[Evgeniy Rychkov]

Здравствуйте.

"Моё предположение - кадры не должны быть отброшены" - верно. Все вланы разрешены

 

[Vladimir Efimtsev]

@andpuxa, здравствуйте.

Касаемо данной проблемы:

Quote

проблема такая, на портах 5,6,7 может появляется устройство в vlan 201, которое должно взаимодействовать с другим устройством vlan 10, но пакеты дропаются, помогает только убрать порт из группы изоляции. почему так? ведь изоляция действует только в предеолах vlan10? пробовал глобально поставить isolate-port apply l2, но это не помогло

К сожалению, исправить не получится. Если вкратце - аппаратное ограничение.

[andpuxa]

Есть другие варианты?

[Vladimir Efimtsev]

Именно аналогов нет. Можно использовать ACL, к примеру, или поместить хосты в разные VLAN, чтобы не использовать isolate-port group. Это как примеры. Можете что-то другое использовать.

[andpuxa]

если это аппаратное ограничение, как надо перенастроить порты, что бы isolate-port group работало?

[Vladimir Efimtsev]

Функционал isolate-port group работает. Вы добавили порты в одну изолированную группу, трафик между ними перестал ходить. В этом и есть цель данного функционала.

Единственное, что некорректно работает, что на данных портах изолирован трафик и других VLAN. Это ограничение чипсета Marvell данной линейки, т.е. на данной серии коммутатор использует в работе функционала isolate-port group специальные внутренние ресурсы, которые не отличают между собой L2/L3 трафик, поэтому весь трафик блокируется.

И как я уже сказал, это аппаратное ограничение, а не программное, поэтому с помощью ПО или каких-то настроек это не исправить. Разве что использовать какие-то другие решения в данном случае, например, как я уже сказал, ACL или вместо isolate-port group просто поместить порты в разные VLAN, чтобы хосты общались через межвлановую маршрутизацию и т.д.

[andpuxa]

Устройство выпустили , функционал заявили, а потом выяснилось, что она этого не умеет? Это как?

Изменено 27 ноября, 2023 пользователем andpuxa

[Vladimir Efimtsev]

Здравствуйте. Я уже ответил вам на ваши вопросы.
Трафик портов из одной группы блокируется, значит функционал работает.
Однако, как оказалось, есть некоторые аппаратные ограничения, которые я вам уже объяснял.
Не все баги/недочеты можно выявить в процессе реализации/выпуска устройства. Очень часто бывает и такое, что какие-то подводные вскрываются уже непосредственно в процессе эксплуатации. И такое возникает у ВСЕХ вендоров.
Еще раз отмечу, что ограничение это - аппаратное. Если мы находим или нам сообщают о каких-то программных (софтовых) проблемах, мы их исправляем, и исправляем относительно быстро. Тысячи наших клиентов могут подтвердить это. Но если выясняется, что проблема аппартная, то это не исправить. Соответственно, нужно искать какое-то обходное решение, или использовать коммутаторы другой линейки (на другом чипе), т.к. если есть какое-то ограничение чипа, то вероятно, на другой серии такой проблемы не будет.

[andpuxa]

Это означает толку одно, что устройство не до конца тестируют, а переносят на плечи клиентов. Если чип не поддерживает функционал, то его не надо заявлять

Изменено 28 ноября, 2023 пользователем andpuxa

[andpuxa]

не получается до конца сделать задуманное, поскажите вариант acl, чтобы заблочить трафик  src 192.168.10/24, dst 192.168.10/24 в одном vlan на 3х портах

[Vladimir Efimtsev]

Если честно, странная задача - блокировать трафик хостов из одной подсети в одном VLAN. Если у вас цель, чтобы устройства за портами не могли общаться между собой на L2, поместите их просто в разные VLAN (если такая возможность есть конечно). А коммутатор будет осуществлять межвлановую маршрутизацию при необходимости.

 

Но если все-таки хотите реализовать такое, то попробуйте ACL такого вида: "access-list 3250 deny any-source-mac any-destination-mac vlanId 10 ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255"

[andpuxa]

Я понимаю, что это странно, но слишком много придётся переделывать на доступе.ранее этот тоаффик блокировл port-isolate В будущем переделаю на разные vlan

[String]

Добрый день. Делаю начальные настройки коммутатора, присвоил ему ip из своей подсети, но не получается попасть в его web-интерфейс. Открывается окно ввода имени пользователя и пароля, ввожу по умолчанию admin и попадаю на http://192.168.12.9/goform/WebSetting.html "Не удается получить доступ к сайту". 

[Vladimir Efimtsev]

@String, здравствуйте. Попробуйте отключить антивирус и выполнить вход на коммутатор.

Либо через CLI выберите один из более защищенных методов шифрования данных:

 

SNR-S2995G-24FX(config)#ip http secure-ciphersuite ?
  aes128-gcm-sha256            AES128-GCM-SHA256
  aes128-sha                   AES128-SHA
  aes128-sha256                AES128-SHA256
  aes256-sha                   AES256-SHA
  aes256-sha256                AES256-SHA256
  des-cbc3-sha                 DES-CBC3-SHA
  ecdhe-rsa-aes128-gcm-sha256  ECDHE-RSA-AES128-GCM-SHA256
  ecdhe-rsa-aes128-sha         ECDHE-RSA-AES128-SHA
  ecdhe-rsa-aes256-sha         ECDHE-RSA-AES256-SHA

 

Включите возможность входа на коммутатор по HTTPS:

SNR-S2995G-24FX(config)#ip http secure-server ?
  <cr>

 

И попробуйте зайти на коммутатор уже не по HTTP, а по HTTPS:

https://192.168.12.9

[String]

Отключение антивируса действительно помогло попасть в web, но только по http, https выдаёт "ERR_SSL_VERSION_OR_CIPHER_MISMATCH".

У меня SNR-S2995G-48TX и ssl представлен только протоколами des-cbc-sha, des-cbc3-sha и rc4-128-sha, ни с одним из них войти не получается.

 

[Vladimir Efimtsev]

@String, а какая у вас версия ПО? Обновите коммутатор до последней актуальной версии, там должны быть добавлены новые алгоритмы.

https://data.nag.wiki/SNR Switches/Firmware/SNR-S2995G/recommended/

[String]

Спасибо, разобрался. SNR-S2995G-48TX обновил до рекомендуемой версии, после этого через консоль указал протокол aes128-sha и так заработало.

Но даже после обновления в web интерфейсе остались только старые варианты.

[martyr]

Добрый день.

Подскажите, почему могут не работать SFP модули в портах 25-28(SFP+) коммутатора SNR-S2995G-24FX? Подключаю к 24 порту и все работает.

[jffulcrum]

Порты 25-28 только для модулей SFP+

[Kozubsky Vladimir]

Добрый день, @martyr. Выставьте на портах принудительно скорость 1G с обеих сторон, а также попробуйте отключить автосогласование.

[martyr]

Вроде обратная совместимость должна работать, по крайней мере везде так пишут.

[amk24]

Добрый день. Схема подключения Asterisk <-> SNR-S5210G-24TX <-> SNR-S2995G-24FX (122) <-> SNR-S2995G-24FX (121) <-> SNR-S2982G-24TE <-> Роутер.
Сбрасывается раскраска трафика (tos 0xb8). От Asterisk до SNR-S2995G-24FX (122) доходит/возвращается нормально. А уже от следующего свитча SNR-S2995G-24FX (121) приходит сброшенной. Как исправить?

 

14:09:09.427320 IP (tos 0xb8, ttl 64, id 42345, offset 0, flags [DF], proto ICMP (1), length 84)     172.17.0.29 > 172.17.2.122: ICMP echo request, id 1383, seq 37351, length 64
14:09:09.429818 IP (tos 0xb8, ttl 64, id 48383, offset 0, flags [none], proto ICMP (1), length 84)    172.17.2.122 > 172.17.0.29: ICMP echo reply, id 1383, seq 37351, length 64

 

14:09:20.554418 IP (tos 0xb8, ttl 64, id 27110, offset 0, flags [DF], proto ICMP (1), length 84)    172.17.0.29 > 172.17.2.121: ICMP echo request, id 4644, seq 9, length 64
14:09:20.555807 IP (tos 0x0, ttl 64, id 64564, offset 0, flags [none], proto ICMP (1), length 84)    172.17.2.121 > 172.17.0.29: ICMP echo reply, id 4644, seq 9, length 64

[Vladimir Efimtsev]

@amk24, здравствуйте. Без какой-либо конфигурации и версий прошивок на устройствах сложно сказать в чем может быть конкретно причина такого поведения. К тому же работа QoS может быть реализована по-разному в зависимости от чипсета коммутатора.

Предлагаю вам сначала ознакомиться подробно с нашей статьей и вебинаром, где подробно рассматривается классификация и маркировка трафика на разных чипсетах коммутаторов SNR.

Если все равно не удастся разобраться в вопросе - напишите нам на nag.support, только прикрепите также схему, выводы "sh ver" + "sh run" с каждого коммутатора (вложениями к заявке), и опишите подробно, как проверяете и что конкретно ожидаете увидеть.