Aleksey Sonkin Опубликовано 3 февраля, 2021 · Жалоба @FMA0 добрый день! можно запрещать устанавливать соединение с помощью проверки по флагам ACK/SYN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FMA0 Опубликовано 4 февраля, 2021 · Жалоба @Aleksey Sonkin А должно ли работать это правило, если использовать его в vacl? Есть коммутатор: SNR-S2995G-48FX Device, Compiled on Jan 20 12:44:20 2021 SoftWare Package Version 7.5.3.2(R0004.0310) BootRom Version 7.5.22 HardWare Version 1.0.1 CPLD Version 0.01 Настроен так: vlan 49 name USERS vlan 1851 name MONITORING Interface Ethernet1/0/1 description Link1 switchport mode trunk Interface Ethernet1/0/3 description Link2 switchport mode trunk interface Vlan49 ip address 10.10.52.1 255.255.252.0 interface Vlan1851 ip address 10.10.4.2 255.255.255.0 Я хочу, чтобы соединение могли инициировать только обитатели сети 10.10.4.0/24, поэтому создаю access-list: ip access-list extended vacl49 permit ip 10.10.52.0 0.0.3.255 10.10.52.0 0.0.3.255 permit tcp 10.10.52.0 0.0.3.255 10.10.4.0 0.0.0.255 ack deny ip any-source any-destination И накидываю его на VLAN 49 vacl ip access-group vacl49 in traffic-statistic vlan 49 После чего соединения со стороны обитателей сети 10.10.4.0/24 не проходят. Убираю из правила ack, оставив всё остальное, соединения инициируются, но, разумеется, с обеих сторон. Подскажите, пожалуйста, где я мог ошибиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 4 февраля, 2021 · Жалоба @FMA0 В вашем случае наверное легче было бы создать правило deny на SYN: access-list 100 deny tcp 10.10.52.0 0.0.3.255 10.10.4.0 0.0.0.255 syn И навесить его на VLAN49. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FMA0 Опубликовано 5 февраля, 2021 · Жалоба @Aleksey Sonkin Гм, а в таком виде работает корректно. Спасибо за помощь, буду экспериментировать дальше. (-: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 5 февраля, 2021 · Жалоба @FMA0 просто в первом случае нужно и остальные флаги добавлять - SYN, ACK, ACK+PUSH.... И тогда будет запрещен только SYN+ACK от второй подсети. В общем не очень изящное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy Smirnov Опубликовано 17 февраля, 2021 · Жалоба On 10/20/2020 at 9:13 AM, Evgeny Mirhasanov said: @Boteg Добрый день. Пожалуйста, ознакомьтесь со статьей в нешей базе знанйи "Ограничение доступа к Management Plane коммутаторов SNR". Quote В случае, если не указать протокол (Telnet/SSH/WEB) будет ограничен доступ ко всему Control Plane коммутатора, включая служебный трафик протоколов маршрутизации! ко всему CP коммутатора LDP не относится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 18 февраля, 2021 · Жалоба @dima5010 относится, если настраиваете targeted-peer, так как это unicast Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy Smirnov Опубликовано 18 февраля, 2021 · Жалоба 2 hours ago, Aleksey Sonkin said: @dima5010 относится, если настраиваете targeted-peer, так как это unicast хорошо, спрошу иначе - что сделать, что бы ldp не светился наружу? Сейчас доступно с любой точки планеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy Smirnov Опубликовано 18 февраля, 2021 · Жалоба 1 hour ago, dima5010 said: хорошо, спрошу иначе - что сделать, что бы ldp не светился наружу? Сейчас доступно с любой точки планеты. отвечу сам себе, вылечилось путем удаления из конфига router ldp с обратной вставкой 1в1. На стенде стоит брат близнец с разницей в цифре IP, но у него ldp не отвечал всем подряд. Конфиги заливались одновременно, по питанию перезагрузка не помогала. "Любопытный" подземный стук. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 6 марта, 2021 · Жалоба Всем, здравствуйте! Есть snr2995-12fx, на eth0 повесил белый айпи для управления. После 2-3 входов, свич становится недоступен, пока не передернуть патчкорд. Настроил аксесс листы для определенных пулов белых адресов. Всегда захожу с разрешённых адресов. Что может быть не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy Smirnov Опубликовано 6 марта, 2021 · Жалоба 4 minutes ago, alish13 said: Всем, здравствуйте! Есть snr2995-12fx, на eth0 повесил белый айпи для управления. После 2-3 входов, свич становится недоступен, пока не передернуть патчкорд. Настроил аксесс листы для определенных пулов белых адресов. Всегда захожу с разрешённых адресов. Что может быть не так? Обязательно ходить через менеджмент порт? Использовать адрес на SVI для доступа не вариант? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 6 марта, 2021 (изменено) · Жалоба Ну менеджмент порт для чего-то же установили;) Изменено 6 марта, 2021 пользователем alish13 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy Smirnov Опубликовано 6 марта, 2021 · Жалоба 1 minute ago, alish13 said: Ну менеджмент порт для чего-то же установили?) логично, тогда добро пожаловать на support.nag.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 9 марта, 2021 (изменено) · Жалоба Доброе утро! Подскажите пожалуйста, есть ли на свиче возможность прb команде пинг задавать размер пакета и количество. Типа команды ping ip... si 1500 re 1000 Изменено 9 марта, 2021 пользователем alish13 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
puzanaga Опубликовано 12 марта, 2021 · Жалоба Добрый день! Подскажите как задать размер пакета при ping. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 12 марта, 2021 · Жалоба @puzanaga @alish13 добрый день! примените команду ping без иных дополнительных значений. Далее последовательно вводите необходимые данные (размер, количество...) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy Smirnov Опубликовано 12 марта, 2021 · Жалоба 9 минут назад, Aleksey Sonkin сказал: @puzanaga @alish13 добрый день! примените команду ping без иных дополнительных значений. Далее последовательно вводите необходимые данные (размер, количество...) флаг DF предел мечтаний? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 22 марта, 2021 · Жалоба @Dmitriy Smirnov установка данного флага на текущий момент не реализована. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 23 марта, 2021 (изменено) · Жалоба В 12.03.2021 в 16:33, Aleksey Sonkin сказал: @puzanaga @alish13 добрый день! примените команду ping без иных дополнительных значений. Далее последовательно вводите необходимые данные (размер, количество...) Увидел, спасибо! На циско очень быстро пролетают пинги, на снр ну очень медленно. Исправить можно? И как можно остановить пинги? В 06.03.2021 в 13:20, alish13 сказал: Всем, здравствуйте! Есть snr2995-12fx, на eth0 повесил белый айпи для управления. После 2-3 входов, свич становится недоступен, пока не передернуть патчкорд. Настроил аксесс листы для определенных пулов белых адресов. Всегда захожу с разрешённых адресов. Что может быть не так? Уважаемый SNR Team, поможете в данном вопросе. Изменено 23 марта, 2021 пользователем alish13 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 24 марта, 2021 · Жалоба @alish13 Чтобы "пролетали быстрее" используйте параметр: Timeout in milli-seconds [2000]: 100 Остановить можно с помощью CTRL+C По последнему вопросу - оставьте обращение на support.nag.ru, описав проблему и приложив sh ver и sh run. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 24 марта, 2021 · Жалоба 3 часа назад, Aleksey Sonkin сказал: @alish13 Чтобы "пролетали быстрее" используйте параметр: Timeout in milli-seconds [2000]: 100 Остановить можно с помощью CTRL+C По последнему вопросу - оставьте обращение на support.nag.ru, описав проблему и приложив sh ver и sh run. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
empty_field Опубликовано 14 июня, 2021 · Жалоба Проблема с SNR-S2995G-48FX повторилась, линки падают, при этом на этих же интерфейсах оптические уровни присутствуют. Падения происходят вечером или ночью, когда становится прохладнее. Данные о температурах и вентиляторах: SNR-S2995G-48FX(config)#show fan Fan board information: Fan No Inserted Status Speed 1 YES Normal High 2 YES Normal High SNR-S2995G-48FX(config)#show transceiver Interface Temp(C) Voltage(V) Bias(mA) RX Power(dBM) TX Power(dBM) --------- -------- ---------- -------- ------------- ------------- 1/0/1 53 3.35 26.88 -9.31 -9.89 1/0/2 52 3.33 28.20 -10.51 -10.44 1/0/3 52 3.37 18.99 -12.08 -10.06 1/0/4 52 3.31 28.01 -12.83 -9.84 1/0/5 56 3.37 28.95 -11.02 -10.37 1/0/6 53 3.33 28.39 -10.70 -9.93 1/0/7 54 3.31 25.00 -9.34 -9.92 1/0/8 62 3.31 50.01 -11.90 -8.15 1/0/9 59 3.41 30.27 -10.56 -9.78 1/0/10 60 3.31 36.10 -0.00(A-) -6.90 1/0/11 52 3.30 25.38 -10.75 -10.57 1/0/12 54 3.33 28.01 -11.02 -10.01 1/0/13 51 3.34 26.13 -9.74 -10.01 1/0/14 56 3.33 39.10 -11.23 -8.86 1/0/15 53 3.35 25.00 -9.22 -7.11 1/0/16 51 3.34 25.19 -13.90 -11.15 1/0/17 55 3.34 39.67 -12.94 -6.74 1/0/18 50 3.34 23.69 -11.40 -6.75 1/0/19 47 3.34 27.07 -11.77 -10.21 1/0/22 46 3.35 28.76 -11.65 -7.08 1/0/23 41 3.39 21.43 -10.19 -10.29 1/0/26 47 3.37 37.41 -13.48 -7.17 1/0/27 43 3.35 22.18 -13.53 -8.02 1/0/30 42 3.33 28.01 -10.33 -7.56 1/0/31 45 3.33 28.58 -15.78 -8.43 1/0/34 41 3.34 21.24 -10.11 -10.49 1/0/35 39 3.33 21.43 -9.26 -10.00 1/0/38 40 3.35 20.30 -16.00 -10.45 1/0/39 41 3.29 21.62 -11.39 -10.17 1/0/42 42 3.39 21.06 -13.17 -10.79 1/0/43 40 3.35 20.49 -10.82 -10.41 1/0/46 39 3.35 23.31 -11.11 -10.10 1/0/47 46 3.39 34.03 -14.39 -8.27 SNR-S2995G-48FX(config)# show temperature Temperature: 41C/105F Идей о причинах проблемы кроме перепадов темпетарур нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 16 июня, 2021 · Жалоба @empty_field добрый день! оформите обращение на support.nag.ru, пожалуйста, приложив версию, конфигурацию и логи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Макумазан Опубликовано 15 июля, 2021 · Жалоба SNR-S2995G-48FX стоят 2 штуки, собраны по vsf ring, 2 аплинка 10G подключены к разным девайсам далее уходят на vss. Вопросов нет, полёт нормальный. SNR-S2995G-48FX 1 штука + SNR-S2995G-12FX 1 штука , собраны по vsf ring, 2 аплинка 10G подключены к разным девайсам далее уходят на vss. Когда 1 аплинк 10G подключен к 12FX, непосредственно с самого девайса SNR-S2995G-12FX, iperf выдаёт 1Mbit/s Если аплинк подключенный к 12FX притушить, непосредственно с самого девайса SNR-S2995G-12FX, iperf выдаёт 100Mbit/s Если аплинк перекинуть на 48FX, непосредственно с самого девайса SNR-S2995G-12FX, iperf выдаёт 100Mbit/s Никакой маршрутизации нет, только L2 В 14.06.2021 в 13:06, empty_field сказал: Проблема с SNR-S2995G-48FX повторилась, линки падают, при этом на этих же интерфейсах оптические уровни присутствуют. Падения происходят вечером или ночью, когда становится прохладнее. Данные о температурах и вентиляторах: SNR-S2995G-48FX(config)#show fan Fan board information: Fan No Inserted Status Speed 1 YES Normal High 2 YES Normal High SNR-S2995G-48FX(config)#show transceiver Interface Temp(C) Voltage(V) Bias(mA) RX Power(dBM) TX Power(dBM) --------- -------- ---------- -------- ------------- ------------- 1/0/1 53 3.35 26.88 -9.31 -9.89 1/0/2 52 3.33 28.20 -10.51 -10.44 1/0/3 52 3.37 18.99 -12.08 -10.06 1/0/4 52 3.31 28.01 -12.83 -9.84 1/0/5 56 3.37 28.95 -11.02 -10.37 1/0/6 53 3.33 28.39 -10.70 -9.93 1/0/7 54 3.31 25.00 -9.34 -9.92 1/0/8 62 3.31 50.01 -11.90 -8.15 1/0/9 59 3.41 30.27 -10.56 -9.78 1/0/10 60 3.31 36.10 -0.00(A-) -6.90 1/0/11 52 3.30 25.38 -10.75 -10.57 1/0/12 54 3.33 28.01 -11.02 -10.01 1/0/13 51 3.34 26.13 -9.74 -10.01 1/0/14 56 3.33 39.10 -11.23 -8.86 1/0/15 53 3.35 25.00 -9.22 -7.11 1/0/16 51 3.34 25.19 -13.90 -11.15 1/0/17 55 3.34 39.67 -12.94 -6.74 1/0/18 50 3.34 23.69 -11.40 -6.75 1/0/19 47 3.34 27.07 -11.77 -10.21 1/0/22 46 3.35 28.76 -11.65 -7.08 1/0/23 41 3.39 21.43 -10.19 -10.29 1/0/26 47 3.37 37.41 -13.48 -7.17 1/0/27 43 3.35 22.18 -13.53 -8.02 1/0/30 42 3.33 28.01 -10.33 -7.56 1/0/31 45 3.33 28.58 -15.78 -8.43 1/0/34 41 3.34 21.24 -10.11 -10.49 1/0/35 39 3.33 21.43 -9.26 -10.00 1/0/38 40 3.35 20.30 -16.00 -10.45 1/0/39 41 3.29 21.62 -11.39 -10.17 1/0/42 42 3.39 21.06 -13.17 -10.79 1/0/43 40 3.35 20.49 -10.82 -10.41 1/0/46 39 3.35 23.31 -11.11 -10.10 1/0/47 46 3.39 34.03 -14.39 -8.27 SNR-S2995G-48FX(config)# show temperature Temperature: 41C/105F Идей о причинах проблемы кроме перепадов темпетарур нет. У меня на одном 48FX, тоже линки заваливались и начинался рост CRC ошибок на портах. Потери пакетов, со всеми вытекающими, по температуре 40 было, в документации до 45 если не ошибаюсь. Вылечил заменой на точно такой же 48FX. Думаю, что с ним делать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 16 июля, 2021 · Жалоба @Макумазан Добрый день. Скорее всего проблема в том, что вы стекируете две разных модели серии S2995G. Мы прямо пишем об этом в нашей статье. Quote Важно! VSF-стекирование возможно организовать только между одинаковыми моделями одной серии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...