sorokin.a

Т.е. нету. Ладно, спасибо за ответ.

Здравствуйте! Вопрос наверное понятен из темы, есть ли какие то проверки и действия по результатам проверки? В моем случае изменение веса или next-hop в bgp?

@Vladimir Efimtsev Очень жаль, видимо придется использовать другое оборудование, т.к. в сети не только эти два свитча. Спасибо за ответ.

MTU должно быть выше 1500 только между трансмитерами и ресиверами, которые подключены напрямую к 2985. Всю остальную сеть переключать на jumbo не нужно. Т.е. на транке между свитчами должно быть 1500.

Добрый день. Есть примерно вот такая схема Два свитча, 2985 и 2995. К 2985 подключены девайсы для передачи видео мультикастом. Требование - между ними, должно быть mtu 9216 или выше Свитч 2995 терминирует вланы для этих устройств и менеджмент влан свитча. На 2985 нашел только глобальную опцию config>mtu 9216. Но тогда соответственно, на линке между свитчами начинается твориться хаос и input error На цисках судя по всему просто ставиться mtu на интерфейс и все. Как быть с SNR? Варианты с заменой оборудования понятно, но желательно без этого.

Проблему бы решило ограничение количества маков на порту. Один порт - один мак. И каждый проходит процедуру авторизации. Но путем проверки сертификата в ОС, а не создание базы маков, ее распределение по группам, вланам и т.д. Хотелось бы чего то простого, типа dot1x max-user 1

@Evgeny Mirhasanov Очень жаль, видимо придется искать железки с multiple 802.1x authentications . Спасибо за консультацию.

@Evgeny Mirhasanov Отлично, судя по тому, что на mac based это работает, есть шанс того починят и на port based есть? Я не могу использовать авторизацию по маку, потому что на одной железке могут загружаться разные ОС, и должны попадать в разные vlan'ы

@Evgeny Mirhasanov Вы предлагаете проверить работоспособность этой схемы или использовать вместо групповой авторизации? Если второе, то оно не подойдет по многим причинам.

@Evgeny Mirhasanov К сожалению задача авторизации по членствам в доменных группах, mac-based не подходит. Если с port-based будет найдено какое-то решение - будет замечательно.

Все просто. Берем с указанными выше настройками порт. #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158 втыкаем в него свитч, желательно неуправляемый, что бы даже маков лишних не было. В него втыкаем в него компьютер, который НЕ может авторизоваться(2й мак свитча, не обращайте внимания) #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158 #sh mac-address-table interface ethernet 1/0/6 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 158 38-f3-ab-86-c9-ca DYNAMIC Hardware Ethernet1/0/6 158 3c-57-31-d7-d8-30 DYNAMIC Hardware Ethernet1/0/6 теперь подключаем в порт комп, которые авторизуется в домене. #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 469 Status Authorized Port-control Auto Supplicant 40-b0-76-a1-b6-a1 VLAN id 469 Authenticator State Machine State Authenticated Backend State Machine State Idle Reauthentication State Machine State Stop #sh mac-address-table interface ethernet 1/0/6 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 469 38-f3-ab-86-c9-ca DYNAMIC Hardware Ethernet1/0/6 469 3c-57-31-d7-d8-30 DYNAMIC Hardware Ethernet1/0/6 469 40-b0-76-a1-b6-a1 DYNAMIC Hardware Ethernet1/0/6 Т.е. все остальные оказались в закрытом для них vlan'e

Добрый день. Настраиваю авторизацию на snr2985 , все работает , но смущает одно но: я не могу включить port-security что бы ограничить количество маков на интерфейсе. Interface Ethernet1/0/6 switchport access vlan 469 dot1x enable dot1x port-method portbased dot1x guest-vlan 158 (config-if-ethernet1/0/6)#switchport port-security Command rejected: Not eligible for secure port. Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом. У aruba судя по инструкциям такое работает. Как быть?

Осознал, что ищу проблему не там. Спасибо.

В пределах 15% Возникает с завидной регулярностью, я бы сказал через раз-два. Маршрутизаторы, между которыми есть цепочка mgre туннелей. т.е. схема такая: ssh_client<медь>R1<gre>R2<медь>SNR с проблемами ssh (роутеры на линуксах, без NAT\PAT)

Добрый день. Нет, в большинстве spf устройства вообще не используются, только медь. Я думаю стоит уточнить вот еще что. Связь с ними идет в большинстве через gre - может быть нужен какой то тюнинг mtu\mss?