Evgeny Mirhasanov

@alish13 Добрый день. Какая модель коммутатора?

@semop Предлагаю завести тикет на support.nag.ru с полными выводами 'sh run', 'sh ver' и схемой. Сходу тут не разобраться, а захламлять тему кучей сопутствующих вопросов и файлами лучшне не надо. По итогу отпишемся, что было причиной.

@semop Добрый день. Можете на всякий случай убрать запрещающие правила 'access-list 5000 deny ip any-source any-destination' и 'access-list 6000 deny ip any-source any-destination',? В статье "Настройка DCSCM (Destination Control Source Control Multicast) на коммутаторах SNR" сказано: В остальном не понятно, каким обпазом ACL 5000 мешает успешной работе ICMP.

@enginer А если на обоих портах просто прописать? loopback-detection specified-vlan 1-4094

@enginer А если на порту e1/0/2 native vlan поменять со 101 на 1, то обнаружится?

@Ev-gen Добрый день. У нас есть официальные шаблоны Zabbix, они подходят для версии 5.x Отмечу, что шаблоны универсальные и подходят для любых коммутаторов SNR. Версия шаблонов для S2962, S2965, S2982G, S2985G отличается только тем, что там не снимается DDM, т.к. это сильно нагружает CPU этих коммутаторов доступа.

@enginer Все просто, в 24-й порт подключен ноутбук с wireshark. LBD настроен на портах с 1 по 6. Создаем петлю, соединяя между собой порты 1 и 3 патчкордом. В wireshark видим трап, в теле которого в т.ч. "Port Ethernet1/0/3 vlan 1 is a loopback device". lbd-trap.pcap

@enginer Прилетают ли трапы на какие-то другие события? Например смену состяония порта с UP в DOWN и обратно?

@enginer Добрый день. На какой модели коммутатора и версии ПО проверяли? С таким конфигом успешно удалось получить трап по событию loopback-detection: snmp-server enable snmp-server securityip disable snmp-server host 192.168.1.3 v2c public snmp-server community ro 0 public snmp-server enable traps ! loopback-detection trap enable ! ! ! vlan 1 ! Interface Ethernet1/0/1 loopback-detection specified-vlan 1 loopback-detection control block ! Interface Ethernet1/0/2 loopback-detection specified-vlan 1 loopback-detection control block ! interface Vlan1 ip address 192.168.1.82 255.255.255.0 !

@Sidler Добрый день. Данная возможность не реализована на коммутаторах SNR-S4550X.

@ArhAngel_John Добрый день. Такой возможности нет.

@grinnZli Приведенный выше ACL, если его изменить под синтаксис SNR, не решает данных задач? Там только TCP established. А что добавлять из широкого имеющегося функционала - решать вам. Можем проконсультировать конкретно по каждой настройке.

Речь про некий абонентский порт. Цель-то какая? Нужно больше конкретики. Что за портом? Wi-fi AP?

Добрый день. Боюсь, что такой возможности на коммутаторах SNR нет. Придется упрощать ACL.

@AndreyUA Наверное, с этим вопросом лучше обратиться в техподдержку Касперского.

Добрый день. Да, мы в новых версиях ПО ввели более сильные алгоритмы шифрования. Ведь браузеры так сильно заботятся о нашей безопасности и простого HTTPS им уже мало.

@sorokin.a Правильно ли я понимаю, что сочетание на одном порту методов аутентификации DOT1X и MAB решило бы проблему?

@sorokin.a Нет, таково поведение portbased и это прямо написано в документации. А условный VmWare не умеет подменять MAC-адреса своих виртуалок?

@ATX-250 privilege config level 15 all и privilege interface-ether level 15 all Тут логика такая: вы "отбираете" все команды у 1-14, в пользу 15. Затем выдаете только лишь необходимые для 1-14. Запланируем написать заметку про это на nag.wiki

@sorokin.a Давайте рассмотрим пример с macbased? 1) Имеем такие настройки порта на SW1: SW1#sh run int e1/0/3 ! Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 ip access-group 1 in dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 ! 2) Подключаем к этому порту другой коммутатор (SW2) без каких-либо настроек и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 3) Т.к. SW2 не отдает никакие учетные данные, то оказывается в гостевом VLAN 100. Далее в SW2 подключаем ПК (PC1) без настроек DOT1X и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 4) Теперь у нас уже два устройства в гостевом VLAN 100, т.к. никто из них не отправил правильные учетные данные по DOT1X. И вот тут ключевой момент. Подключаем к SW2 еще один ПК (PC2), который отдает корректную учетную запись по DOT1X и проверяем таблицу MAC-адресов: SW1#%Jan 01 00:50:55:543 2006 Dot1x: user dot login successfully sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 25 fc-3f-db-5e-c0-cc STATIC App Ethernet1/0/3 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 Как видите, такой ситуации, как с port-based не произошло. За портом с DOT1X три устройства. Те, что не аутентифицировались сидят в гостевом VLAN, устройство с аутентификацией попало в тот VLAN, который был настроен на RADIUS сервере.

@ATX-250 Вы не полностью скопировали команды: username test5 privilege 5 password 7 e3d704f3542b44a621ebed70dc0efe13 privilege config level 1 interface ethernet all privilege exec level 5 config privilege config level 5 interface ethernet 1/0/1 privilege interface-ether level 5 no shutdown privilege interface-ether level 5 shutdown

@ATX-250 Добрый день, такая возможность есть. Приведу пример настройки некоторых фич. Создадим двух пользователей с разными привилегиями и разграничим их права: switch(config)#username test1 privilege 1 password test1 switch(config)#username test5 privilege 5 password test5 switch(config)#privilege config level 15 all switch(config)#privilege interface-ether level 15 all switch(config)#privilege exec level 5 config switch(config)#privilege config level 5 interface ethernet 1/0/1 switch(config)#privilege interface-ether level 5 no shutdown switch(config)#privilege interface-ether level 5 shutdown switch(config)#privilege exec level 1 show run switch(config)#privilege exec level 1 show ver Установим пароль на admin режим, дающий привилегию 15: switch(config)#enable password sUpEr-AdMiN++ Проверим права пользователя с привилегией 1: switch>sh privilege Current privilege level is 1 switch>show ver | i SoftWare SoftWare Package Version 7.5.3.2(R0004.0377) switch>show run | i sysLocation sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia switch>conf ^ % Invalid input detected at '^' marker. Проверим права пользователя с привилегией 5: switch>conf switch(config)>? Configure commands: show Show running system information end End current mode and change to EXEC mode exit End current mode and down to previous mode help Description of the interactive help system interface Select an interface to configure switch(config)>interface ethernet 1/0/5 switch(config-if-ethernet1/0/5)>? commands: show Show running system information end End current mode and change to EXEC mode exit End current mode and down to previous mode help Description of the interactive help system no Negate a command or set its defaults shutdown Shutdown the selected interface

@sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде?

@sorokin.a Добрый день. Да, действительно такая ситуация возникает, мы проаналиpируем ее. Выглядит, на данный момент, как баг. Предлагаю проверить такую же схему, но с использованием mac-based DOT1X: Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 Должно отработать корректно.

@jffulcrum Иногда возникает потребность подтереть за собой следы. Конечно же, никто на самой железке не удаляет отдельные записи логов для "упрощения поиска нужной информации" :-)