Отправил письмо на support@nag.ru два дня назад, но ответа не получил. Сегодня догадался глянуть ваш MX, а там mx.yandex.net. Тогда неудивительно, ведь оно до вас просто не дошло. Я, конечно, могу написать вам с gmail. Однако по вопросам конфигурации, как мне кажется, чтобы не отвечать всем индивидуально, лучше отвечать на форуме, чтобы это было публичной базой знаний. Например, о команде bridge-protocol filter stp возможно узнать только на форуме, в мануале этого нет. Если бы вы в теме https://forum.nag.ru/topic/164027-vyklyuchit-bpdu/ тоже отправили бы человека в хелпдеск, то в этой теме было бы уже три вопроса :)
  6. SNR-S2985G-24T, 7.0.3.5(R0241.0525) 1. Хочется задействовать arp spoofing prevention, как в D-Link. Там это просто: config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac DE-AD-BE-EF-CA-1F ports all Мануал к SNR предлагает запретить ARP от юзеров: (config)# int eth1/0/1-24 (config-if-port-range)# arp-guard ip 10.0.0.1 Но, допустим, у меня на eth1/0/25-28 могут быть как доверенные, так и недоверенные ARP-ответы. Как настроить, чтобы свитч дропал недоверенные ARP именно по связке IP+MAC? 2. Хочется на паре портов задействовать DHCP-сервер на свитче. IP выдаётся по маку и порту. Остальные DHCP-серверы запретить совсем. Делаю так, конфиг дефолтный: (config)# service dhcp (config)# int eth1/0/1-28 (config-if-port-range)# ip dhcp disable (config)# ip dhcp pool test (dhcp-test-config)# host 192.168.1.2 (dhcp-test-config)# hardware-address de-ad-be-ef-ca-1f (config)# int eth1/0/5 (config-if-ethernet1/0/5)# no ip dhcp disable (config)# ip dhcp snooping enable (config)# ip dhcp snooping vlan 1 (config)# int eth1/0/1-28 (config-if-port-range)# ip dhcp snooping action blackhole (config)# ip dhcp snooping binding enable Работает отлично, адрес я получаю, создаётся динамическая запись с биндингом на 5 порт. Добавляю статический биндинг, чтобы привязать адрес к порту насовсем: (config)# ip dhcp snooping binding user de-ad-be-ef-ca-1f address 192.168.1.2 vlan 1 interface eth1/0/5 sh ip dhcp snooping bindlng all пишет, что запись стала S вместо D, но вот свитч после замены биндинга с динамического на статический айпишник выдавать отказывается. Команда (config-if-ethernet1/0/5)# ip dhcp snooping binding user-control vlan 1 не помогает, но к статической записи добавляется флаг L. Что я делаю не так?
  7. Медик SNR-CVT-1000SFP-V2. Попробовал на двух - поведение одинаковое. Дип-переключатель 1 отвечает за LFP. По мануалу, если дип вверху, то LFP вкл. В реальной жизни всё наоборот, медь гаснет если дип находится внизу (положение ON). Это всю инструкцию к дипам надо понимать с точностью до наоборот? Или же зеленым цветом обозначено положение ON, красным - OFF, а жирные палочки - просто для красоты?
  8. Осторожно! По моему объявлению о покупке написал в телегу с предложением оборудования некий Сергеич @Serjanisa Я спросил, где человек физически находится. По счастливому совпадению в этой неблизкой локации есть мои руки. Предложил ему покупку при личной встрече. Получил ответ "Утром напишу" и всё. Человек бывает онлайн, сообщения читает, на связь не выходит.
  9. Куплю DGS-1100-08/B1, 15 шт Интересует цена ниже магазинной Тлг @kadawra либо лс
  10. Спасибо, цепанулся, но не вижу в памяти искомого - по адресу 0xfffb0000 и далее лежит, по виду, такой же конфиг, какой сливается из веб-морды. Плейнтекстом видно name, location, snmp-комьюнити и больше ничего. Подскажите, по какому адресу искать пароль?   Ёлки зеленые, вопрос снимается. Я думал, что вижу name и location, а видел пароль, name, а location был пуст :) Спасибо за помощь!
  11. @sol Припаял проводки к 11 и 12 контактам и подсоединил к 2 и 3 контактам COM-порта, землю на 5 контакт тоже кинул, и свитч просто не грузится. Горит Power, моргают подбитые порты, а до стадии моргания лампочки CPU не доходит. В консоли пусто, мусор иногда есть, но это, скорее всего, артефакты от "качественного" коннекта. Если отсоединить COM-порт, свитч снова грузится как ни в чем не бывало. Кабель COM-USB, проблем с ним раньше не наблюдал. Что я делаю не так?
  12. @sol Спасибо, однако тернистый путь. А config.bin, который сливается из веб-морды, это дамп флеша или нечто генерящееся на лету? Мак-адрес и далее, как у вас в 0xfffb0000, начинается с 0x29. HEX-редактором нашел там только SNMP-коммьюнити. Пароль если и есть, то не чистым текстом.
  13. Получили посылочку с DES-2108 пластиковыми. 5 штук из них не реагируют на кнопку Reset, никак. Судя по всему, виновата заводская прошивка, которую никто не обновлял. Вместе с продавцом вспомнили, где живет Management VLAN, но пароль - нет. В итоге всё, что есть - окно логина в веб-морде и телнете, плюс видно тулзой D-Link Smart Console, но без пароля не шьется. Никакое рекавери для 2108 не гуглится. Страдальцы с нерабочим ресетом есть на форуме блинка, но все отосланы в СЦ. Можно их как-то сбросить либо обновить прошивку, либо в помойку?
  14. То ли RB250GS, то ли RB260GS вертел в руках. Давно дело было, может с кем-то путаю, но на тестовом стенде при включении гигового и 100-мбитного линков были проблемы с буфером и трудности доступа в веб-морду. А для коробчонки, которая может лить из 10G в 1G, требования еще выше. И вот смотрю я спеки названного вами CRS305-1G-4S+ на официальном сайте https://mikrotik.com/product/crs305_1g_4s_in и вижу там фразу: The device has a 1 Gbit copper ethernet port for management access. Это нужно читать как "порт для красоты, не пытайтесь лить из 10G в 1G"?
  15. Правильно понимаю, что это устаревшая технология? Если честно, надеялся, что из SwOS вырастет что-то, может хипстерское, но достойное.