Evgeny Mirhasanov

Попробуйте такой ACL: access-list 100 permit ip any-source host-destination 192.168.201.1

Добрый день. Вам не кажется, что эти утверждения противоречат друг другу? Поясните , пожалуйста, еще раз как именно нужно ограничить доступ.

Добрый день. По нашему опыту такое поведение вызывает AdGuard, Касперский или еще какой-нибудь антивирус. Это связно с использованием для отправки логина/пароля уязвимого протокола HTTP. Либо настройте исключение в антивирусной системе, либо настройте коммутаторы для работы только с HTTPS. Пример настройки: ip http secure-ciphersuite des-cbc3-sha ip http secure-server ! no ip http server

Добрый день. Пожалуйста, оформите обращение в support.nag.ru Здесь отпишемся после закрытия обращения.

Добрый день. Такой таблицы нет, но все SFP модули SNR успешно работают с коммутаторами же SNR.

@Александр Дмитриевич Добрый день. Добавлю к словам коллеги, что скорее всего у вас старая версия ПО, т.к. на 7.0.3.5(R0241.0480) проблему не наблюдаем. SNR-S2965-24T#sh run | i aes snmp-server user nag nag authPriv aes e61a7c487c27029251f9073dc243d8ed auth sha e61a7c487c27029251f9073dc243d8ed26c5466d

@sorokin.a Есть ли возможность проверить SHH подключение минуя GRE туннели? Загрузка CPU столько мала и счетчики в cpu-rx без единого дропа, что вызывает недоумение почему SSH сеанс тормозит.

@Evgeny Mirhasanov Какое у вас обычно значение 'sh cpu utilization'? И все-таки как часто возникает проблема? Раз в час/день/неделю?

@sorokin.a Это какое-то стороннее оборудование запаковывает SSH трафик и распаковывает его между вами и SNR?

@sorokin.a Добрый день. Пожалуйста, покажите конфиг одного из таких коммутаторов. Возможно именно в это время происходит опрос DDM оптических трансиверов по SNMP? А также вывод 'sh cpu-rx protocol all'.

@Александр Дмитриевич Т.е. на ios 12.x нужно было вводить на SNR 'spanning-tree digest-snooping', а после обновления до 15.x и без этой команды MSTP между ними заработал?

@Александр Дмитриевич Да, моя ошибка. Cisco не умеет классический RSTP. Не могли бы создать тикет на support.nag.ru? По итогам отпишемся в этой теме.

@igogo В таком случае надо SNR-S3850G-24FX все же, с 4К ARP.

Есть ли возможность попробовать эту же схему с RSTP на всех коммутаторах?

@igogo Добрый день. 1000 ARP - это на весь коммутатор. А что вы с этими клиентами будете делать? Терминировать на L3 интерфейсах 2995? Или просто их трафик передавать до какого-то маршрутизатора?

@Александр Дмитриевич Добрый день. Попробуйте на порту до Cisco применить команду 'spanning-tree format standard'.

Значение команды 'switchport port-security aging time' теперь равно значению 'mac-address-table aging-time'. По дефолту 300 секунд (5 минут). Настраивается только глобально. После истечения этого времени MAC адрес устройства исчезнет из таблицы и будет изучен новый MAC.

@RN3DCX Добрый день. Спасибо за внимательность. Эти команды для 2990/2995. Какую цель хотите достичь?

@mhz Добрый день. SFP-T модули Mikrotik довольно "капризные" и чаще всего хорошо работают именно на оборудовании Mikrotik. Просто используйте другие модули, например SNR-SFP-T

@Citroen Добрый день. Вам просто надо залить на него образ ПО. Пожалуйста, ознакомьтесь со статьей. Возникнут вопросы - пишите. https://nag.wiki/x/Ehk1AQ

@Dmitriy Smirnov Добрый день. Да, пожалуйста оформите обращение в support.nag.ru. По итогам отпишемся и здесь.

@asy он у вас открыт для доступа из интернета? SNMP.

@asy Пожалуйста, создайте обращение на support.nag.ru Оперативно разберемся и поможем, по итогу отпишемся здесь.

@FMA0 Проверил на стенде ваш VACL на 2990G-24FX с помощью iperf3. С ним тест не начинается ни в сторону 10.10.10.0/24, ни в сторону 10.10.68.0/24, т.е. трафик блокируется вообще, а не только по SYN-флагу.

@FMA0 Добрый день. Как только я применил ваш ACL на тестовом 2990, у меня сразу же пропал пинг из подсети 10.10.68.0/24 в 10.10.10.0/24. Т.е., видимо, у вас сейчас не совсем такой ACL на SNR-S2990G-24FX работает. SNR-S2990G-24FX Device, Compiled on Jun 21 14:13:00 2021 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:73:ea:49 Vlan MAC f8:f0:82:73:ea:48 SoftWare Version 7.0.3.5(R0102.0316) BootRom Version 7.1.40 HardWare Version 1.0.1 CPLD Version N/A Serial No.:SW041710F522000171 Copyright (C) 2021 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 0 weeks, 0 days, 0 hours, 10 minutes