Перейти к содержимому
Калькуляторы

andpuxa

Активный участник
  • Публикации

    292
  • Зарегистрирован

  • Посещение

Все публикации пользователя andpuxa


  1. статью читал, как раз по P.S. вопросов нет, есть про binding user-control
  2. можно более широкое пояснение по binding user-control. в данный момент есть необходимость ограничить абонентский порт двумя статичными маками. сделано так: switchport port-security switchport port-security maximum 2 switchport port-security mac-address sticky switchport port-security violation shutdown recovery 30 адресация в сети динамическая. судя по доками, при binding user-control тоже создаются статичные arp записи, но как они управляются и работают. если допустим, мак клиента на порту поменялся, как поведет себя свитч, заблочит или обновит записи, если параметр max-user превышен? или он считает максимальное количество маков на порту в текущее время? биллинга нет, адреса выделяются из общего пула. в общем, какой способ лучше оставить, ну и пояснение по вопросам выше, если можно
  3. Подскажите, является ли функционал dhcp snooping binding user-contro аналогом port-security ?если нет, в чем различия?
  4. Спасибо, именно так и получилось сделать. снять таг с влана и отправить его в голос , а дальше, как настроено в шелезке, так и пойдет. Как я не вопрошал у здешней публики, прямого ответа не получил ))
  5. все таки хотелось бы конкретики по моему предпоследнему посту
  6. прошу простить, если не доходчиво пояснил ,у меня есть существующий vlan для voip с настроенной адресацией и роутингом до сервера регистрации, который отдается тагом на порт абонента, мне надо прозрачно перевести его на voice vlan, что бы потом волосы не рвать ночью ))
  7. меня интересует маршрут абонентский порт --> транк--> я правильно понял что с абон. порта пакет сойдет с меткой, попадет в настроенный на коммутаторе vlan и далее уже в vlan tag пойдет далее? если на порту, допустим voice vlan 100, а на транке Interface Ethernet1/0/48 description uplink switchport mode trunk switchport trunk allowed vlan 100 switchport trunk native vlan 10 ???
  8. хорошо, если коммутаторы соединены последовательно метка voice vlan будет передаваться далее через транковый порт на соседний свитч и требуется ли на нем наcтраивать voice vlan, что-бы пропустить далее? или действует общий порядок для вланов?
  9. спасибо, но я не до конца понял концепции. трафик будет попадать в voice vlan по сурс маку это понятно, а как дальше он будет двигаться и роутится, как обычный vlan?
  10. Можно описание уровней приоритета, и нужно ли указывать влан 14 в настройке телефона после объявления его голосовым? Ибр он уходит далее по гирлянде и имеет l3 интерфейс Upd. По конфигу получается связность по l2 между 10 и 14 vlan или я не прав?
  11. Здравствуйте. Имеется офисная рабочая сеть на s2985,voip настроен и функционирует на куче аппаратов snr vp-5*. Трафик voip отделен от служебного и юзерского в отдельный vlan. Т.е порты в гибридном режиме, тагом прилетает voip vlan, на самых аппаратах на wan включен vlan tag. Посмотрел доки, есть интересная функция voice vlan, будут ли для меня какие любо плюсы при переходе на нее, кроме возможности поднятия приоритета? Еще интересует сама реализация, в мануале написано что голосовой влан подается антагом на порт телефона, но у меня уже есть натив влан для юзерской сети Interface Ethernet1/0/1 switchport mode hybrid switchport hybrid allowed vlan 11-14;201 tag switchport hybrid allowed vlan 10 untag switchport hybrid native vlan 10 14 это влан voip, 10 это юзер сеть и какой указать диапазон маков для snr телефонов? общая часть 0C:11:05 прошу внести ясность
  12. проблема решена. на s1 надо: service dhcp ! ip forward-protocol udp bootps на s2: ip dhcp snooping enable ip dhcp snooping vlan 10-16;201 ip dhcp snooping binding enable ! ip dhcp snooping information enable у меня еще снупинг включен теперь в дхсп лизах корректно отображается мак свича и номер порта , с которого прилетел запрос
  13. https://nag.wiki/pages/viewpage.action?pageId=22807967&src=contextnavpagetreemode Пункт 4.3.1
  14. Спасибо попробую, делал по мануала нага
  15. здравствуйте, еще раз. появился вопрос по опции 82, что бы понимать на каком свиче и порту получен мак. есть сегмент сети вида: к абонентам<---[S2 S2985G-48T]<--->[S1 S2995G-24TX]<---> [R1 mikrotik ccr1016]--->к провайдеру НА R1 настроен dhcp сервер на S1 настроен dhcp relay, S1 терминирует vlan пользователей, сделано так: service dhcp ! ip forward-protocol udp bootps ip dhcp relay information option ! interface Vlan9 ip address 192.168.0.251 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 192.168.200.1 ! interface Vlan10 ip address 192.168.10.1 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 192.168.200.1 и т.д в S2 воткнуты юзеры. Проблема какого плана, на микротике R1 в логах dhcp лиз есть параметы agent circuit id и aget remote id. но мак и порт от S1, а должно быть от S2. ПОдозреваю, что я чего то не до настроил на S2. прошу помощи
  16. в касперском можно отключить и настроить дмз на адрес в веб фильтре
  17. собственно, я так уже делал, пускает на все интерфейсы
  18. запрещающее правило в конце нужно?
  19. да не совсем точно пояснил, на коммутаторе несколько l3 интерфейcов, требуется ограничить доступ на все, оставить только с ip 192.168.201.1
  20. Здравствуйте, помогите правильно ограничить доступ к ssh telnet web SNR-S2995G-24TX Требуется разрешить доступ на 192.168.201.1 c любых сетей и запретить с остальных пробовал так: authentication ip access-class manage in telnet authentication ip access-class manage in ssh authentication ip access-class manage in web ip access-list extended manage permit ip host-source any host-destination 192.168.201.1 deny ip any-source any-destination но почему то работает не так как хотелось бы
  21. очепятка, конечно 192.168.13/24, спасибо за пример
  22. здравствуйте еще раз, 2995g выступает в роли терминирующего на нем есть куча vlan c с адресацией 192.168.*.0/24 можно пример, как заблокировать трафик 192.168.13/0 на 192.168.0.0/16, но разрешить на 0.0.0.0/0?
  23. ну а допустим, подсеть управления не совпадает с подсетью клиента, висящего на акцесс порту, как получить доступ?