[Stubborn]

58 минут назад, alex4222 сказал:

set ethernet-switching-options bpdu-block interface ge-0/0/22.0

set ethernet-switching-options bpdu-block interface ae15.0

 

такой конфиг кинул 4200 (1). спасибо конфирмед 1.

 

show spanning-tree interface

Spanning tree interface parameters for instance 0

Interface    Port ID    Designated      Designated         Port    State  Role
                         port ID        bridge ID          Cost
ae1.0            128:2        128:2  32768.5c5eab7ce400     10000  FWD    DESG
ae2.0            128:3        128:3  32768.5c5eab7ce400     10000  FWD    DESG
ae3.0            128:4        128:4  32768.5c5eab7ce400     10000  FWD    DESG
ae4.0            128:5        128:5  32768.5c5eab7ce400     10000  FWD    DESG
ae5.0            128:6        128:6  32768.5c5eab7ce400     10000  FWD    DESG
ae6.0            128:7        128:7  32768.5c5eab7ce400     10000  FWD    DESG
ae7.0            128:8        128:8  32768.5c5eab7ce400     10000  FWD    DESG
ae8.0            128:9        128:9  32768.5c5eab7ce400     10000  FWD    DESG
ae9.0           128:10       128:10  32768.5c5eab7ce400     10000  FWD    DESG
ae11.0          128:12       128:12  32768.5c5eab7ce400     10000  FWD    DESG
ae14.0          128:15       128:15  32768.5c5eab7ce400     20000  FWD    DESG
ae15.0          128:16       128:16  32768.b0c69a637241     10000  DIS    DIS
ge-0/0/0.0     128:513      128:513  32768.5c5eab7ce400     20000  FWD    DESG
ge-0/0/1.0     128:514      128:514  32768.5c5eab7ce400     20000  FWD    DESG
ge-0/0/10.0    128:523      128:523  32768.5c5eab7ce400     20000  FWD    DESG
ge-0/0/20.0    128:533      128:533  32768.5c5eab7ce400    200000  FWD    DESG
ge-0/0/22.0    128:535      128:535  32768.5c5eab7ce400     20000  DIS    DIS
ge-0/0/23.0    128:536      128:536  32768.5c5eab7ce400    200000  FWD    DESG
ge-1/0/0.0     128:569      128:569  32768.5c5eab7ce400     20000  FWD    DESG
ge-1/0/9.0     128:578      128:578  32768.5c5eab7ce400     20000  FWD    DESG

 

 

 

теперь командой show ethernet-switching interfaces посмотрите какое действие будет выполнено при получении BPDU на такой порт

действие по-умолчанию shutdown. вряд ли вас такой вариант устроит, поэтому я выше писал про drop.

 

 

17 минут назад, alex4222 сказал:

этот мак 4200(2) и он на 4200(1) видится в нативном влане. так и должно быть.

но транзитный D-Link видит мак 4200(2) во вланах, хотя прямого соединения у них нет.

вланы созданы на 4200(1) и только на интерфейсе ge-0/0/22 - подключен оператор. больше этих вланов нигде нет.

 

версия 4200(1)

 show version
fpc0:
--------------------------------------------------------------------------
Hostname: х
Model: ex4200-24t
JUNOS Base OS boot [12.3R6.6]

 

оператор идет в отказ. говорит ниче не делали.

 

На dlink этот mac-адрес на каких портах виден? От кого он его получает? От 4200(1) ?

 

софт далеко не самый свежий

 

от оператора на обоих портах одинаковые vlan-ы получаете?

[alex4222]

dlink  видит на 26-м порту  - это ge-0/0/22  4200(1)    получается что от 4200(1) и получает.

 

от оператора 4200(1) получает эти вланы

от оператора 4200(2) получает аксцесс. у оператора это влан 3002.

 

show ethernet-switching interfaces ge-0/0/22.0
Interface    State  VLAN members        Tag   Tagging  Blocking
ge-0/0/22.0  up     Vlan3004            3004  tagged   unblocked
                    Vlan3225            3225  tagged   unblocked
                    Vlan3226            3226  tagged   unblocked
                    Vlan3227            3227  tagged   unblocked
                    Vlan3228            3228  tagged   unblocked
                    Vlan3229            3229  tagged   unblocked
                    Vlan3230            3230  tagged   unblocked
                    Vlan3231            3231  tagged   unblocked
                    Vlan3232            3232  tagged   unblocked
                    Vlan3438            3438  tagged   unblocked
                    Vlan3640            3640  tagged   unblocked
                    Vlan3696            3696  tagged   unblocked

show ethernet-switching interfaces ae15.0
Interface    State  VLAN members        Tag   Tagging  Blocking
ae15.0       up     Vlan3000            3000  untagged unblocked
                    Vlan2               2     tagged   unblocked
                    Vlan221             221   tagged   unblocked
                    Vlan222             222   tagged   unblocked
                    Vlan3141            3141  tagged   unblocked
                    Vlan3335            3335  tagged   unblocked

 

где посмотреть действие?

все. вижу

<[Enter]>            Execute this command
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  disable              Disable BPDU  Protect
  drop                 Drop xSTP BPDUs
  shutdown             Default - Block BPDUs on interface and shutdown port
  |                    Pipe through a command

 

надо было не disable а drop ставить.

Изменено 18 октября, 2017 пользователем alex4222

[alex4222]

еще прикол. данный мак находится на объекте за оператором в  Vlan3227. вот почему иногда светит в другие вланы. не долго. это с тарнзитного dlink

 

 

Total Entries :3
VID	VLAN Name	MAC Address	Port	Type
3227	Vlan3227	00-00-44-55-66-77	25	Dynamic
3231	Vlan3231	00-00-44-55-66-77	26	Dynamic
3232	Vlan3232	00-00-44-55-66-77	26	Dynamic

Изменено 18 октября, 2017 пользователем alex4222

[Stubborn]

настраивается так

set ethernet-switching-options bpdu-block interface ge-0/0/42.0 drop

если не указать действие drop - по-умолчанию действие shutdown

 

выглядит это так

show ethernet-switching interfaces ge-0/0/41.0    
Interface    State  VLAN members        Tag   Tagging  Blocking
ge-0/0/41.0  down   default                   untagged unblocked-xSTP bpdu filter enabled

 

 

18 минут назад, alex4222 сказал:

еще прикол. данный мак находится на объекте за оператором в  Vlan3227. вот почему иногда светит в другие вланы. не долго. это с тарнзитного dlink

 

 

Total Entries :3
VID	VLAN Name	MAC Address	Port	Type
3227	Vlan3227	00-00-44-55-66-77	25	Dynamic
3231	Vlan3231	00-00-44-55-66-77	26	Dynamic
3232	Vlan3232	00-00-44-55-66-77	26	Dynamic

 

т.е. периодически этот мак приходит от оператора? :)

 

[alex4222]

мак постоянно сидит на 25-м порту. там и должен. но иногда светит в 26-м порту. не должен.

в этот вывод попадает на транзитном делинке на порту 26

Total Entries :13
VID	VLAN Name	MAC Address	Port	Type
3004	Vlan3004	5C-5E-AB-7C-E4-00	26	Dynamic
3225	Vlan3225	5C-5E-AB-7C-E4-00	26	Dynamic
3226	Vlan3226	5C-5E-AB-7C-E4-00	26	Dynamic
3227	Vlan3227	5C-5E-AB-7C-E4-00	26	Dynamic
3228	Vlan3228	5C-5E-AB-7C-E4-00	26	Dynamic
3229	Vlan3229	5C-5E-AB-7C-E4-00	26	Dynamic
3230	Vlan3230	5C-5E-AB-7C-E4-00	26	Dynamic
3230	Vlan3230	B0-C6-9A-63-72-41	26	Dynamic
3231	Vlan3231	5C-5E-AB-7C-E4-00	26	Dynamic
3232	Vlan3232	5C-5E-AB-7C-E4-00	26	Dynamic
3232	Vlan3232	B0-C6-9A-63-72-41	26	Dynamic
3438	Vlan3438	5C-5E-AB-7C-E4-00	26	Dynamic
3640	Vlan3640	5C-5E-AB-7C-E4-00	26	Dynamic

[Stubborn]

а что включено в этот 26 порт?

[alex4222]

2 часа назад, Stubborn сказал:

а что включено в этот 26 порт?

4200(1)   ge-0/0/22

[Stubborn]

58 минут назад, alex4222 сказал:

4200(1)   ge-0/0/22

а в 25 порт тогда что?

[alex4222]

32 минуты назад, Stubborn сказал:

а в 25 порт тогда что?

оператор

[Stubborn]

т.е. mac-адрес коммутатора 4200(2) периодически прилетает от оператора???

[alex4222]

Stubborn 

схему изменили - убрали аксцессовое соединение 3002 оператора и 4200(2). офисники переключили на свои циски (но соединение осталось через циску. удалили 3002 на 4200(2)).

но мак все равно прилетает на транзитный делинк хаотично на все вланы и когда прилетает - вланы колбасит.

я на транзитном делинке настроил статичный мак на неиспользуемом порту во всех вланах и вланы перестало колбасить, мак перестал прилетать на транзитный делинк со стороны 4200(1).

получается этот мак B0-C6-9A-63-72-41 каким то образом проходит через 4200(1) из нативного влана в сторону оператора в другие вланы.

как заблокировать мак в требуемых вланах на 4200(1)?

 

show | compare
[edit interfaces vlan unit 3225 family inet]
+       filter {
+           input mac;
+       }
[edit]
+  firewall {
+      family ethernet-switching {
+          filter mac {
+              term block-mak {
+                  from {
+                      source-mac-address {
+                          b0:c6:9a:63:72:41/48;
+                      }
+                  }
+                  then discard;
+              }
+              term accept-all-other {
+                  then accept;
+              }
+          }
+      }
+  }

 

 

это мак оставит в нативном 3000-м влане, а в нужном заблокирует? чтобы убрать транзитный делинк

оператор_v2.vsdx

 

4200(1)# run show arp | match 72:41
b0:c6:9a:63:72:41 192.168.x.x 192.168.x.x           vlan.3000           none

 

Изменено 1 декабря, 2017 пользователем alex4222

[alex4222]

В 18.10.2017 в 22:29, Stubborn сказал:

т.е. mac-адрес коммутатора 4200(2) периодически прилетает от оператора???

получается что он прилетает от 4200(1) через нативный влан. не от оператора

Изменено 1 декабря, 2017 пользователем alex4222

[vvertexx]

alex4222 

может обновишься? хоть на крайнюю в 12 ветке.

[alex4222]

В 02.12.2017 в 10:57, vvertexx сказал:

alex4222 

может обновишься? хоть на крайнюю в 12 ветке.

что за ветка? где можно качнуть актуальную прошивку?

лет 5 назад на торренте качали и обновляли командой request system software add validate /var/tmp/.....tgz  

ничего не изменилось?

мне должны закупить еще один 4200. посмотрю какая там прошивка.