RN3DCX Posted July 21, 2023 #sh ver SNR-S2985G-48T Device, Compiled on Feb 03 17:12:19 2023 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:77:3f:b7 Vlan MAC f8:f0:82:77:3f:b6 SoftWare Version 7.0.3.5(R0241.0573) BootRom Version 7.2.40 HardWare Version 1.0.1-RPS Настроил по мануалу фильтацию по mac-address'у. Но чёт НЕ работает данный функционал... mac-address-learning cpu-control - такой команды не нашел. В глобале: (config)# mac-address-learning enable vlan 1171 - после применения в кофиге не отображается. Цитата если ввести: (config)#mac-address-learning enable interface ethernet 1/0/5 Command rejected: Can't config for secure port. На интерфейсе: interface ethernet 1/0/5 spanning-tree portfast bpdufilter switchport access vlan 1171 loopback-detection specified-vlan 1171 loopback-detection control shutdown switchport port-security switchport port-security violation restrict switchport port-security mac-address 04-bf-6d-03-8a-72 # sh mac-address-table interface ethernet 1/0/5 1171 04-bf-6d-03-8a-73 SECURED PSecure Ethernet1/0/5 SECUREC - статическая запись; SECURES - статическая запись методом Sticky; SECURED - динамическая запись. При тесте клиент с mac-address'ом 04-bf-6d-03-8a-73 на порту 1/0/5 не блокируется. Чё я делаю не так? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted July 21, 2023 Есть ощущение, что не тот раздел смотрите: 04. Ограничение MAC и IP адресов на порту, конфигурация VLAN - Документация - NAG WIKI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 1, 2023 ок, допустим, делаю по мануалу https://nag.wiki/pages/viewpage.action?pageId=25109574 interface ethernet 1/0/5 switchport access vlan 1171 switchport mac-address dynamic maximum 1 Включить функцию ограничения количества динамических MAC-адресов. switchport arp dynamic maximum 1 Включить функцию ограничения количества динамических ARP-записей switchport nd dynamic maximum Нет информации зачем нужна данная опция? мож речь про neighbor discovery ? Хотя если и так то всё равно не понятно... switchport port-security violation restrict Действие при нарушении защиты: protect - новый MAC-адрес не будет изучен. Вот прям так сразу без указания switchport port-security на порту? В мануалах других линеек коммутаторов SNR указано, что switchport port-security violation restrict не работает без port-security на порту! А хде, т.е как на порту указать фильтрацию, с какого mac-address'а разрешен доступ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted August 2, 2023 @RN3DCX, здравствуйте. Давайте по-порядку. 1. "Мануал", ссылку на который вы скидывали выше, это лишь образец настройки различного функционала, который может ограничивать MAC/IP адреса на порту. Для тех целей, что вы преследуете, лучше воспользоваться непосредственно функционалом Port-Security. Есть небольшая статья на вики: https://nag.wiki/pages/viewpage.action?pageId=25107728 А также есть conifguration guide для данной модели, где упоминается настройка данного функционала: https://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/[S2985G и S2965] Руководство по настройке.pdf 2. "mac-address-learning cpu-control " - данный функционал не поддерживается на коммутаторах под управлением чипсета Realtek (коей и является серия S2985G). 3. Quote В глобале: (config)# mac-address-learning enable vlan 1171 - после применения в кофиге не отображается. Команда не отображается в конфигурации, потому что уже включена по умолчанию, т.к. изучение MAC-адресов - поведение по умолчанию. 4. Quote switchport nd dynamic maximum Нет информации зачем нужна данная опция? мож речь про neighbor discovery ? Хотя если и так то всё равно не понятно... Данный функционал вам не требуется, но отвечу, что данная команда действительно связана с IPv6, она ограничивает кол-во динамически изучаемых соседей по протоколу NDP. 5. Quote Действие при нарушении защиты: protect - новый MAC-адрес не будет изучен. Вот прям так сразу без указания switchport port-security на порту? В мануалах других линеек коммутаторов SNR указано, что switchport port-security violation restrict не работает без port-security на порту! Нет, не сразу, сначала действительно необходимо включить port-security на порту: SNR-S2985G-24T(config-if-ethernet1/0/5)#switchport port-security violation restrict %Error:The interface Ethernet1/0/5 is not security mode Корректный порядок настройки также расписан и в configuration guide. 6. Теперь рассмотрим настройку, которая вам требуется (в режиме конфигурации порта): switchport port-security // включаем port-security switchport port-security violation restrict // выбираем действие при изучении нового MAC-адреса switchport port-security mac-address 04-bf-6d-03-8a-72 // задаем MAC-адрес для текущего порта и VLAN (необязательно) вручную. можно добавить "sticky" - добавить следующий изученный адрес как статический (данный адрес отобразится в "sh run"). switchport port-security maximum 1 // можно не применять, т.к. это значение по умолчанию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 3, 2023 @Vladimir Efimtsev , благодарю за разъяснение! НО фильтрация по mac-адресу не работает..... interface ethernet 1/0/5 switchport port-security switchport port-security violation restrict switchport port-security mac-address mac-address 04-bf-6d-03-8a-72 SNR-S2985G-24TC#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1171 00-24-c4-5e-4c-89 DYNAMIC Hardware Ethernet1/0/3 1171 04-bf-6d-03-8a-73 SECURED PSecure Ethernet1/0/5 1171 04-bf-6d-03-8a-72 SECUREC PSecure Ethernet1/0/5 SECUREC - статическая запись; SECURED - динамическая запись. Не смотря на тот факт, что на порту Ethernet1/0/5 указан mac-address 04-bf-6d-03-8a-72, меняю на конечном устройстве mac-address на 04-bf-6d-03-8a-73 и ничего не происходит.... связность есть... =(( clear mac-address-table dynamic interface eth 1/0/5 - не помогает Почему фильтрация не работает? Что я делаю не так ? ЕЩЕ вопрос: # Время хранения адресов. mac-address-table aging-time 300 - после применения в кофиге не отображается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted August 3, 2023 @RN3DCX, по поводу mac-address-table aging-time 300, 300 секунд - значение по-умолчанию, поэтому и не отображается в конфигурации. По первончальному вопросу потребуется время для проверки, ответим вам позднее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted August 7, 2023 @RN3DCX, здравствуйте. Данное поведение вполне нормальное. Когда вы настраиваете "switchport port-security mac-address 04-bf-6d-03-8a-72", то вы создаете статическую запись. При этом это не означает, что динамически какой-либо MAC-адрес не может изучиться, т.к. у нас по умолчанию есть настройка "switchport port-security maximum 1". Т.е. на порту, помимо статического MAC, может изучиться один динамический. А если уже после этого еще один MAC-адрес изучится, то тогда уже сработает port-security. Если вам нужно, что мы за портом был закреплен только один определенный MAC-адрес, а другие не изучались динамически, то пропишите дополнительно на порту "switchport port-security maximum 0". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
