burevestnik_1983

Добрый день! Есть ли возможность запросить прошивки от свитча Huawei 5320-28TP-LI-AC. Имена прошивкок могут быть такие: s5320li-v200r011c10spc600.cc S5320LI-V200R020C10SPC500.cc

Стоит беспроводной мост Mikrotik Wire Dish. Прошивка 6.45.8. Расстояние 1,3 км. Работает стабильно, но пока не начинается дождь Во время дождя помимо ожидаемого проседания сигнала появляется странная вещь - пропадает пропуск броадкастов. Это видно по счётчикам на портах коммутаторов. Непосредственно связанный с точкой Slave коммутатор - пакеты есть. Непосредственно связанный с точкой Master коммутатор - уже нет. Решается перезагрузкой обоих точек. Кто-нибудь сталкивался с подобной ситуацией? Апргейд прошивки решает, возможно?

Nexus 3064 NXOS: version 9.2(3) Вопрос - можно ли по snmp как-то замониторить настройки vlan_mapping - аналог вывода команды show int eth1/3 vlan mapping   в ciscoVtpMIB не нашёл подобного в других MIB CISCO искал по слову mapping - ничего не нашёл

Свитч Cisco nexus 3064. NXOS: version 9.2(3) Как сделать Qinq на порту, если туда от клиента поступает тегированный траффик, ясно - switchport mode dot1q-tunnel + switchport access vlan <номер внешнего тега>. А каким образом можно навесить сразу два тега на порту, если от клиента идёт нетегированный трафик? У длинка для таких случаев есть конструкция config qinq ports ... add_inner_tag 0x<внутренний тег в hex виде>. Можно ли что-то подобное соорудить на нексусе? Пробовал вариант с vlan mapping # switchport mode trunk # switchport vlan mapping enable # switchport vlan mapping 2519 inner 4093 1 # end # sh interface ethernet 1/23 vlan ma Interface Eth1/23: Original VLAN Translated VLAN --------------- ----------------- 2519.4093 1 Выглядит всё вроде неплохо, по факту мак на порту в 1 влане...

Спасибо за ответ! Версия 16.09.04. Я правильно понимаю, что если не указать 'file privilege <level>' , то ASR молча, без ругани, проглотит команду show running-configuration view full и ничего не выдаст? upd. Проверил, работает, спасибо!

А show running-config для ограниченного пользователя? На другом ASR, где была прошивка 15.4(3)S, работало с теми же привилегиями

Ещё один вопрос по привилегиям. Прошивка на ASR стоит sh ver Cisco IOS XE Software, Version 16.09.04 Делаю юзера с ограниченными правами. username xxxx view yyyy secret 5 zzz1 Делаю view parser view remoteOperator secret 5 zzz2 commands ip-subscriber include initiator dhcp commands ip-subscriber include initiator commands policymap-service-classmap include police commands interface include ip subscriber commands interface include service-policy commands interface include shutdown commands interface include ip policy commands interface include ip helper-address commands interface include ip unnumbered commands interface include all ip address commands interface include ip dhcp relay information policy-action commands interface include ip dhcp relay information option-insert commands interface include ip dhcp relay information commands interface include ip dhcp relay commands interface include ip dhcp commands interface include ip commands interface include encapsulation dot1Q commands interface include encapsulation commands interface include description commands configure include ip access-list standard commands configure include ip route commands configure include ip access-list commands configure include all interface commands configure include policy-map commands configure include ip commands exec include write memory commands exec include write commands exec include configure terminal commands exec include configure commands exec include show snmp mib ifmib ifindex commands exec include show snmp mib ifmib commands exec include show snmp mib commands exec include show snmp commands exec include all show running-config commands exec include show commands exec include clear subscriber session username commands exec include clear subscriber session commands exec include clear subscriber commands exec include clear ip commands exec include clear Получается странная вещь Вроде машинка даёт привилегии, потому что я авторизуюсь под ограниченным пользователем, и вижу команду show running-config, и могу её вызывать, но результат пустой. А когда пытаюсь сохранить конфиг 5>wr memory startup-config file open failed (Permission denied) В какую сторону копать? Хотя бы какой тип дебага можно включить, чтобы отследить "косяки" с правами доступа?

Добрый день! Имеется свитч Xtreme X670, прошивка 16.2.4.5. На данный момент мониторю мак-адреса таким OID: .1.3.6.1.2.1.17.4.3.1.2 Результат получается следующий SNMPv2-SMI::mib-2.17.4.3.1.2.192.74.0.182.125.23 = INTEGER: 46 SNMPv2-SMI::mib-2.17.4.3.1.2.192.74.0.182.125.38 = INTEGER: 46 SNMPv2-SMI::mib-2.17.4.3.1.2.192.74.0.182.125.92 = INTEGER: 46 SNMPv2-SMI::mib-2.17.4.3.1.2.192.74.0.182.125.122 = INTEGER: 46 По есть в ответе snmpwalk я вижу номер порта и мак-адрес в десятичном виде. Есть ли какая-то возможность увидеть ответ, содержащий также и номер влана (как это сделано например на свитчах D-Link даже на коммутаторах уровня доступа)? Чтобы, к примеру, если на порту настроен vman отличать маки, завёрнутые во внешний тег от маков во вланах, которые просто тегом накинуты на данный порт и не заворачиваются

В итоге сделал грубый костыль. - по snmp снимаю pvid портов - тот порт, где pvid=0, то есть нет ни одного нетегированного влана на порту, считается портом, где не осуществляется заворот во внешний тег - тот порт, где есть влан антагом и есть на этом порту подключённые нижестоящие свитчи (смотрю по lldp), считается портом, где осуществляется заворот во внешний тег - тот порт, где есть влан антагом, но нет подключённых нижестоящих свитчей, считается портом , где не осуществляется заворот во внешний тег. Под данный вид попадают UPS и крупные клиенты, подключённые напрямую в xtreme. В нашей логике работы этого достаточно, хотя вариант не универсальный, конечно

Пробовал. Не находится. Странно, в Длинках такое делается на раз-два, без дополнительных телодвижений.

Добрый день! Имеется свитч Xtreme X670, прошивка 16.2.4.5. Есть ли возможность мониторить по SNMP роль порта в плане QINQ, то есть осуществляется на конкретном порту заворот во внешний тег или нет. Команды, которой заворачиваю: configure vman v649 add ports 11 cep cvid 251 - 3000 Интересует хотя бы названия MIB, конкретный OID уже сам буду искать в нём.

Добрый день! Cisco ASR1002-X, с софтом Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S Имеется пользователь с ограниченными правами: username xxxYYY privilege 3 ... Хочу дать ему право на выполнение команды в контексте интерфейса: encapsulation dot1Q xxx second-dot1q yyy Что я ввёл от имени суперпользователя: privilege interface level 3 encapsulation dot1Q Это дало открыло мне возможность задавать одиночный тег от имени пользователя с ограничеными правами, то есть команду: encapsulation dot1Q xxx Как дать привилегию на добавление второго тега? пробовал: privilege interface level 3 encapsulation dot1Q second-dot1q privilege interface level 3 encapsulation dot1Q * second-dot1q privilege interface level 3 encapsulation dot1Q all second-dot1q Какой символ обозначает "любое количество любых символов" при прописывании привилегий? Может я ошибаюсь, это не "*", а что-то другое?

Как заворачивать во внешний тег, понятно. А как можно сделать, чтобы определённые вланы (исключения) не заворачивались во внешний тег, а просто пропускались как есть со своим одним тегом наверх?

Да, пробовал. Именно этой командой. Вижу, что он выполняет запрос и не ругается в логе, но он почему-то не шлёт ответ обратно в radclient. Если я ошибаюсь в COA запросе, он пишет, то No valid session, но опять же в логе, а не отсылает ответ в radclient. По факту вижу, что когда навешиваю политику редиректа 3 уровня, оно работает, хотя ответа в radclient не посылает. Шейпы (если точнее policy cir) навешиваю - пишет, что успешно навешивает, но реально не ограничивают... По поводу идентификаторов - это ведь интерфейсная сессия, поэтому она может быть активной, даже если через интефейс никто не работает. Там юзернейма, как такового и не надо. Я сделал статический роут для фейкового IP в данный интерфейс, и этот IP юзаю для COA запросов. Framed-Ip-Address="10.81.0.4" - вот таким образом указываю, и ASR понимает, о каком интерфейсе речь, и принимает COA запрос Ещё можно юзать Cisco-Account-Info="S10.81.0.4" - работает, запрос проходит Юзернейм сессии у меня - это Nas-port, но если его указывать, то тогда пишет No Valid Session И самое главное то, что даже если я ошибаюсь в атрибуте, то radclient должен даже и тогда получить ответ от ASR и написать его... А ASR в radclient этого ответа не шлёт даже в случае ошибки в запросе. Не шлёт на уровне пакетов (делал зеркало порта, куда подключен ASR). Шлёт NAK только когда я ставлю неправильный server-key. Вот это странно. Может там нужно флаг какой-то дёрнуть, чтобы он стал отвечать...

Не думаю. В принципе долетает ответ от ASR, к примеру, если я намеренно указываю неправильный server-key. Значит проблем со связностью, файрволом, занятостью порта нет.

Ещё вопрос, никто не сталкивался с таким? Пробую так же рулить ip subscriber interface сессиями через COA запросы. Через radclient. ASR в принципе не шлёт мне ответы для radclient. На уровне пакетов вижу, что не шлёт. Шлёт, только если я ошибаюсь в server-key. В остальных случаях по логам (debug aaa coa) вижу, что он выполняет COA запросы, например успешно навешивает редирект 3 уровня (reroute to). При этом в сторону radclient ответов нет, но ответы на coa запросы он пишет в лог, в том числе и негативные ответы типа No valid session или Unsupported service. Клиент в разделе aaa dynamic-author указан правильный, server-key - правильный, но ASR упорно не шлёт ответа, а radclient думает, что ему не ответили, и пытается послать запрос ещё раз... На разных IOS - 03.16.05.S.155-3.S5-ext, 03.11.00.S.154-1.S-std - ситуация та же.

Насчёт неточности формулировки согласен Полтика такая policy-map SHAPE-IN-100000 class NO_SHAPE police cir 107520000 class NO_SHAPE отсеивает группы IP, где скорость не должна ограничиваться, и разрешает все остальные... По поводу странности применения COA запросов - возникло неожиданно, причём успел уже недели две потестить на ASR-1000 - все применялось без проблем. Вот и хочу понять, какую именно ругань пишет CISCO, когда отказывается принимать COA запрос с данным полисером. Какой именно debug * нужно включить на ASR, чтобы видеть сообщения, связанные с применением COA запросов?

Ещё возникла такая засада. Сессия в апе Есть IP для управления, 10.81.0.4, для которого записан статический маршрут в тот интерфейс, где поднята сессия #sh ip route 10.81.0.4 Routing entry for 10.81.0.4/32 Known via "static", distance 1, metric 0 (connected) Routing Descriptor Blocks: * directly connected, via Port-channel1.12444094 Route metric is 0, traffic share count is 1 Этот адрес нужен для отправления COA запросов При накидывании SHAPE, ASR не ругается на неправильный запрос, а просто его не отвечает, как будто убран там dynamic-author Sending CoA-Request of id 214 to 194.187.204.39 port 1700 Cisco-Account-Info = "S10.81.0.4" Cisco-AVPair += "ip:sub-qos-policy-in=SHAPE-IN-10000" Cisco-AVPair += "ip:sub-qos-policy-out=SHAPE-OUT-10000" Re-sending CoA-Request of id 214 to 194.187.204.39 port 1700 Cisco-Account-Info = "S10.81.0.4" Cisco-AVPair += "ip:sub-qos-policy-in=SHAPE-IN-10000" Cisco-AVPair += "ip:sub-qos-policy-out=SHAPE-OUT-10000" Re-sending CoA-Request of id 214 to 194.187.204.39 port 1700 Cisco-Account-Info = "S10.81.0.4" Cisco-AVPair += "ip:sub-qos-policy-in=SHAPE-IN-10000" Cisco-AVPair += "ip:sub-qos-policy-out=SHAPE-OUT-10000" Кто-нибудь с таким сталкивался? При этом на той же машинке есть куча сессий l2-connected, с которым COA запросы как работали, так и работают, то есть в общем случае ASR нормально воспринимал COA запросы.

Большое спасибо за кусок конфига. "authorize aaa password cisco identifier nas-port " это всё равно не помогло (хотя счётчик на данное действие каждый раз увеличивается, значит оно выполняется?..). Сессия стартует, но имя юзера пустое. Мне получается на данном этапе и не нужен RADIUS, мне нужно просто чтобы ASR подставил в качестве имени юзера имя порта (что вполне логично на interface-сессии). А в дальнейшем планировал с помощью COA - запросов управлять данной сессией - накидывать или убирать редиректы, opengarden'ы и проч политики. По какому именно параметру надо включить дебаг в данной ситуации, чтобы понять, что происходит, и где затык при работе этой control-policy?

Если не сложно, приведите кусок конфига (control-policy), который авторизует такие сессии. А в общем случае,как я понимаю ip subscriber interface сессии можно авторизовать без радиуса, если в качестве имени пользователя использовать nas-port?

Каким образом можно сделать ip subscriber interface сессию authen? Мне казалось, что там по автомату имя интерфеса и именем пользователя. В каком мануале можно об этом прочитать? ISG configuration guide, раздел Control Policies или в другом мануале циски?

Спасибо за информацию. Если это было в теме, а не в ЛС, то киньте ссылку пожалуйста на тему

Попутно по IP subscriber interface есть вопрос: cовместим ли данный тип сессий с такими директивами на интерфейсе как ip helper-address и ip unnumbered. В каком именно мануале можно прочитать про совсемстимость или категорическую несовместимость их? Вот конфиг интерфейса: interface Port-channel1.12444092 description test_jurs encapsulation dot1Q 1244 second-dot1q 4092 ip dhcp relay information option-insert ip dhcp relay information policy-action replace ip unnumbered Loopback5 ip helper-address ххх.ххх.ххх.ххх service-policy type control ISG-JURS ip subscriber interface end Задача, чтобы была одна сессия на интерфейс, куда буду навешивать политики, при этом каждый комп, подключённый через этот интерфейс будет получать IP по dhcp. Пока получается так, что когда убираю директиву ip subscriber interface, то сразу идут обращения от клиента, подключённого к данному интерфейсу, к IP, указанному в IP helper-address. Как ставлю директиву ip subscriber interface, ничего не происходит, хотя сама интерфейсная сессия подниается. Все dhcp дебаги включены, там нет вообще никаких попыток обратиться на helper-address Что нужно копать? asr1002x-2#sh running-config interface lo5 Building configuration... Current configuration : 64 bytes ! interface Loopback5 ip address 10.68.23.1 255.255.255.0 end Rule: ISG-JURS Class-map: always event session-start Action: 2 authorize identifier nas-port Executed: 4 Action: 5 set-timer UNAUTH-TIMER 50 Executed: 4 Class-map: always event session-restart Action: 2 authorize identifier nas-port Executed: 0 Action: 5 set-timer UNAUTH-TIMER 50 Executed: 0 Key:

Спасибо за информацию и за ссылку на мануал.

А какое это отношение имеет к proxy-arp? Какой параметр там нужно поискать, который влияет на proxy-arp?