[Mallorn]

У коммутаторов серии SNR-S2990G имеется выделенный порт управления. 

Можно ли его использовать для управления во время нормальной работы коммутатора?

Как его можно настроить? 

http://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2990G/ ничего не нашел 

[Evgeny Mirhasanov]

Добрый день.

 

Да, он имеет название Etherhernet0. Пример настройки:

 

Quote

 

switch#config
switch(config)#interface ethernet0

switch(config-if-ethernet0)#ip address 192.168.10.1 255.255.255.0

 

 

 

[Mallorn]

#show ver
  SNR-S2990G-24FX Device, Compiled on Sep 16 09:27:39 2014
  sysLocation xxx
  CPU Mac f8:f0:82:73:4b:3e
  Vlan MAC f8:f0:82:73:4b:3d
  SoftWare Version 7.0.3.5(R0102.0093)
  BootRom Version 7.1.37
  HardWare Version 1.0.1
  CPLD Version N/A
  Serial No.:SW041710E923000233
  Copyright (C) 2014 NAG LLC
  All rights reserved
  Last reboot is cold reset.
  Uptime is 301 weeks, 6 days, 16 hours, 25 minutes
swi-border-cab13#conf t 
swi-border-cab13(config)#int ethernet0
%Interface ethernet0 doesn't exist or error!

Это надо прошивку обновлять или поддержка порта только с HW version 2.0 ?

[vurd]

6 часов назад, Evgeny Mirhasanov сказал:

Добрый день.

 

Да, он имеет название Etherhernet0. Пример настройки:

 

 

 

День не задался?

Etherhernet это сильно

[Evgeny Mirhasanov]

#show ver
  SNR-S2990G-24FX Device, Compiled on Sep 16 09:27:39 2014
  sysLocation xxx
  CPU Mac f8:f0:82:73:4b:3e
  Vlan MAC f8:f0:82:73:4b:3d
  SoftWare Version 7.0.3.5(R0102.0093)
  BootRom Version 7.1.37
  HardWare Version 1.0.1
  CPLD Version N/A
  Serial No.:SW041710E923000233
  Copyright (C) 2014 NAG LLC
  All rights reserved
  Last reboot is cold reset.
  Uptime is 301 weeks, 6 days, 16 hours, 25 minutes
swi-border-cab13#conf t 
swi-border-cab13(config)#int ethernet0
%Interface ethernet0 doesn't exist or error!

15 hours ago, Mallorn said:

Это надо прошивку обновлять или поддержка порта только с HW version 2.0 ?

 

 

Да, нужно обновить прошивку. На HW version 1.0 это тоже работает.

 

 

11 hours ago, vurd said:

День не задался?

Etherhernet это сильно

Прошу прощения, действительно неправильно написал.

[CrazyAlex]

а что будет, если я настрою mgmt-port ethernet0 и воткну его в Ethernet 1/0/1, например? Петля будет создаваться при этом?

[alibek]

С чего бы? Конкретно за S2990G не скажу, но я пока еще не видел коммутаторов, где выделенный порт управления не был бы на отдельном чипе с отдельным MAC-адресом.

[Evgeny Mirhasanov]

Добрый день. Нет, в таком случае петли не будет.

[CrazyAlex]

Есть еще вопрос: на коммутатор я пробросил со шлюза 1 и 111 vlan, 1 - основной, 111 - для разного рода управлялок, на mgmt-порт прописал адрес из 111 vlan, воткнул его в 48 порт, 48 порт настроил в access mode и назначил ему 111 vlan. с коммутатора шлюз 111 vlan виден, но шлюз 1 vlan не виден (в данном случае я не прописал ip адрес для коммутатора из 1 vlan), со шлюза я вижу коммутатор, а вот с устройства из 1 vlan я его не вижу. Хотя другие устройства, подключенные по этой же схеме (например ip-камеры и skud) видны. Всё дело в том, что я не выдал адрес коммутатору из 1 vlan?

Суть всего этого в том, чтобы в 1 vlan не светился адрес коммутатора, а доступ к нему был только у админов из 111 vlan.

[VolanD666]

В 03.08.2020 в 16:07, CrazyAlex сказал:

а что будет, если я настрою mgmt-port ethernet0 и воткну его в Ethernet 1/0/1, например? Петля будет создаваться при этом?

Эмм.. в стращном сне не могу представить ситуации зачем так надо делать? Чем обычный порт плох?

[alibek]

Возможно mgmt-порт не маршрутизируется и это попытка обойти данное ограничение.

А может быть просто нечем заняться.

[VolanD666]

Только что, alibek сказал:

Возможно mgmt-порт не маршрутизируется и это попытка обойти это ограничение.

А может быть просто нечем заняться.

Да в такой ситуации mgmt просто навешивается на SVI и все.

[alibek]

Ну случаи бывают разные.

Схема, когда выделенные mgmt (ethernet или serial) включаются в физически отдельный сегмент со своим собственным интернетом на 3G — имеет свои преимущества.

[CrazyAlex]

основная суть задачи проста: убрать коммутаторы из общей сети, чтобы нерадивые сотрудники, не проверив свободен ли адрес, не назначили адрес коммутатора куда-нибудь еще, бывали случаи.

[YuryD]

35 минут назад, alibek сказал:

Ну случаи бывают разные.

Схема, когда выделенные mgmt (ethernet или serial) включаются в физически отдельный сегмент со своим собственным интернетом на 3G — имеет свои преимущества.

 Имеют, но я не использую. В брокаде например есть.

 

4 минуты назад, CrazyAlex сказал:

основная суть задачи проста: убрать коммутаторы из общей сети, чтобы нерадивые сотрудники, не проверив свободен ли адрес, не назначили адрес коммутатора куда-нибудь еще, бывали случаи.

 Ну таких сотрудников для management vlan лучше сократить.

[alibek]

33 минуты назад, CrazyAlex сказал:

убрать коммутаторы из общей сети

И чем это поможет?

Или у вас управление - в общей сети?

[CrazyAlex]

да, в данный момент все адреса коммутаторов из общей сети (она же vlan 1), руки дошли до наведения порядка и хочется сделать так, чтобы ip-адреса у коммутаторов были из управляющего vlan, но при этом был доступ с админских машин, которые находятся в общем vlan.

Если на коммутаторе прописать ip из vlan1 и ip из vlan111, то коммутатор виден по обоим адресам из vlan1, как только удаляю адрес коммутатора из vlan1, то коммутатор становится виден по адресу из vlan111 только с маршрутизатора.

Знания мои в сетях далеко не полные, поэтому пока не могу понять как всё правильно настроить

[alibek]

Тогда советую ничего не трогать, чем наводить такой порядок.

Лучше посмотреть, как делают другие, и повторить. И забыть про vlan 1.

[CrazyAlex]

так я и пытаюсь понять, как делают другие, только никто не говорит.

Вводная такова: есть 15 коммутаторов SNR, которые в первую очередь транслируют основную сеть офиса, она же vlan 1, соответственно на данный момент адреса коммутаторам присвоены из этой подсети. Необходимо сделать так, чтобы у коммутатора не было адреса из основной подсети, настроить ему адрес из подсети управления (он же vlan 111), но при этом иметь в него доступ из основной подсети.

[VolanD666]

Роутингом кто занимается?

[CrazyAlex]

вообще по задумке занимается шлюз, и он по сути нормально роутит, потому что, если я на коммутатор пробрасываю 1 и 111 вланы, то те железки, которые воткнуты в порты, которые настроены в access на 111 влан, я вижу из 1 влана, а также, если я на коммутатор назначаю адрес из 1 и 111 влана, то вижу оба адреса, если я убираю у коммутатора адрес из 1 влана, то я вижу коммутатор только со шлюза, при этом железки, которые находятся в 111 влане, я продолжаю видеть из 1 влана. Именно этот момент меня пока вгоняет в ступор.

 

15 часов назад, alibek сказал:

И забыть про vlan 1.

что значит забыть про vlan 1?

[alibek]

Это значит — не использовать дефолтный vlan.

SNR-S2990G это коммутатор, он не предназначен быть шлюзом.

Рисуйте подробную схему, без этого ничего понять невозможно.

[VolanD666]

2 минуты назад, alibek сказал:

Это значит — не использовать дефолтный vlan.

+100500

[CrazyAlex]

54 минуты назад, alibek сказал:

SNR-S2990G это коммутатор, он не предназначен быть шлюзом.

так он и не является шлюзом, в роли шлюза выступает OpnSense.

Схема такая: шлюз OpnSense - транк в ядро (SNR -S2995) - звездой в остальные коммутаторы (S2990). Соответственно на шлюзе настроены все необходимые vlan'ы и с него транслируются в коммутаторы. Вся маршрутизация происходит на шлюзе.

По поводу подсетей: есть основная подсеть (172.16.0.0/16), в которой на данный момент находится практически всё: железные рабочие места, виртуалки, камеры и проче необходимое IP-железо, которое просто получает свои адреса по dhcp из общей сети. Сейчас было принято решение, что всё офисное оборудование (телефоны, офисные камеры, управлялки коммутаторов, скуды) нужно перетащить в отдельный vlan, чтобы, во-первых, оно не светилось в общей сети, во-вторых, ограничить доступ к ним админским отделом. Ну и в данный момент остались только коммутаторы, с которыми и бьюсь

Изменено 5 августа, 2020 пользователем CrazyAlex

[VolanD666]

12 минут назад, CrazyAlex сказал:

так он и не является шлюзом, в роли шлюза выступает OpnSense.

Схема такая: шлюз OpnSense - транк в ядро (SNR -S2995) - звездой в остальные коммутаторы (S2990). Соответственно на шлюзе настроены все необходимые vlan'ы и с него транслируются в коммутаторы. Вся маршрутизация происходит на шлюзе.

По поводу подсетей: есть основная подсеть (172.16.0.0/16), в которой на данный момент находится практически всё: железные рабочие места, виртуалки, камеры и проче необходимое IP-железо, которое просто получает свои адреса по dhcp из общей сети. Сейчас было принято решение, что всё офисное оборудование (телефоны, офисные камеры, управлялки коммутаторов, скуды) нужно перетащить в отдельный vlan, чтобы, во-первых, оно не светилось в общей сети, во-вторых, ограничить доступ к ним админским отделом. Ну и в данный момент остались только коммутаторы, с которыми и бьюсь

Перенесите их в какой-нить vlan100 и на шлюзе ограничьте доступ. В чем проблема?