RN3DCX Posted July 21, 2023 Posted July 21, 2023 #sh ver SNR-S2985G-48T Device, Compiled on Feb 03 17:12:19 2023 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:77:3f:b7 Vlan MAC f8:f0:82:77:3f:b6 SoftWare Version 7.0.3.5(R0241.0573) BootRom Version 7.2.40 HardWare Version 1.0.1-RPS Настроил по мануалу фильтацию по mac-address'у. Но чёт НЕ работает данный функционал... mac-address-learning cpu-control - такой команды не нашел. В глобале: (config)# mac-address-learning enable vlan 1171 - после применения в кофиге не отображается. Цитата если ввести: (config)#mac-address-learning enable interface ethernet 1/0/5 Command rejected: Can't config for secure port. На интерфейсе: interface ethernet 1/0/5 spanning-tree portfast bpdufilter switchport access vlan 1171 loopback-detection specified-vlan 1171 loopback-detection control shutdown switchport port-security switchport port-security violation restrict switchport port-security mac-address 04-bf-6d-03-8a-72 # sh mac-address-table interface ethernet 1/0/5 1171 04-bf-6d-03-8a-73 SECURED PSecure Ethernet1/0/5 SECUREC - статическая запись; SECURES - статическая запись методом Sticky; SECURED - динамическая запись. При тесте клиент с mac-address'ом 04-bf-6d-03-8a-73 на порту 1/0/5 не блокируется. Чё я делаю не так? Вставить ник Quote
jffulcrum Posted July 21, 2023 Posted July 21, 2023 Есть ощущение, что не тот раздел смотрите: 04. Ограничение MAC и IP адресов на порту, конфигурация VLAN - Документация - NAG WIKI Вставить ник Quote
RN3DCX Posted August 1, 2023 Author Posted August 1, 2023 ок, допустим, делаю по мануалу https://nag.wiki/pages/viewpage.action?pageId=25109574 interface ethernet 1/0/5 switchport access vlan 1171 switchport mac-address dynamic maximum 1 Включить функцию ограничения количества динамических MAC-адресов. switchport arp dynamic maximum 1 Включить функцию ограничения количества динамических ARP-записей switchport nd dynamic maximum Нет информации зачем нужна данная опция? мож речь про neighbor discovery ? Хотя если и так то всё равно не понятно... switchport port-security violation restrict Действие при нарушении защиты: protect - новый MAC-адрес не будет изучен. Вот прям так сразу без указания switchport port-security на порту? В мануалах других линеек коммутаторов SNR указано, что switchport port-security violation restrict не работает без port-security на порту! А хде, т.е как на порту указать фильтрацию, с какого mac-address'а разрешен доступ? Вставить ник Quote
Vladimir Efimtsev Posted August 2, 2023 Posted August 2, 2023 @RN3DCX, здравствуйте. Давайте по-порядку. 1. "Мануал", ссылку на который вы скидывали выше, это лишь образец настройки различного функционала, который может ограничивать MAC/IP адреса на порту. Для тех целей, что вы преследуете, лучше воспользоваться непосредственно функционалом Port-Security. Есть небольшая статья на вики: https://nag.wiki/pages/viewpage.action?pageId=25107728 А также есть conifguration guide для данной модели, где упоминается настройка данного функционала: https://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/[S2985G и S2965] Руководство по настройке.pdf 2. "mac-address-learning cpu-control " - данный функционал не поддерживается на коммутаторах под управлением чипсета Realtek (коей и является серия S2985G). 3. Quote В глобале: (config)# mac-address-learning enable vlan 1171 - после применения в кофиге не отображается. Команда не отображается в конфигурации, потому что уже включена по умолчанию, т.к. изучение MAC-адресов - поведение по умолчанию. 4. Quote switchport nd dynamic maximum Нет информации зачем нужна данная опция? мож речь про neighbor discovery ? Хотя если и так то всё равно не понятно... Данный функционал вам не требуется, но отвечу, что данная команда действительно связана с IPv6, она ограничивает кол-во динамически изучаемых соседей по протоколу NDP. 5. Quote Действие при нарушении защиты: protect - новый MAC-адрес не будет изучен. Вот прям так сразу без указания switchport port-security на порту? В мануалах других линеек коммутаторов SNR указано, что switchport port-security violation restrict не работает без port-security на порту! Нет, не сразу, сначала действительно необходимо включить port-security на порту: SNR-S2985G-24T(config-if-ethernet1/0/5)#switchport port-security violation restrict %Error:The interface Ethernet1/0/5 is not security mode Корректный порядок настройки также расписан и в configuration guide. 6. Теперь рассмотрим настройку, которая вам требуется (в режиме конфигурации порта): switchport port-security // включаем port-security switchport port-security violation restrict // выбираем действие при изучении нового MAC-адреса switchport port-security mac-address 04-bf-6d-03-8a-72 // задаем MAC-адрес для текущего порта и VLAN (необязательно) вручную. можно добавить "sticky" - добавить следующий изученный адрес как статический (данный адрес отобразится в "sh run"). switchport port-security maximum 1 // можно не применять, т.к. это значение по умолчанию. Вставить ник Quote
RN3DCX Posted August 3, 2023 Author Posted August 3, 2023 @Vladimir Efimtsev , благодарю за разъяснение! НО фильтрация по mac-адресу не работает..... interface ethernet 1/0/5 switchport port-security switchport port-security violation restrict switchport port-security mac-address mac-address 04-bf-6d-03-8a-72 SNR-S2985G-24TC#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1171 00-24-c4-5e-4c-89 DYNAMIC Hardware Ethernet1/0/3 1171 04-bf-6d-03-8a-73 SECURED PSecure Ethernet1/0/5 1171 04-bf-6d-03-8a-72 SECUREC PSecure Ethernet1/0/5 SECUREC - статическая запись; SECURED - динамическая запись. Не смотря на тот факт, что на порту Ethernet1/0/5 указан mac-address 04-bf-6d-03-8a-72, меняю на конечном устройстве mac-address на 04-bf-6d-03-8a-73 и ничего не происходит.... связность есть... =(( clear mac-address-table dynamic interface eth 1/0/5 - не помогает Почему фильтрация не работает? Что я делаю не так ? ЕЩЕ вопрос: # Время хранения адресов. mac-address-table aging-time 300 - после применения в кофиге не отображается. Вставить ник Quote
Vladimir Efimtsev Posted August 3, 2023 Posted August 3, 2023 @RN3DCX, по поводу mac-address-table aging-time 300, 300 секунд - значение по-умолчанию, поэтому и не отображается в конфигурации. По первончальному вопросу потребуется время для проверки, ответим вам позднее. Вставить ник Quote
Vladimir Efimtsev Posted August 7, 2023 Posted August 7, 2023 @RN3DCX, здравствуйте. Данное поведение вполне нормальное. Когда вы настраиваете "switchport port-security mac-address 04-bf-6d-03-8a-72", то вы создаете статическую запись. При этом это не означает, что динамически какой-либо MAC-адрес не может изучиться, т.к. у нас по умолчанию есть настройка "switchport port-security maximum 1". Т.е. на порту, помимо статического MAC, может изучиться один динамический. А если уже после этого еще один MAC-адрес изучится, то тогда уже сработает port-security. Если вам нужно, что мы за портом был закреплен только один определенный MAC-адрес, а другие не изучались динамически, то пропишите дополнительно на порту "switchport port-security maximum 0". Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.