landy Опубликовано 12 февраля, 2016 · Жалоба Да-да, я уже много раз видел и читал про "обязательно включите DTP и PVST на портах" в официальных цискиных мануалах, но в реальной жизни на портах коммутатора, смотрящих к конечным пользователям, многое приходится подкручивать. А как вы "бронируете" свои циски? Мой базовый конфиг порта выглядит примерно так: interface GigabitEthernet0/1 description UPLINK TO SOMEWHERE switchport trunk encapsulation dot1q switchport trunk native vlan 4092 switchport trunk allowed vlan 1,2,3 switchport mode trunk switchport nonegotiate logging event link-status duplex full storm-control multicast level 64 16 storm-control broadcast level 64 16 storm-control action trap no cdp enable spanning-tree portfast trunk spanning-tree bpdufilter enable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 12 февраля, 2016 · Жалоба противоречие: к конечным пользователям UPLINK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakov2000 Опубликовано 12 февраля, 2016 · Жалоба duplex full - и вам точно хочется везде руками его включать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 12 февраля, 2016 · Жалоба duplex full - и вам точно хочется везде руками его включать ? Цыска часто грешит тем, что автоматом дуплекс в халф ставится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 13 февраля, 2016 · Жалоба catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 февраля, 2016 · Жалоба уже же было.. если на одной стороне неготиация выкл.. то другая сторона поставит халф. в общем можно много приколов поймать. я еще флоу контроль отрубаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 13 февраля, 2016 · Жалоба catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха. Это вообще-то стандарт, а не линия связи. duplex mismatch в гугле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 13 февраля, 2016 · Жалоба duplex auto если порт дотсупа еще port security - обычно ограничиваем 3 маками Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 13 февраля, 2016 (изменено) · Жалоба catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха. Это вообще-то стандарт, а не линия связи. duplex mismatch в гугле. Угу, вот только у меня везде (и на коммутаторах, и на сетевухах) используется autonegotiation. Однако, на одном месте есть конфликт старой 3Com сетевухой и Cat2960 - не хотят они оба в autonegotiation работать. Принудительный FD/100 решает. Другие карточки на этой машине прекрасно в autonegotiation работают. И было несколько рабочих мест, на которых СКС Metrel'ом тест (уже не вспомню какой) не проходил - там была аналогичная ситуация, но на любых карточках. Изменено 13 февраля, 2016 пользователем dr Tr0jan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 13 февраля, 2016 · Жалоба не хотят они оба в autonegotiation работать можно еще подумать на версию софта. ибо много раз после смены версий (не обязательно на более новую, бывало что и приходилось понижать - на релейках) подобная проблема решалась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 13 февраля, 2016 · Жалоба Вообще, если все железки в вашем административном домене, можно смело хардкодить speed/duplex, на мульти-вендор это сэкономит кучу нервов. Если где-то на стыке с клиентом/оператором, то лучше в автомате или обсудить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 13 февраля, 2016 · Жалоба У нас косяк с халф дуплексом проявлялся между 65 цыской и конвертером Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 февраля, 2016 · Жалоба на конвертерах иногда есть джампер на тему неготиации. правда всегда думал, что оно работает в сторону оптики. мб в сторону меди пашет тоже? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 14 февраля, 2016 (изменено) · Жалоба switchport mode access switchport nonegotiate switchport block unicast switchport port-security switchport port-security maximum 3 switchport port-security violation restrict ip access-group 100 in storm-control broadcast level pps 15 10 storm-control multicast level 60.00 30.00 storm-control unicast level pps 20000 18000 storm-control action trap spanning-tree portfast spanning-tree bpdufilter enable access-list 100 deny udp any eq bootps any access-list 100 permit ip any any Крайне не рекомендовал бы вам делать на конечного пользователя порт trunk И в storm-control лучше укажите полосу в pps а не % соотношение пропускной способности порта. В вашем случае если на свич прибежит 50Мбит бродкаста, storm-control не отработает с свич начнет срать кирпичами и вся цепочка в том числе. Изменено 14 февраля, 2016 пользователем FATHER_FBI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 14 февраля, 2016 · Жалоба А смысл делать switchport block unicast, чтобы потом на него storm-control включать? P.S. action trap идет через CPU железки, на это стоит обратить внимание. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 14 февраля, 2016 · Жалоба А смысл делать switchport block unicast, чтобы потом на него storm-control включать? P.S. action trap идет через CPU железки, на это стоит обратить внимание. switchport block unicast блокирует unknown unicast storm-control unicast level pps 20000 18000 блокирует уже трафик который не попал под политику switchport block unicast Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 14 февраля, 2016 · Жалоба Хм. Всегда думал, что под unicast в storm-control тоже имеется ввиду unknown. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 14 февраля, 2016 · Жалоба grep'нул по докам, как минимум у Cisco, действительно про unknown в контексте storm-control ничего нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 февраля, 2016 · Жалоба catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха. Угу, впаянный в наге 100fx модуль тоже грешит. Оптика отличная, с той стороны всё ок, а киска ставит в автонегоциации half. На оптомодуле ! Неоднократно эту фигню видел на всех киско с 100fx портами. Так что режим - ставить скорость и дуплекс руками - однозначно полезна. Крайне не рекомендовал бы вам делать на конечного пользователя порт trunk А если хочется в отдельном vlan телевидение вещать приставкам ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 14 февраля, 2016 · Жалоба catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха. Угу, впаянный в наге 100fx модуль тоже грешит. Оптика отличная, с той стороны всё ок, а киска ставит в автонегоциации half. На оптомодуле ! Неоднократно эту фигню видел на всех киско с 100fx портами. Так что режим - ставить скорость и дуплекс руками - однозначно полезна. Да я именно про это! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 14 февраля, 2016 · Жалоба А если хочется в отдельном vlan телевидение вещать приставкам ? А что тогда в таком случае будет ставиться у абонента? Умный свич или роутер который понимает виланы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaist Опубликовано 14 февраля, 2016 · Жалоба А если хочется в отдельном vlan телевидение вещать приставкам ? А что тогда в таком случае будет ставиться у абонента? Умный свич или роутер который понимает виланы? dir 100/300 отлично справляеся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 15 февраля, 2016 · Жалоба Да нифига это не тема - если вы ставите руками у себя, значит с другой стороны нужно сделать тоже самое. И много у вас абонентов, кто самостоятельно настраивает скорость порта на сетевой карте/роутере? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
landy Опубликовано 15 февраля, 2016 · Жалоба противоречие: к конечным пользователям UPLINK Пардоньте, уточню - у меня все шнурки с тегированным трафиком подписаны как UPLINK, с нетегированным - просто как LINK. duplex full - и вам точно хочется везде руками его включать ? Хочется-не хочется, а всевозможную непредсказуемую динамику я предпочитаю зарубать руками. Я админ на предприятии, а не у провайдера, т.е. с другой стороны подключения я тоже делаю duplex full. Крайне не рекомендовал бы вам делать на конечного пользователя порт trunk В этом конкретном примере на другом конце шнурка висит дешёвый dlink со vlan'ами, в который уже непосредственно втыкаются пользователи. switchport mode access switchport nonegotiate switchport block unicast switchport port-security switchport port-security maximum 3 switchport port-security violation restrict ip access-group 100 in storm-control broadcast level pps 15 10 storm-control multicast level 60.00 30.00 storm-control unicast level pps 20000 18000 storm-control action trap spanning-tree portfast spanning-tree bpdufilter enable access-list 100 deny udp any eq bootps any access-list 100 permit ip any any port-security, к сожалению, неприменим. ACL - заблокировать ответы dhcp-сервера из-за порта? Можно поподробнее про switchport block unicast? Оно вообще весь dlf зарубит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 15 февраля, 2016 (изменено) · Жалоба Вообще, если все железки в вашем административном домене, можно смело хардкодить speed/duplex, на мульти-вендор это сэкономит кучу нервов. Если бы все железки ещё бы умели это делать. PXE - отказать, многие видеокамеры - отказать, телефоны - отказать. Изменено 15 февраля, 2016 пользователем dr Tr0jan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...