Evgeniy Rychkov Опубликовано 15 ноября, 2023 · Жалоба Здравствуйте. "Моё предположение - кадры не должны быть отброшены" - верно. Все вланы разрешены Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 27 ноября, 2023 · Жалоба @andpuxa, здравствуйте. Касаемо данной проблемы: Quote проблема такая, на портах 5,6,7 может появляется устройство в vlan 201, которое должно взаимодействовать с другим устройством vlan 10, но пакеты дропаются, помогает только убрать порт из группы изоляции. почему так? ведь изоляция действует только в предеолах vlan10? пробовал глобально поставить isolate-port apply l2, но это не помогло К сожалению, исправить не получится. Если вкратце - аппаратное ограничение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 27 ноября, 2023 · Жалоба Есть другие варианты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 27 ноября, 2023 · Жалоба Именно аналогов нет. Можно использовать ACL, к примеру, или поместить хосты в разные VLAN, чтобы не использовать isolate-port group. Это как примеры. Можете что-то другое использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 27 ноября, 2023 · Жалоба если это аппаратное ограничение, как надо перенастроить порты, что бы isolate-port group работало? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 27 ноября, 2023 · Жалоба Функционал isolate-port group работает. Вы добавили порты в одну изолированную группу, трафик между ними перестал ходить. В этом и есть цель данного функционала. Единственное, что некорректно работает, что на данных портах изолирован трафик и других VLAN. Это ограничение чипсета Marvell данной линейки, т.е. на данной серии коммутатор использует в работе функционала isolate-port group специальные внутренние ресурсы, которые не отличают между собой L2/L3 трафик, поэтому весь трафик блокируется. И как я уже сказал, это аппаратное ограничение, а не программное, поэтому с помощью ПО или каких-то настроек это не исправить. Разве что использовать какие-то другие решения в данном случае, например, как я уже сказал, ACL или вместо isolate-port group просто поместить порты в разные VLAN, чтобы хосты общались через межвлановую маршрутизацию и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 27 ноября, 2023 (изменено) · Жалоба Устройство выпустили , функционал заявили, а потом выяснилось, что она этого не умеет? Это как? Изменено 27 ноября, 2023 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 28 ноября, 2023 · Жалоба Здравствуйте. Я уже ответил вам на ваши вопросы. Трафик портов из одной группы блокируется, значит функционал работает. Однако, как оказалось, есть некоторые аппаратные ограничения, которые я вам уже объяснял. Не все баги/недочеты можно выявить в процессе реализации/выпуска устройства. Очень часто бывает и такое, что какие-то подводные вскрываются уже непосредственно в процессе эксплуатации. И такое возникает у ВСЕХ вендоров. Еще раз отмечу, что ограничение это - аппаратное. Если мы находим или нам сообщают о каких-то программных (софтовых) проблемах, мы их исправляем, и исправляем относительно быстро. Тысячи наших клиентов могут подтвердить это. Но если выясняется, что проблема аппартная, то это не исправить. Соответственно, нужно искать какое-то обходное решение, или использовать коммутаторы другой линейки (на другом чипе), т.к. если есть какое-то ограничение чипа, то вероятно, на другой серии такой проблемы не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 28 ноября, 2023 (изменено) · Жалоба Это означает толку одно, что устройство не до конца тестируют, а переносят на плечи клиентов. Если чип не поддерживает функционал, то его не надо заявлять Изменено 28 ноября, 2023 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 29 ноября, 2023 · Жалоба не получается до конца сделать задуманное, поскажите вариант acl, чтобы заблочить трафик src 192.168.10/24, dst 192.168.10/24 в одном vlan на 3х портах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 29 ноября, 2023 · Жалоба Если честно, странная задача - блокировать трафик хостов из одной подсети в одном VLAN. Если у вас цель, чтобы устройства за портами не могли общаться между собой на L2, поместите их просто в разные VLAN (если такая возможность есть конечно). А коммутатор будет осуществлять межвлановую маршрутизацию при необходимости. Но если все-таки хотите реализовать такое, то попробуйте ACL такого вида: "access-list 3250 deny any-source-mac any-destination-mac vlanId 10 ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 29 ноября, 2023 · Жалоба Я понимаю, что это странно, но слишком много придётся переделывать на доступе.ранее этот тоаффик блокировл port-isolate В будущем переделаю на разные vlan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
String Опубликовано 20 декабря, 2023 · Жалоба Добрый день. Делаю начальные настройки коммутатора, присвоил ему ip из своей подсети, но не получается попасть в его web-интерфейс. Открывается окно ввода имени пользователя и пароля, ввожу по умолчанию admin и попадаю на http://192.168.12.9/goform/WebSetting.html "Не удается получить доступ к сайту". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 20 декабря, 2023 · Жалоба @String, здравствуйте. Попробуйте отключить антивирус и выполнить вход на коммутатор. Либо через CLI выберите один из более защищенных методов шифрования данных: SNR-S2995G-24FX(config)#ip http secure-ciphersuite ? aes128-gcm-sha256 AES128-GCM-SHA256 aes128-sha AES128-SHA aes128-sha256 AES128-SHA256 aes256-sha AES256-SHA aes256-sha256 AES256-SHA256 des-cbc3-sha DES-CBC3-SHA ecdhe-rsa-aes128-gcm-sha256 ECDHE-RSA-AES128-GCM-SHA256 ecdhe-rsa-aes128-sha ECDHE-RSA-AES128-SHA ecdhe-rsa-aes256-sha ECDHE-RSA-AES256-SHA Включите возможность входа на коммутатор по HTTPS: SNR-S2995G-24FX(config)#ip http secure-server ? <cr> И попробуйте зайти на коммутатор уже не по HTTP, а по HTTPS: https://192.168.12.9 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
String Опубликовано 22 декабря, 2023 · Жалоба Отключение антивируса действительно помогло попасть в web, но только по http, https выдаёт "ERR_SSL_VERSION_OR_CIPHER_MISMATCH". У меня SNR-S2995G-48TX и ssl представлен только протоколами des-cbc-sha, des-cbc3-sha и rc4-128-sha, ни с одним из них войти не получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 22 декабря, 2023 · Жалоба @String, а какая у вас версия ПО? Обновите коммутатор до последней актуальной версии, там должны быть добавлены новые алгоритмы. https://data.nag.wiki/SNR Switches/Firmware/SNR-S2995G/recommended/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
String Опубликовано 22 декабря, 2023 · Жалоба Спасибо, разобрался. SNR-S2995G-48TX обновил до рекомендуемой версии, после этого через консоль указал протокол aes128-sha и так заработало. Но даже после обновления в web интерфейсе остались только старые варианты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martyr Опубликовано 26 декабря, 2023 · Жалоба Добрый день. Подскажите, почему могут не работать SFP модули в портах 25-28(SFP+) коммутатора SNR-S2995G-24FX? Подключаю к 24 порту и все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 26 декабря, 2023 · Жалоба Порты 25-28 только для модулей SFP+ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 26 декабря, 2023 · Жалоба Добрый день, @martyr. Выставьте на портах принудительно скорость 1G с обеих сторон, а также попробуйте отключить автосогласование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martyr Опубликовано 27 декабря, 2023 · Жалоба Вроде обратная совместимость должна работать, по крайней мере везде так пишут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amk24 Опубликовано 15 марта · Жалоба Добрый день. Схема подключения Asterisk <-> SNR-S5210G-24TX <-> SNR-S2995G-24FX (122) <-> SNR-S2995G-24FX (121) <-> SNR-S2982G-24TE <-> Роутер. Сбрасывается раскраска трафика (tos 0xb8). От Asterisk до SNR-S2995G-24FX (122) доходит/возвращается нормально. А уже от следующего свитча SNR-S2995G-24FX (121) приходит сброшенной. Как исправить? 14:09:09.427320 IP (tos 0xb8, ttl 64, id 42345, offset 0, flags [DF], proto ICMP (1), length 84) 172.17.0.29 > 172.17.2.122: ICMP echo request, id 1383, seq 37351, length 64 14:09:09.429818 IP (tos 0xb8, ttl 64, id 48383, offset 0, flags [none], proto ICMP (1), length 84) 172.17.2.122 > 172.17.0.29: ICMP echo reply, id 1383, seq 37351, length 64 14:09:20.554418 IP (tos 0xb8, ttl 64, id 27110, offset 0, flags [DF], proto ICMP (1), length 84) 172.17.0.29 > 172.17.2.121: ICMP echo request, id 4644, seq 9, length 64 14:09:20.555807 IP (tos 0x0, ttl 64, id 64564, offset 0, flags [none], proto ICMP (1), length 84) 172.17.2.121 > 172.17.0.29: ICMP echo reply, id 4644, seq 9, length 64 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 18 марта · Жалоба @amk24, здравствуйте. Без какой-либо конфигурации и версий прошивок на устройствах сложно сказать в чем может быть конкретно причина такого поведения. К тому же работа QoS может быть реализована по-разному в зависимости от чипсета коммутатора. Предлагаю вам сначала ознакомиться подробно с нашей статьей и вебинаром, где подробно рассматривается классификация и маркировка трафика на разных чипсетах коммутаторов SNR. Если все равно не удастся разобраться в вопросе - напишите нам на nag.support, только прикрепите также схему, выводы "sh ver" + "sh run" с каждого коммутатора (вложениями к заявке), и опишите подробно, как проверяете и что конкретно ожидаете увидеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...