mihele95

Пользователи
  • Публикаций

    16
  • Зарегистрирован

  • Посещение

Информация о mihele95

  • Звание
    Абитуриент
  • День рождения
  1. /interface vlan add interface=ether1 name=vlan50 vlan-id=50 /ip address add address=10.0.0.1/24 interface=vlan50 /ip route add distance=1 dst-address=192.168.20.0/24 gateway=10.10.10.2 add distance=2 dst-address=0.0.0.0/0 gateway=pppoe /interface vlan add interface=ether1 name=vlan50 vlan-id=50 /ip address add address=10.0.0.2/24 interface=vlan50 /ip route add distance=1 dst-address=192.168.50.0/24 gateway=10.10.10.1 add distance=2 dst-address=0.0.0.0/0 gateway=pppoe примерно так
  2. Добрый день. Имеется сабж, прошивка version 2.1.1A build 13295 Конфиг: Настроены только vlan и dhcp-relay. Коммутатор имеет на каждом физическом интерфейсе свой mac адрес. Интересует, возможна ли конфигурация при которой на всех будет одинаковый mac?
  3. можно при помощи expect заходить на оборудование и сливать конфиг на tftp. скрипт будет несложный. готового решения не видел, тоже интересно.
  4. трафик на сервере с дудой смотрели? она перестает слать запросы к железкам или железки не успевают на них отвечать, до следующего цикла запросов? отфильтруйте по проблемному девайсу и посмотрите что происходит в момент "перестает тянуть данные". посмотрите в сторону настройки таймаута snmp в дуде. ubnt может быстрее обрабатывать данные запросы, нежели другие вендоры (предположение). у нас подобная ситуация наблюдалась с dlink 3627g, которые дольше остальных длинков отдают любой запрос по snmp. проверялось вручную snmpget'ами на проблемное железо.
  5. Стоит dude 4.0beta3 на windows 7 (8 ядер, ssd) (До этого был windows server 2008 R2, проблема такая же) подключаюсь к ней через dude client на windows машинах. На текущий момент база весит 700мб, опрашивается около 300 устройств. Проблем с snmp, пингом никаких нет. Но когда начинаю смотреть историю по графикам 24 часа и выше клиент начинает дико тупить и может намертво зависнуть. Это софтвэр баг дуды? Есть ли способы решения?
  6. Привет ребят, у кого есть опыт работы с сабжем. Есть ли возможность конфигурировать подключенные ONT того же вендора? (монтажник приезжает, втыкает дефолтную ont или уже с какими-то настройками, а айтишник через cli OLT'а или скриптом заливает нужный конфиг на ont с нужными настройками ip и vlan) ----------------------- Командой display ont info 0 1 я могу посмотреть причину выключения ont (напр. dying gasp). Было бы интересно снимать это по snmp для саппорта, но oid не нашел, никто не заморачивался?
  7. add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 попробуй выключить правило
  8. нет возможности маршрутизировать пакеты на коммутаторах, из-за особенностей построения сети, как я написал в самом первом посте. иначе все было бы слишком просто. вопрос знатокам ERPS и в частности его реализации на dlink. по какому каналу пойдет трафик в случае отсутствия обрывов? Если каналы проходят через чужие коммутаторы и где-нибудь произошла авария, но с моей стороны все линки есть ERPS не будет корректно отрабатывать, ведь так? Прочитал на форуме dlink что связка ERPS + CFM на их железках не работает.
  9. к сожалению линки не равноценные, один оптика, второй идет через радио с маленькой пропускной способностью. используем его только в случае падения оптики. qinq со стороны провайдера с оптикой невозможен. буду пробовать ERPS, если непоможет, видимо придется делать eoip на микротиках :DD всем спасибо!
  10. есть 2 коммутатора, соединенных между собой двумя разными провайдерами двумя l2 каналами. по каналам ходит тегированный трафик. один из портов потушен, дабы не возникала петля. автоматического переключения никакого нет и приходится в случае аварии переключать вручную. по одному из провайдеров не ходят bpdu кадры и оттраблшутить возможности нету, соответственно stp не работает как надо. как можно решить проблему? поставить маршрутизатор и рулить все на нем, нету возможности из-за особенностей построения сети. поставить отдельную железку и применить какие-то хитрые костыли - возможно.
  11. dhcp_local_relay - отправляет dhcp запрос в указанном vlan dhcp_relay отправляет запрос юникастом по системному vlan на указанный ip адрес config filter dhcp_server ports 1-24 state enable - защищает от несанкционированных dhcp серверов на абонентских портах еще изолировать абонентские порты между собой можно config traffic_segmentation 1-24 forward_list 28 , где 1-24 абонентские порты, 28 - магистральный DHCP snooping, если имеется в виду IPMB настраивается так: config address_binding dhcp_snoop max_entry ports 28 limit no_limit config address_binding dhcp_snoop max_entry ports 1-24 limit 5 config address_binding ip_mac ports 1-24 arp_inspection strict config address_binding ip_mac ports 1-24 allow_zeroip enable config address_binding ip_mac ports 28 forward_dhcppkt disable config address_binding ip_mac ports 1-24 forward_dhcppkt enable enable address_binding dhcp_snoop enable address_binding trap_log config address_binding dhcp snooping recovery_timer 300 disable address_binding dhcp_snoop ipv6 disable address_binding nd_snoop при получении dhcp lease абонентом, на коммутаторе создается связка Ip-mac и при изменении данных со стороны абонента порт блокируется
  12. xcme, спасибо, сейчас буду разбираться. Если не затруднит, был бы очень признателен =)
  13. Можно немного поподробнее? 3200 у нас всех ревизий. Если мы настроим acl ip-mac, то человек на этом порту сможет пользоваться только одним устройством с валидным маком и когда ему нужно будет воткнуть в другой роутер или ноутбук, он начнет названивать, с просьбой переписать. Или я неправильно вас понял?
  14. Добрый день. Хотелось послушать мнение людей, имеющих опыт работы с коммутаторами d-link. Периодически появляются проблемы с тем, что некоторые роутеры блокируются ipmb при включении. В случаях, когда роутер при загрузке превращается в тупой свитч, он появляется в списке блокировки (show address_binding blocked all) и далеко не всегда выбирается оттуда сам. Абонент звонит нам, мы вручную гасим порт, чистим привязку ipmac, просим абонента перезагрузить роутер и после полной прогрузки включаем порт обратно. Так же бывают совсем мистические ситуации, когда роутер не отображается ни в таблице маков, ни в таблице блокировки биндингом. В d-link это объяснили тем, что некоторые роутеры при старте могут высылать не dhcp пакеты, а какие-то другие и порт сразу блокируется. В этом случае нам помогает только отключение strict на этом порту, либо замена роутера у абонента. Можем ли мы без последствий отключить arp_inspection и заменить его хотя бы на ip_inspection, при условии: коммутаторы: des-3200-28, dgs-3120-24sc; абоненты не во влане управления; включены: dhcp_server_screening, traffic control, traffic_segmentation абоненты получают ip адреса по dhcp, со статически привязанному адресу к порту коммутатора конфиг: 1-27 - порты для абонентов, 28 - аплинк, 15 - влан управления, 50 - влан для абонентов. config traffic control 1-27 broadcast enable multicast enable unicast disable action drop broadcast_threshold 64 multicast_threshold 64 unicast_threshold 64 countdown 0 time_interval 5config traffic control auto_recover_time 0config traffic trap noneconfig traffic control log state enableenable loopdetectconfig loopdetect ports 1-27 state enableconfig loopdetect ports 28 state disableconfig loopdetect recover_timer 600 interval 5 mode port-basedconfig loopdetect trap noneconfig loopdetect log state enable# VLANenable pvid auto_assignconfig vlan default delete 1-28config vlan default advertisement enablecreate vlan manager tag 15config vlan manager add tagged 28 advertisement disablecreate vlan vlan50 tag 50config vlan vlan50 add tagged 28 advertisement disableconfig vlan vlan50 add untagged 1-27 advertisement disabledisable gvrpdisable asymmetric_vlandisable vlan_trunk# ADDRBINDenable address_binding dhcp_snoopconfig address_binding dhcp_snoop max_entry ports 1-27 limit 5config address_binding ip_mac ports 1-27 arp_inspection strict ip_inspection disable allow_zeroip enable forward_dhcppkt enable stop_learning_threshold 5config address_binding ip_mac ports 28 forward_dhcppkt disableenable address_binding trap_logconfig address_binding dhcp snooping recovery_timer 300disable address_binding dhcp_snoop ipv6disable address_binding nd_snoop# DhcpServerScreeningconfig filter netbios all state enableconfig filter extensive_netbios all state enableconfig filter dhcp_server ports 1-27 state enableconfig filter dhcp_server ports 28 state disable# IPconfig ipif System vlan manager ipa xx.xx.xx.yy/24 st encreate iproute default xx.xx.xx.zz# DHCP_LOCAL_RELAYenable dhcp_local_relayconfig dhcp_local_relay option_82 circuit_id defaultconfig dhcp_local_relay option_82 remote_id defaultconfig dhcp_local_relay vlan vlanid 50 state enableconfig dhcp_local_relay option_82 ports 28 policy keepconfig dhcp_local_relay option_82 ports 1-27 policy replace Интересует защита от атак с переполнением таблиц на свитче + защита от того, что абонент пропишет себе статический ip адрес другого клиента и продолжит работу в интернете без оплаты и возможно еще какие-то моменты, которые я не учел. От первого, как я понимаю, защищает port_security, а от второго dhcp_snooping ip_inspection, но одновременно их включить нельзя.