Перейти к содержимому
Калькуляторы

Evgeny Mirhasanov

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    274

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Evgeny Mirhasanov

  2. Опубликовано · Жалоба на ответ

    @semop Предлагаю завести тикет на support.nag.ru с полными выводами 'sh run', 'sh ver' и схемой. Сходу тут не разобраться, а захламлять тему кучей сопутствующих вопросов и файлами лучшне не надо. По итогу отпишемся, что было причиной.

  3. Опубликовано · Жалоба на ответ

    @semop Добрый день. Можете на всякий случай убрать запрещающие правила 'access-list 5000 deny ip any-source any-destination' и 'access-list 6000 deny ip any-source any-destination',? В статье "Настройка DCSCM (Destination Control Source Control Multicast) на коммутаторах SNR" сказано:
     

    Quote

    По умолчанию весь непопавший в ACL трафик будет заблокирован, поэтому после разрешающих правил нет необходимости явно создавать запрещающие.

    В остальном не понятно, каким обпазом ACL 5000 мешает успешной работе ICMP.

  6. Опубликовано · Жалоба на ответ

    @Ev-gen Добрый день. У нас есть официальные шаблоны Zabbix, они подходят для версии 5.x Отмечу, что шаблоны универсальные и подходят для любых коммутаторов SNR. Версия шаблонов для S2962, S2965, S2982G, S2985G отличается только тем, что там не снимается DDM, т.к. это сильно нагружает CPU этих коммутаторов доступа.

  7. Опубликовано · Жалоба на ответ

    @enginer Все просто, в 24-й порт подключен ноутбук с wireshark. LBD настроен на портах с 1 по 6. Создаем петлю, соединяя между собой порты 1 и 3 патчкордом. В wireshark видим трап, в теле которого в т.ч. "Port Ethernet1/0/3 vlan 1 is a loopback device".

    lbd-trap.pcap

  9. Опубликовано · Жалоба на ответ

    @enginer Добрый день. На какой  модели коммутатора и версии ПО проверяли? С таким конфигом успешно удалось получить трап по событию loopback-detection:
      

    snmp-server enable
snmp-server securityip disable
snmp-server host 192.168.1.3 v2c public
snmp-server community ro 0 public
snmp-server enable traps
!
loopback-detection trap enable
!
!
!
vlan 1
!
Interface Ethernet1/0/1
 loopback-detection specified-vlan 1
 loopback-detection control block
!
Interface Ethernet1/0/2
 loopback-detection specified-vlan 1
 loopback-detection control block
!
interface Vlan1
 ip address 192.168.1.82 255.255.255.0
!

     

  12. Опубликовано · Жалоба на ответ

    @grinnZli Приведенный выше ACL, если его изменить под синтаксис SNR, не решает данных задач? Там только TCP established. А что добавлять из широкого имеющегося функционала - решать вам. Можем проконсультировать конкретно по каждой настройке.

  13. Опубликовано · Жалоба на ответ

    On 7/20/2022 at 3:52 PM, grinnZli said:

    ТОгда подскажите пожалуйста как и еще подкатом конфа - что еще можно из простого добавить?

    Речь про некий абонентский порт. Цель-то какая?  Нужно больше конкретики. Что за портом? Wi-fi AP?

  17. Опубликовано · Жалоба на ответ

    @sorokin.a
     

    Quote

    The IEEE 802.1X Multiple Authentication feature provides a means of authenticating multiple hosts on a single port. With both 802.1X and non-802.1X devices, multiple hosts can be authenticated using different methods. Each host is individually authenticated before it can gain access to the network resources.

    Правильно ли я понимаю, что сочетание на одном порту методов аутентификации DOT1X и MAB решило бы проблему?

  19. Опубликовано · Жалоба на ответ

    @ATX-250 privilege config level 15 all и privilege interface-ether level 15 all

    Тут логика такая: вы "отбираете" все команды у 1-14, в пользу 15. Затем выдаете только лишь необходимые для 1-14. Запланируем написать заметку про это на nag.wiki

  20. Опубликовано · Жалоба на ответ

    @sorokin.a Давайте рассмотрим пример с macbased?

    1) Имеем такие настройки порта на SW1: 

    SW1#sh run int e1/0/3
!
Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;25;100 untag
 switchport hybrid native vlan 100
 ip access-group 1 in
 dot1x enable
 dot1x port-method macbased
 dot1x macbased guest-vlan 100
 dot1x max-user macbased 5
!


    2) Подключаем к этому порту другой коммутатор (SW2) без каких-либо настроек и проверяем, в каком VLAN он окажется: 

    SW1#sh mac-address-table
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    38-63-bb-71-d3-00           DYNAMIC Hardware Ethernet1/0/24
1    f8-f0-82-72-10-07           STATIC  System   CPU
100  00-03-0f-91-b6-60           DYNAMIC Hardware Ethernet1/0/3


    3) Т.к. SW2 не отдает никакие учетные данные, то оказывается в гостевом VLAN 100. Далее в SW2 подключаем ПК (PC1) без настроек DOT1X и проверяем, в каком VLAN он окажется: 

    SW1#sh mac-address-table
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    38-63-bb-71-d3-00           DYNAMIC Hardware Ethernet1/0/24
1    f8-f0-82-72-10-07           STATIC  System   CPU
100  00-03-0f-91-b6-60           DYNAMIC Hardware Ethernet1/0/3
100  64-31-50-8e-4b-85           DYNAMIC Hardware Ethernet1/0/3


    4) Теперь у нас уже два устройства в гостевом VLAN 100, т.к. никто из них не отправил правильные учетные данные по DOT1X. И вот тут ключевой момент. Подключаем к SW2 еще один ПК (PC2), который отдает корректную учетную запись по DOT1X и проверяем таблицу MAC-адресов: 

    SW1#%Jan 01 00:50:55:543 2006 Dot1x: user dot login successfully
sh mac-address-table
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    38-63-bb-71-d3-00           DYNAMIC Hardware Ethernet1/0/24
1    f8-f0-82-72-10-07           STATIC  System   CPU
25   fc-3f-db-5e-c0-cc           STATIC  App      Ethernet1/0/3
100  00-03-0f-91-b6-60           DYNAMIC Hardware Ethernet1/0/3
100  64-31-50-8e-4b-85           DYNAMIC Hardware Ethernet1/0/3


    Как видите, такой ситуации, как с port-based не произошло. За портом с DOT1X три устройства. Те, что не аутентифицировались сидят в гостевом VLAN, устройство с аутентификацией попало в тот VLAN, который был настроен на RADIUS сервере.

  21. Опубликовано · Жалоба на ответ

    @ATX-250 Вы не полностью скопировали команды: 

    username test5 privilege 5 password 7 e3d704f3542b44a621ebed70dc0efe13
privilege config level 1  interface ethernet all
privilege exec level 5  config
privilege config level 5  interface ethernet 1/0/1
privilege interface-ether level 5  no shutdown
privilege interface-ether level 5  shutdown

  22. Опубликовано · Жалоба на ответ

    @ATX-250 Добрый день, такая возможность есть. Приведу пример настройки некоторых фич.

     

    Создадим двух пользователей с разными привилегиями и разграничим их права: 

    switch(config)#username test1 privilege 1 password test1
switch(config)#username test5 privilege 5 password test5
switch(config)#privilege config level 15 all
switch(config)#privilege interface-ether level 15 all
switch(config)#privilege exec level 5 config
switch(config)#privilege config level 5 interface ethernet 1/0/1
switch(config)#privilege interface-ether level 5 no shutdown
switch(config)#privilege interface-ether level 5 shutdown
switch(config)#privilege exec level 1 show run
switch(config)#privilege exec level 1 show ver


    Установим пароль на admin режим, дающий привилегию 15: 

    switch(config)#enable password sUpEr-AdMiN++

     

    Проверим права пользователя с привилегией 1: 

    switch>sh privilege
Current privilege level is 1
switch>show ver | i SoftWare
SoftWare Package Version 7.5.3.2(R0004.0377)
switch>show run | i sysLocation
sysLocation Building 57/2,Predelnaya st,
Ekaterinburg, Russia
switch>conf
^
% Invalid input detected at '^' marker.

     

    Проверим права пользователя с привилегией 5: 

    switch>conf
switch(config)>?
Configure commands:
  show                    Show running system information
  end                       End current mode and change to EXEC mode
  exit                       End current mode and down to previous mode
  help                      Description of the interactive help system
  interface                Select an interface to configure

switch(config)>interface ethernet 1/0/5
switch(config-if-ethernet1/0/5)>?
 commands:
   show                       Show running system information
   end                         End current mode and change to EXEC mode
   exit                          End current mode and down to previous mode
   help                        Description of the interactive help system
   no                          Negate a command or set its defaults
   shutdown               Shutdown the selected interface

     

  24. Опубликовано · Жалоба на ответ

    @sorokin.a Добрый день. Да, действительно такая ситуация возникает, мы проаналиpируем ее. Выглядит, на данный момент, как баг. Предлагаю проверить такую же схему, но с использованием mac-based DOT1X:

      

    Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;25;100 untag
 switchport hybrid native vlan 100
 dot1x enable
 dot1x port-method macbased
 dot1x macbased guest-vlan 100
 dot1x max-user macbased 5


    Должно отработать корректно.