[andpuxa]

Я наверное не полностью написал исходные данные. На данном свиче несколько vci. С помощью данных правил нужно было ограничить управление только на ip 192.168.201.1. ограничения срабатывают только на телнет и ссх

[Vladimir Efimtsev]

Как я уже сказал выше, оставьте обращение на nag.support, потому что все равно не очень понятно, что вы имеете в виду, будем разбираться там.

[andpuxa]

извините, некогда разбираться, почему оно опять перестало работать, просто выключу web

Изменено 21 мая пользователем andpuxa

[seagull]

Доброго дня!

 

Обнаружил странную картину с isolate-port.

Прошивка: SoftWare Package Version 7.5.3.6(R0004.0517)

 

В общем картина такая - к 2995 подключена OLT голова через port-group на портах e1/0/1-4,

и коммутаторы, скажем, на портах 5 и 23.

Port-Channel1 и e1/0/5 и 23 работают в switchport mode trunk, и на них присутствуют одинаковые вланы.

Настроена изоляция портов:

isolate-port group Downlinks switchport interface Ethernet1/0/1-24

isolate-port group Downlinks switchport interface port-channel 1
 

И тем не менее, на коммутаторах я однозначно вижу маки из port-channel 1.

С другого коммутатора - не вижу.

Явно какой-то баг с изоляцией в port-channel.

 

Понимаю, что прошивка у меня не самая актуальная, но смотрел changelog - и ничего на эту тему там не видел.

[Vladimir Efimtsev]

@seagull, здравствуйте. Подскажите, пожалуйста, следующие моменты:

1.
 

Quote

 

isolate-port group Downlinks switchport interface Ethernet1/0/1-24

isolate-port group Downlinks switchport interface port-channel 1

 

для чего вы добавили в одну isolate-port group и port-channel интерфейс, и физические порты, которые входят в этот port-channel? Или порт-ченнел добавился автоматически в эту конфигурацию?

 

2.
 

Quote

 

И тем не менее, на коммутаторах я однозначно вижу маки из port-channel 1.

С другого коммутатора - не вижу.

 

С другого коммутатора - это с какого? который подключен в порт отличный от 5 и 23?

[seagull]

Не, на самом деле порты из port-channel не добавляется в  isolate-port group, ругается свитч на эти порты, добавляются порты 5-24 по факту.

port-channel 1 автоматически конечно не добавился в группу, добавляется вручную, как выше написано.

С другого коммутаторы - я имею в виду, что маков с коммутатора в порту 5 не видно в коммутаторе на порту 23, и наоборот.

А с port-channel видно. Ну и на port-channel 1 видны маки с  5 и 23.

 

В группе все корректно вроде:

opt-sw#sh isolate-port group
Isolate-port group Downlinks
    The isolate-port Ethernet1/0/24
    The isolate-port Ethernet1/0/23
    The isolate-port Ethernet1/0/22
    The isolate-port Ethernet1/0/21
    The isolate-port Ethernet1/0/20
    The isolate-port Ethernet1/0/19
    The isolate-port Ethernet1/0/18
    The isolate-port Ethernet1/0/17
    The isolate-port Ethernet1/0/16
    The isolate-port Ethernet1/0/15
    The isolate-port Ethernet1/0/14
    The isolate-port Ethernet1/0/13
    The isolate-port Ethernet1/0/12
    The isolate-port Ethernet1/0/11
    The isolate-port Ethernet1/0/10
    The isolate-port Ethernet1/0/9
    The isolate-port Ethernet1/0/8
    The isolate-port Ethernet1/0/7
    The isolate-port Ethernet1/0/6
    The isolate-port Ethernet1/0/5
    The isolate-port port-group 1

 

[Vladimir Efimtsev]

Провел тестирование. Собрал port-channel между коммутатором SNR-S2995G-24FX и другим коммутатором (из серии S2982G). В port-channel добавил порты 1/0/1 и 1/0/2 с каждой стороны. Данные порты и port-channel настроил транком.

Добавил на 2995 port-channel1 и порт 1/0/3 в одну isolate-port group, и в порт 3 подключил ноутбук. Взял для примера адрес 192.168.10.1 и пинговал несуществующий адрес 192.168.10.2. Чтобы узнать кому принадлежит данный IP-адрес, коммутатор в любом случае должен был отправлять ширковещательный ARP-запрос, значит MAC-адрес ПК (если у нас некорректно работает функционал isolate-port group) должен был появиться на магистрали нижестоящего коммутатора (на интерфейсе Port-channel), но его там не было, значит изоляция работает корректно.

Чтобы убедиться наверняка, подключил в порт 3 другого коммутатора (2982) еще один ноутбук, назначил ему ранее несуществующий адрес 192.168.10.2, и снова попытался с первого ноутбука пропинговать данный адрес 192.168.10.2. Пинг не проходил. Параллельно снимал дамп в wireshark, видел ARP-запросы, которые оставались без ответа, мак-адресов все также не было. Как только убрал isolate-port group, связность между устройствами сразу появилась.

Тестирование проводил на данной версии ПО: V705R002C009B010.

Поэтому рекомендую сперва обновить версию ПО, как минимум, до последней рекомендованной: https://data.nag.wiki/SNR Switches/Firmware/SNR-S2995G/recommended/

После этого снова проверить работу isolate-port group. Если все также будет наблюдаться проблема - оставьте обращение на nag.support, прикрепите 'sh ver' + 'sh run' и опишите подробно проблему.

[seagull]

Цитата

Тестирование проводил на данной версии ПО: V705R002C009B010.

Поэтому рекомендую сперва обновить версию ПО, как минимум, до последней рекомендованной: https://data.nag.wiki/SNR Switches/Firmware/SNR-S2995G/recommended/

Ну насчет последнего софта я понимаю, но в этой ветке веб-интерфейс сломали, поддержка наша будет недоумевать.

Поэтому и смотрел ченджлоги, и ничего не нашел на эту тему.

Ну, придется обновляться, значит...

[Vladimir Efimtsev]

@seagull, подскажите, пожалуйста, что вы подразумеваете под "в этой ветке веб-интерфейс сломали"?

Никто ничего не ломал, все работает)

 

[seagull]

Да нет, я имею в виду, что радикально изменили его, относительно версии 7.5.3.6(R0004.0517), так то он работает...

[dexusden11]

На s2995g-48tx порт Ethernet1/0/1 type- access vlan id - 100

порт ethernet1/0/48 type-Trunk targed-native vlan list 100

к 48-му порту подключен роутер микротик портом ether5 на котором висит vlan 100

к порту 1 подключен ноут.

Не идет трафик по vlan 100

 

Если на ноуте в настройках сетевухи прописываю vlan id 100 и подключаю напрямую к Микротику , то по vlan 100 трафик идет

что еще надо прописать на s2995g-48tx?

[Dmitriy Smirnov]

@dexusden11, у Вас немного каша. Либо на 1/0/48 vid 100 сделайте тэгом, либо на латыше уберите тэг с ether5.

[dexusden11]

Какой командой на 1/0/48 vid 100 сделайте тэгом ?  Настраиваю первый раз.

[Dmitriy Smirnov]

@dexusden11, хорошим тоном является предоставление конфигурации, а не вольный пересказ о средней температуре по больнице. Судя по мурзилке, что была предоставлена ранее, у Вас порт в режиме trunk и Вы зачем-то указали sw tr na vlan 100, т.е. можно вернуться к дефолту sw tr na vlan 1 и будет vid 100 бэгать тэгом.

 

на досуге можно полистать

[andpuxa]

Убрать с 48 порта 100 vlan из native

[Вячеслав Жданов]

Здравствуйте. Коммутатор SNR-S2995G-24FX-UPS. Версия ПО V705R002C010B009. После настройки на стенде всё нормально. Но после установки на узел произошёл сброс до заводских установок. На другом узле установка и запуск произошли штатно, потом произошло отключение электропитания и после восстановления коммутатор стартанул с заводскими настройками. На узлах пока нет резервного питания. Подскажите, что могло повлиять на сброс коммутатора и как этого можно избежать?

Изменено 18 июня пользователем Вячеслав Жданов

[Dmitriy Smirnov]

@Вячеслав Жданов, недавно было исправление: FIX|CRM20240606021283 issue with switch rebooting with config reset with a reason 'reset by button' in some cases

у Вас, случаем, reason не тот же был, не заметили?

 

@Vladimir Efimtsev, хорошо бы услышать от официального источника в каких именно эти "some cases" и как себя от этого оградить, кроме как всё и вся обновить и при этом всё равно не словить сей неприятный some case.

[Вячеслав Жданов]

switch convert mode stand-alone
!!
!
no service password-encryption
!
hostname 
sysLocation 
sysContact 
!
authentication logging enable
!
username admin privilege 15 password 0 
username istranet privilege 15 password 0 
username bot password 0 
!
authentication line console login local
!
!
!
mac-address-learning cpu-control
!
!
!
info-center loghost 1 config 10.3.*.** facility local7
info-center loghost 1 output-enable
info-center logfile 4 config count 40960 nandflash logfile.log
info-center logfile 4 output-enable
info-center logfile 4 match level warnings
snmp-server enable
snmp-server securityip 10.3.*.**
snmp-server community rw 0 dfktynby
!
!
!
!
!
no anti-arpscan enable
anti-arpscan trust ip 172.18.**.1 255.255.255.255
anti-arpscan log enable
anti-arpscan recovery enable
anti-arpscan recovery time 600
anti-arpscan port-based threshold 3
anti-arpscan ip-based threshold 5
!
cpu-protect enable
cpu-protect per-ip limit-speed 200
cpu-protect per-mac limit-speed 200
!
lldp enable
!
!
!
mtu 10218
dosattack-check tcp-flags enable
!
loopback-detection control-recovery timeout 60
!
loopback-detection trap enable
!
dns-server 10.10.**.* priority 2
dns-server 10.10.**.* priority 1
!
!
!
!
vlan 1
!
vlan 149
 name mgmt49
!
vlan 276
 name KL_49cvlan176
!
vlan 3000
 name KL_49
!
interface ethernet1/0/1-8
 media-type fiber
 speed-duplex auto
 switchport mode access
 switchport access vlan 276
 storm-control broadcast 256
 storm-control multicast 256
 storm-control unicast 256
 lldp mode disable
 loopback-detection specified-vlan 1;276;149;3000
 loopback-detection control shutdown
 switchport mac-address dynamic maximum 3
 switchport arp dynamic maximum 3
!
interface ethernet1/0/9-24
 speed-duplex auto
 switchport mode access
 switchport access vlan 276
 storm-control broadcast 256
 storm-control multicast 256
 storm-control unicast 256
 lldp mode disable
 loopback-detection specified-vlan 1;276;149;3000
 loopback-detection control shutdown
 switchport mac-address dynamic maximum 3
 switchport arp dynamic maximum 3
!
interface ethernet1/0/25-26
 speed-duplex force1g-full
 switchport mode access
 switchport access vlan 276
 storm-control broadcast 512
 storm-control multicast 512
 storm-control unicast 512
 lldp mode disable
 loopback-detection specified-vlan 1;276;149;3000
 loopback-detection control shutdown
 switchport mac-address dynamic maximum 3
 switchport arp dynamic maximum 3
!
interface ethernet1/0/27
 speed-duplex force1g-full
 switchport mode access
 switchport access vlan 149
 loopback-detection control shutdown
!
interface ethernet1/0/28
 speed-duplex force1g-full
 switchport mode trunk
 switchport trunk allowed vlan 1;149;276;3000
 anti-arpscan trust supertrust-port
!
interface vlan1
 shutdown
 no ip address
!
interface vlan276
 no ip address
!
interface vlan3000
 no ip address
!
interface vlan149
 ip address 172.18.**.*** 255.255.255.0
!
ip route 0.0.0.0/0 172.18.**.1
!
ntp enable
ntp server 10.3.*.**
ntp server 10.3.*.**
!
clock timezone ***** add 3
!
!
no login
!
isolate-port group clients switchport interface Ethernet1/0/1-24
captive-portal
!
end


Наш конфиг. Если бы было что-то типа rebooting with config reset, то он бы сбросился, думаю, ещё на стенде

Изменено 18 июня пользователем Вячеслав Жданов

[Моравец Владислав]

@Вячеслав Жданов Здравствуйте!

Пришлите, пожалуйста, "show version", а также вывод команды "type reboot.log". Можете ответить сюда, либо создать обращение на nag.support и сообщить там.

 

@Dmitriy Smirnov Точная причина на данный момент неизвестна, есть лишь несколько гипотез, все инциденты происходят лишь на некоторых экземплярах модели SNR-S2995G-24FX при отключении электропитания на узле связи (возможно, в момент скачка напряжения). На текущий момент с помощью ПО можно ограничить последствия такой перезагрузки - конфигурация сбрасываться не будет, однако со своей стороны продолжаем изучать проблему, чтобы в будущем избежать подобных инцидентов. Как только будет известна точная причина проблемы, мы вас обязательно проинформируем.

[Вячеслав Жданов]

  SNR-S2995G-24FX Device, Compiled on Jun 07 16:47:25 2024
  sysLocation 55.928027
  CPU Mac f8:f0:82:d1:e4:cd
  Vlan MAC f8:f0:82:d1:e4:cc
  SoftWare Package Version V705R002C010B019
  BootRom Version 7.5.30
  HardWare Version 1.0.2-UPS
  CPLD Version 1.04
  Serial No.:SW075010N321000246
  Copyright (C) 2024 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 1 days, 3 hours, 3 minutes



#Thu Jan  1 00:09:02 UTC 1970
#reboot reason : reset by button
#Thu Jan  1 00:09:48 UTC 1970
#reboot reason : reset by button
#Thu Jan  1 00:07:19 UTC 1970
#reboot reason : reset by button and null config the next start
#Thu Jan  1 00:04:50 UTC 1970
#reboot reason : reset by button and null config the next start
#Thu Jan  1 00:04:24 UTC 1970
#reboot reason : reset by button and null config the next start
#Thu Jan  1 00:03:54 UTC 1970
#reboot reason : reset by button and null config the next start
#Thu Jan  1 00:03:46 UTC 1970
#reboot reason : reset by button and null config the next start
#Sun Jan  4 10:09:19 UTC 1970
#reboot reason : reboot function
!Sun Jan  4 10:09:19 UTC 1970
!reboot reason : reboot function



Как с помощью ПО или команды избежать сброса?
 

Изменено 18 июня пользователем Вячеслав Жданов

[Моравец Владислав]

@Вячеслав Жданов у вас проблема на прошивке V705R002C010B009 воспроизводилась? На V705R002C010B019 не было такой проблемы?

 

 

Цитата

Как с помощью ПО или команды избежать сброса?

- перезагрузка со сбросом конфигурации происходит только во время отключения электропитания на коммутаторе (и не каждый раз, только при каких-то определённых условиях, которые мы сейчас выясняем). Т.е. в тех случаях, при которых коммутатор в любом случае отключиться.

В "reboot.log" вы можете увидеть причину, будто бы коммутатор перезагрузился "по кнопке". Хотя на самом деле кнопка не нажималась. Такой тип перезагрузки вызывает сброс конфигурации, в новой версии ПО сделали так, чтобы перезагрузка "по кнопке" не сбрасывала настройки.

Первопричины такой перезагрузки сейчас выясняем.

[Вячеслав Жданов]

@Моравец Владислав, вроде бы, на более новых версиях такого не было.

Спасибо за ответ.

 

[Моравец Владислав]

@Вячеслав Жданов Если инцидент повторится, сообщите, пожалуйста. Информация будет полезной. С описанием условий (с каким коммутатором, что произошло на УС, версия ПО, подключен резерв или нет и др.).

[azhur]

Здравствуйте!
Можете подсказать, поддерживает ли SNR-S2995G-24FX функцию Cross-stack LAG?

[Kozubsky Vladimir]

Добрый день, @azhur!
Да, поддерживает