Перейти к содержимому
Калькуляторы

kid79

Пользователи
  • Публикации

    143
  • Зарегистрирован

  • Посещение

Все публикации пользователя kid79


  1. продам коммутатор, мало б.у 2 бп, уши в комплекте. отправлю тк. цена 40т
  2. по идее должно, т.к nftables уже имеет встроенный ipset -vmap если не ошибаюсь , а как вот выставить ratelimit пока не пойму.
  3. народ, а на nftables кто уже пробовал переехать? как работает лучше-хуже? если переехали можно пример
  4. Всем добрый день. Подскажите, сталкивался кто с подобным, есть сервер на nat все приватные адреса бегали через 1 внешний ип, пару дней назад перестало заходить на сайты вайлбирис и авито, от тех поддержки этих компаний ничего добиться не удается или игнорят или присылают отписки. в conntrack вижу вот такие записи tcp 6 36 SYN_SENT src=192.168.13.107 dst=185.62.200.33 sport=36084 dport=443 [UNREPLIED] src=185.62.200.33 dst=176.111.xxx.xxx sport=443 dport=36084 mark=0 use=1 tcp 6 107 SYN_SENT src=192.168.6.116 dst=185.62.200.33 sport=48950 dport=443 [UNREPLIED] src=185.62.200.33 dst=176.111.xxx.xxx sport=443 dport=48950 mark=0 use=1 tcp 6 112 SYN_SENT src=192.168.9.70 dst=185.62.200.33 sport=49670 dport=443 [UNREPLIED] src=185.62.200.33 dst=176.111.xxx.xxx sport=443 dport=49670 mark=0 use=1 у меня подозрение что возможно из за количества входов на сайт с одного ип их системы заподозрили атаку и заблокировали наш ип.
  5. можно было бы, но у меня много коммутаторов хуавей 2300 п там нет релеев, только снупинг
  6. если так делаю то у меня сразу перестают работать абоненты с влан на абонента они тоже по опции работают но с самой циски class "class_192.168.5.110" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1044" тут только не номер порта а влан and substring(option agent.remote-id, 2, extract-int(substring(option agent.remote-id, 1, 1), 8)) = "c3550_2" );
  7. включил я на 4001 влане снупинг, ip dhcp snooping vlan 1-701,703-904,906-907,909-1000,1006-2000,2002-3000,4001 теперь до дхцп дисковеры не приходят когда включаю на циске абон влан в снупинг в статистеке наблюдаю show ip dhcp snooping statistics detail Packets Processed by DHCP Snooping = 28 Packets Dropped Because IDB not known = 0 Queue full = 0 Interface is in errdisabled = 0 Rate limit exceeded = 0 Received on untrusted ports = 0 Nonzero giaddr = 4 по nonzero гуглится вот этот пост https://community.cisco.com/t5/routing/dhcp-snooping-issue/td-p/3056005 , пробовал, включал.
  8. прикрепляю схему подключения и дамп с абон свича поты аплинк и абон порт Все порты на циске с ip unnambered в trust show ip dhcp relay information trusted-sources All interfaces are trusted source of relay agent information option насколько я понимаю до релея запрос рассылается бродкастом, а дальше до dhcp сервера уже юникастом идет? дальше делаю дамп на самом дхцп сервере 176.111.xxx.1.67 > 172.10.0.2.67: BOOTP/DHCP, Request from 64:ee:b7:14:0a:1e, length 552, hops 1, xid 0x75f5588d, Flags [none] Gateway-IP 176.111.xxx.1 Client-Ethernet-Address 64:ee:b7:14:0a:1e Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Client-ID Option 61, length 7: ether 64:ee:b7:14:0a:1e Vendor-Class Option 60, length 8: "MSFT 5.0" Requested-IP Option 50, length 4: 192.168.27.2 Parameter-Request Option 55, length 12: Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name BR, Static-Route, YD, YS NTP, Netbios-Name-Server, Classless-Static-Route-Microsoft, Classless-Static-Route Agent-Information Option 82, length 29: Circuit-ID SubOption 1, length 6: ^@^D^OM-!^@^B Remote-ID SubOption 2, length 19: ^A^QE8-CC-18-CE-DC-00 с учетом того что опцию должен добавлять абон свич а циска только релеить попробовал настроить абон свич вот так vlan MNG управления vlan 4001 абон Command: show dhcp_local_relay DHCP/BOOTP Local Relay Status : Enabled DHCP/BOOTP Local Relay VID List : 4001 DHCP Relay Agent Information Option 82 Circuit ID : Default DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00 show dhcp_local_relay option_82 ports 1-26 Port Option 82 Policy ---- --------- 1 keep 2 keep на всех портах Policy keep на циске тоже поменял конфигурацию ip dhcp relay information policy keep ip dhcp relay information trust-all ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000 ip dhcp snooping information option format remote-id hostname ip dhcp snooping interface Loopback10 description users gateway ip address 192.168.27.1 255.255.255.0 secondary ip address 176.111.xxx.1 255.255.255.0 no ip redirects no ip unreachables interface Vlan4001 ip unnumbered Loopback10 ip helper-address 172.10.0.2 ip route 0.0.0.0 0.0.0.0 10.255.255.5 порт в сторону абон свича interface GigabitEthernet1/27 switchport trunk allowed vlan 100,4001 switchport mode trunk конфиг дхцп сервера authoritative; ddns-update-style none; log-facility local7; always-broadcast on; if exists agent.circuit-id { log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address), " MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)), " port ",binary-to-ascii(10,16, "",substring(option agent.circuit-id, 4, 2)), " VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2)) )); } shared-network PHOTON { subnet 172.10.0.0 netmask 255.255.255.240 { } subnet 192.168.27.0 netmask 255.255.255.0 { option domain-name-servers 176.111.248.126, 8.8.8.8; option subnet-mask 255.255.255.0; option routers 192.168.27.1; max-lease-time 1296000; default-lease-time 604800; include "/etc/dhcp/192.168.27.0.conf"; } конфиг зоны cat /etc/dhcp/192.168.27.0.conf class "inv_sw_192.168.27.2" { match if ( binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2" ); } pool { range 192.168.27.2; allow members of "inv_sw_192.168.27.2"; DLINK-3p.pcap
  9. а разве не свич доступа должен добавлять опцию ? хотя я пробовал и в снупинг добавлял 4001 влан сейчас на доступ на тест поставил dlink des-3200 2 vlan 100-managment 4001 abon Command: show dhcp_local_relay DHCP/BOOTP Local Relay Status : Enabled DHCP/BOOTP Local Relay VID List : 4001 DHCP Relay Agent Information Option 82 Circuit ID : Default DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00 и policy keep на всех портах show dhcp_local_relay option_82 ports 2 Port Option 82 Policy ---- --------- 2 keep
  10. Всем добрый день.т.к видимо в старые темы никто не заглядывает открою новую. проблема в следущем, есть dhcp сервер, и есть коммутатор с настроенным ip unnambred vlan per user, решили расширить функционал влан на свич, но почему то абоненты на стенде не подключаются. вот конфиг подсети с dhcp сервера ( подсеть влан на свич) class "inv_sw_192.168.27.2" { match if ( binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2" ); } pool { range 192.168.27.2; allow members of "inv_sw_192.168.27.2"; } e8:cc:18:ce:dc:0-mac коммутатора (dlink-3200) подключенного в циску. конфиг с циски ip dhcp relay information policy keep ip dhcp relay information trust-all ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000 ip dhcp snooping information option format remote-id hostname no ip dhcp snooping verify mac-address no ip dhcp snooping verify no-relay-agent-address ip dhcp snooping interface Loopback5 ip address 192.168.27.1 255.255.255.0 no ip redirects no ip unreachables interface GigabitEthernet1/27 TEST switchport trunk allowed vlan 100,4001 switchport mode trunk 4001-абон влан на доступе. в логах dhcp сервера вижу dhcpd: DHCPDISCOVER from 64:ee:b7:14:0a:1e via 192.168.27.1: network PHOTON: no free leases что я не так делаю?
  11. позвольте поникрофилить, аналогичная ситуация. есть dhcp сервер и cisco с ip unnamberd ip unnambered работает (влан на абонента) , захотели расширить функционал на opt82 на dhcp сервере делаю тестовый конфиг class "inv_sw_192.168.27.2" { match if ( binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0" ( mac абон свича ) and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2" ); } pool { range 192.168.27.2; allow members of "inv_sw_192.168.27.2"; } на циске конфиг ciscointerface Loopback5ip address 192.168.27.1 255.255.255.0no ip redirectsno ip unreachablesvlan 4001interface Vlan4001ip unnumbered Loopback5ip helper-address 172.10.0.2на dhcp сервер прилетаетdhcpd: DHCPDISCOVER from 64:ee:b7:14:0a:1e via 192.168.27.1: network: no free leases на свиче доступа dlink-des 3200 vlan 4001 abon vlan MNG управления uplink port trunk MNG,4001 access port abon untag 4001
  12. Добрый день всем. поделитесь пожалуйста мибами или oid для коммутаторов huawei s2309-tp-ei ver S2300 V100R006C05 и для 2326 не получается получить загрузку цпу и памяти по oid 1.3.6.1.4.1.2011.6.3.4.1 и для памяти .1.3.6.1.4.1.2011.6.3.5.1.1.2.0.1.0-.1.3.6.1.4.1.2011.6.3.5.1.1.3.0.1.0 тоже не подходят
  13. Всем доброго дня, не могу найти документации как заблокировать icmpv6 на коммутаторе Copyright (C) 2003-2011 HUAWEI TECH CO., LTD Quidway S5328C-EI-24S Routing, может кто ткнет как настроить cpu-defend icmpv6 N/A N/A 701868 112423266 icmpv6 N/A N/A 703929 112752577 вот вывод статистики cpu-defend с разницой в несколько секунд
  14. 2 - fibre channel switch 2 - copper switch 2 - kvm 2 - модуля управления В комплекте 7 лезвий: 1) 8 gb RAM, 1 cpu 2) 16 gb RAM, 2 cpu 3) 6 gb RAM, 1 cpu 4) 16 gb RAM, 2 cpu 5) 8 gb RAM, 1 cpu 6) 6 gb RAM, 1cpu 7) 8 gb RAM, 1 cpu можно нафаршировать памятью и доставить cpu, цена 56 тысяч. ярославская область. г.переславль-залесский. тел.9109653334
  15. спасибо все за советы, проблему пока вычленяем постепенно подключая оборудование за микротиком. лупбэки с аплинков с коммутаторов которые ложились убрал. стало получше. порт абонента настроен на ограничение бродкастов, уникастов loopback-detect enable loopback-detect action shutdown stp bpdu-filter enable port-mirroring to observe-port 1 inbound port-mirroring to observe-port 1 outbound unicast-suppression 1 broadcast-suppression 1 .по дампу с зеркала порта ничего особенного не увидели, колец не нашел. было много запросов ipv6 dhcp(выпилили с микротика) и через какой то время микротик начинает бомбить арп запросами на поиск шлюза. сейчас разбираюсь в жоках хуавея на ограничение запросов.
  16. как писали выше иногда от грозы порты погибают, в том числе и аплинки, тогда они сами себя отрубают . насчет конфига микротика можно попрошу посмотреть.
  17. ревизии разные и с и B, с абонентом уже выяснили что как только они включают на микротике порт с камерами начинается дискотека. Как выход предложил им сделать L3 сеть под камеры и запретить для это подсети доступ во внешку.
  18. Народ, добрый день. Подскажите как победить железяки абонента, есть следущая схема сети, влан на абонента, управление оборудованием висит в отдельном влане. Абонент за своим микротиком начал монтировать видеонаблюдение как он говорит из голимого ноунейм китая, как только они начали монтаж у меня коммутаторы длинки-ки стало ловить лупбэки на аплинках. на портах абонента включен лупбэк детекшен и экшен шатдаун, повесил bpdu протект не помогает, завел блэкхол влан и назначил его native vlan на аплинки, ничего не помогло. гашу порт абонента все ровно.
  19. пардон, не сразу вьехал что нужно. не из той оперы вопрос.
  20. 256 абонентов тянет 4х портовая голова, не писать же 256 шаблонов. вланы идут не по порядку, какой будет следующий влан при новом подключении я не знаю.
  21. вроде разобрался уже, у меня получилось в профиль не прописывать влан, а после того как забиндил ону, захожу на нее и вешаю таг на uni1 ctc vlan-mode tag 0x8100 0 vlanid