Jump to content
Калькуляторы

aaaaa

Пользователи
  • Content Count

    47
  • Joined

  • Last visited

About aaaaa

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Добрый день, как в 2980 включить балансировку на lag в новых коммутаторах snr делаю: port-group 1 Interface Port-Channel1 load-balance dst-src-ip а здесь нет load-balance? SoftWare Version 7.0.3.5(B0207.0019)
  2. я у себя это тоже спрашивал.. просто плодит логи, решил узнать, есть ли решение.
  3. Порой возникает такая ситуация, как я понимаю зависает роутер у абонентов и начинает отключать и включать линк. Со стороны коммутатора это выглядит так: порт переходит в down сначала показывает: Time since last status change:0w-0d-0h-0m-0s (0 seconds) потом: Time since last status change:118w-2d-12h-6m-28s (71582788 seconds) потом: Time since last status change:0w-0d-0h-0m-0s (0 seconds) и возвращается в состояние up и так происходит не реже раза в минуту, может и каждые 10 секунд. Можно ли избежать подобного состояния (частого отключения и включения порта) настройками со стороны коммутатора?
  4. На одном из коммутаторов возникла такая картина:) nbo_8_1.1(config)#sh cpu ut Last 5 second CPU USAGE: 78% Last 30 second CPU USAGE: 77% Last 5 minute CPU USAGE: 68% From running CPU USAGE: -2168% На самом деле я так понимаю anti-arpscan помогает только от сканирования mac, но при желании можно сканировать с меньшим количеством пакетов. Фактически от дальнейший реализации подмены мака спасет: ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 5 от чужого dhcp-server ip dhcp snooping action blackhole от штормов: storm-control unicast 63 rate-violation broadcast 200 rate-violation multicast 200 rate-violation control shutdown recovery 3600 от петель loopback-detection specified-vlan 101 loopback-detection control shutdown от лишних подключений switchport port-security switchport port-security violation protect как я предполагаю дополнительно включать anti-arpscan это ресурсы на ветер, плюс у некоторых пользователей все равно валится по 15-20 arp пакетов?
  5. Правила действительно обрабатываются до dhcp, в отличии от snr 2960 и орионов. В данном случае проблема была в том, что разрешено с только с permit ip 172.16.0.0 0.0.3.255 any-destinationpermit ip 10.0.0.0 0.0.3.255 any-destination и нет разрешения для первого запроса без ip: как указано выше, проблема была решена permit udp any-source host-destination 255.255.255.255 d-port 67
  6. После включения anti-arpscan на коммутаторах изменился cpu utilization c 35-40% до 70-80% это нормальное поведение?
  7. Проблема с dhcp, после подключения данных правил к порту, все работает, но если выключить и включить порт deb ip dhcp sn pa на данном порту пустой. SoftWare Version 7.0.3.5(R0102.0138) nbo_2_1.2(config-if-ethernet1/0/42)#ip access-group users in nbo_2_1.2(config-if-ethernet1/0/42)#shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:08:56 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN %Jan 23 18:08:56 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN nbo_2_1.2(config-if-ethernet1/0/42)#no%Jan 23 18:09:02 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:02 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:04 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP %Jan 23 18:09:04 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP %Jan 23 18:09:25 2018 DHCPS: rcv packet from client e8-94-f6-af-0f-81, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:25 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 %Jan 23 18:09:34 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:34 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 %Jan 23 18:09:50 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:50 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 nbo_2_1.2(config-if-ethernet1/0/42)#no ip access-group users in nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:58 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:58 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:01 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN %Jan 23 18:10:01 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN no shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:06 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP %Jan 23 18:10:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN %Jan 23 18:10:08 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP %Jan 23 18:10:09 2018 DHCPS: parse packet from client c4-6e-1f-90-dd-ff, failed interface Ethernet1/0/42(portID 0x100002A), length 594, type DHCPRELEASE, opcode BOOTREQUEST, stacking 0 %Jan 23 18:10:09 2018 Port-security has reached the threshold on Interface Ethernet1/0/42, so packets with unknown source addresses are dropped! %Jan 23 18:10:11 2018 DHCPS: rcv packet from client c4-6e-1f-90-dd-ff, interface Ethernet1/0/42(portID 0x100002A), length 594, type DHCPDISCOVER, opcode BOOTREQUEST, stacking 0 %Jan 23 18:10:11 2018 DHCPR PACKET: build circuit id with vid <252>, portname <Ethernet1/0/42> %Jan 23 18:10:11 2018 DHCPR PACKET: rcvd request packet, length <548>, making our circuit-id <00:06:00:65:01:00:00:2A>, our remote-id <F8:F0:82:73:47:C1> DHCPR PACKET:receive relay request packet,and enter function fnDhcpRelayRequest(). %Jan 23 18:10:11 2018 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 c4-6e-1f-90-dd-ff on interface Vlan252. %Jan 23 18:10:11 2018 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:00:65:01:00:00:2A remote-id F8:F0:82:73:47:C1) into this request packet(type:1), new packet length 317 %Jan 23 18:10:11 2018 DHCPR PACKET: unicasting BOOTP-REQUEST from client c4-6e-1f-90-dd-ff to server/relay 10.0.100.253
  8. Добрый день, ниже написанные правила работают на snr s2960, orion alpha a26. для работы на SNR-S2965-24T работают, если разрешить ARP путем permit any-source-mac any-destination-mac tpid 806 ip any-source any-destination, что надо сделать на SNR-S2990G-48T для работы данных правил? ip access-list extended users deny ip any-source host-destination 255.255.255.255 deny ip any-source 10.0.0.0 0.255.255.255 deny ip any-source 172.16.0.0 0.15.255.255 deny ip any-source 192.168.0.0 0.0.255.255 deny ip any-source 224.0.0.0 15.255.255.255 permit ip 172.16.0.0 0.0.3.255 any-destination permit ip 10.0.0.0 0.0.3.255 any-destination deny ip any-source any-destination exit
  9. Да, отключается именно процессом anti-arpscan, блокируются по ip, так как порт в up. Думал дело в оборудовании клиента/прошивке, но подключили роутер той же модели с той же прошивкой, что работал нормально на другом коммутаторе, к коммутатору, который отключает абонентов, после чего данный роутер минут через 15 был отключен процессом anti-arpscan.
  10. Orion А26   У меня на нескольких коммутаторах а26 включен anti-arpscan, данные коммутаторы находятся в разных домах, в разных вланах управления. На магистральных настроен supertrustport, настройки коммутаторов идентичные. Все пользователи в одном влан и там и там. На одном коммутаторе часто отключаются абонентские порты на другом все спокойно. Что, кроме абонентского оборудования может влиять на срабатывания anti-arpscan?
  11. Еще вопрос про разницу в блокировке, при обнаружение арп запросов с наличием src-ip блокируются пакеты с данным ip на порту, порт не переходит в состояние down, правильно? А при обнаружении превышения пакетов без src-ip порт переходит в состояние shutdown by anti-arpscan?
  12. насколько помню вам нужны таблица с inetnum и таблица с route