Jump to content

SNR-S2985G-48T как правильно задать управляющий vlan и общие рекомендации по настройкам

apb
 Share

Recommended Posts

apb

apb

Posted
Posted (edited)

Бодрого времени суток.

на SNR-S2985G-48T пытаюсь реализовать следующее:

vlan 1 - управляющий, фиксированные ip. Нет dhcp.

vlan 10 - voice

vlan 8 - data

порты с 1 по 48 - компы, телефоны, компы с телефонами

порты c 49 по 52 - к ядру. Сейчас включаю только один порт, 52.

Конфиг: 

username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
clock timezone ru add 6 0
!
!
ssh-server enable
!
no telnet-server enable
!
snmp-server enable
snmp-server securityip disable
snmp-server community ro 0 public
!
!
ip dhcp snooping enable
!
!
!
!
!
lldp enable
lldp med device type endpoint
!
!
!
!
!
!
!
vlan 1;4-5;7-8;10 
!
Interface Ethernet1/0/1
!
Interface Ethernet1/0/2
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/3
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/4
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/5
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/6
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/7
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/8
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/9
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/10
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/11
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/12
 switchport access vlan 8
!         
Interface Ethernet1/0/13
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/14
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/15
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/16
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/17
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/18
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/19
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!
Interface Ethernet1/0/20
lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/21
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/22
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/23
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/24
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/25
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/26
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/27
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/28
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/29
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/30
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/31
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/32
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/33
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/34
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/35
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/36
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/37
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/38
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/39
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/40
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/41
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/42
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/43
  lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/44
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/45
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/46
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/47
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/48
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 network policy voice tag tagged vid 10
 switchport mode trunk
 switchport trunk allowed vlan 10 
 switchport trunk native vlan 8
!         
Interface Ethernet1/0/49
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
!         
Interface Ethernet1/0/50
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
!         
Interface Ethernet1/0/51
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
!         
Interface Ethernet1/0/52
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
 ip dhcp snooping trust
!         
interface Vlan1
 ip address 192.168.11.138 255.255.255.0
!         
ip default-gateway 192.168.11.101
!         
ntp enable
ntp server 192.168.44.198
!         
!         
no login  
!         
!         
voice-vlan vlan 10
captive-portal
!         
end

телефоны цепляются на порты нормально при указании им 10 vlan  и компы находят vlan и получают IP 

но вот vlan 1 остается виден только с первого порта
З.Ы.: да, просто не поставил пароль на дефолтового admin и хостнейм не менял.

Вопрос:

1. Как отправить vlan1 через порт 52?
2. Какие Вы можете дать рекомендации для предотвращения генерации пользователями проблем "на портах" (предотвращение закольцовывания, предотвращение dhcp серверов и т.п.)

3. Само решение транковых портов для отлова (cdp нет тут) voice vlan?

4. Если поднимать osfp через порты 52 и 51 - что почитать по этому вопросу?

 

 

Edited by apb
Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@apb, здравствуйте!

 

1. Подскажите, пожалуйста, что значит "vlan 1 остается виден только с первого порта" и "Как отправить vlan1 через порт 52"?

У вас VLAN 1 выдан тегом в порт 52.

 

2.

Quote

Какие Вы можете дать рекомендации для предотвращения генерации пользователями проблем "на портах" (предотвращение закольцовывания, предотвращение dhcp серверов и т.п.)

Вот именно, что мы не можем, к сожалению, дать вам какие-то рекомендации по настройке вашей сети: мы не знаем, что там за трафик, политики вашей сети и т.д. Да и не совсем понятно, что вы подразумеваете под "проблемами" на портах, случаи могут быть разные. Единственное, что могу по личному опыту от себя сказать, что на портах доступа, куда подключены пользователи обычно настраивается loopback-detection и port-security, для предотвращения DHCP атак используется DHCP Snooping, также можно запрещать igmp query на пользовательских портах: 'ip igmp snooping drop query', также можно включить storm-control или rate-violaion для ограничения кол-ва BUM трафика в сети, и т.д. Тут опять же, все зависит только от вас и ваших потребностей.

 

3.

Quote

Само решение транковых портов для отлова (cdp нет тут) voice vlan?

Не совсем понял вопрос. Что значит "отлов" voice vlan?

 

4.

Quote

Если поднимать osfp через порты 52 и 51 - что почитать по этому вопросу?

Если речь все про ту же модель, что указана в топике (SNR-S2985G-48T), то это L2-коммутатор, на нем нет поддержки L3-функционала.

apb

apb

Posted
  • Author
Posted
Цитата

1. Подскажите, пожалуйста, что значит "vlan 1 остается виден только с первого порта" и "Как отправить vlan1 через порт 52"?

У вас VLAN 1 выдан тегом в порт 52.

Управляющий vlan. С точки зрения безопасности, да, не правильно, но тут ситорически сложившийся - пока остается. Данный коммутатор подключен 52 портом в ascess порт другого коммутатора. Мне тоже казалось, что первый vlan выдан на 52 порту, в месте с тем, управляющий интерфейс работает для ip 192.168.11.138 работает при подключении к первому порту, в месте с тем, находясь на любом другом порту коммутатора или на другом коммутаторе - я не вижу ip 192.168.11.138

 

Цитата

Вот именно, что мы не можем, к сожалению, дать вам какие-то рекомендации по настройке вашей сети: мы не знаем, что там за трафик, политики вашей сети и т.д. Да и не совсем понятно, что вы подразумеваете под "проблемами" на портах, случаи могут быть разные. Единственное, что могу по личному опыту от себя сказать, что на портах доступа, куда подключены пользователи обычно настраивается loopback-detection и port-security, для предотвращения DHCP атак используется DHCP Snooping, также можно запрещать igmp query на пользовательских портах: 'ip igmp snooping drop query', также можно включить storm-control или rate-violaion для ограничения кол-ва BUM трафика в сети, и т.д. Тут опять же, все зависит только от вас и ваших потребностей.

Спасибо

 

Цитата

Не совсем понял вопрос. Что значит "отлов" voice vlan?

В порт включается телефон с VLAN10 и комп с VLAN8 (для разных диапазонов vlan различные, а vlan10 - везде как voice). При указании порта типа access - получаю только один vlan на порт. В конфиге выше - если на телефоне включить VLAN10, то телефон получит IP из 10 VLAN и будет находиться в своем диапазоне IP, а комп в PC порту телефона получит VLAN8. На оборудовании выше они будут различны по приоритету. В принципе, телефон и на access-порту будет иметь ip, но универсальность портов пострадает и/или asterisk не пустит такой телефон к sip.

 

Цитата

Если речь все про ту же модель, что указана в топике (SNR-S2985G-48T), то это L2-коммутатор, на нем нет поддержки L3-функционала.

Спасибо

Evgeniy Rychkov

Evgeniy Rychkov

Posted
Posted

Здравствуйте.

 

Цитата

Управляющий vlan. С точки зрения безопасности, да, не правильно, но тут ситорически сложившийся - пока остается

1. Подскажите, пожалуйста, почему вы говорите про безопасность? Мы не имеем ввиду, что у вас что-то сделано безопасно или нет. Нам не совсем понятен конкретный комментарий: "но вот vlan 1 остается виден только с первого порта".

По умолчанию на всех портах существует native vlan. И это влан 1. То есть первый порт настроен как
switchport mode acces
switchport access vlan 1

Однако, эти настройки скрыты из вывода sh run, потому что они дефолтные.

В этом случае у вас только порт 1 настроен как аксесс порт с 1 вланом, а раз он аксесс, значит в него передаются пакеты без тега.

Вот и получается, что устройство за 1 портом (возможно, скорее всего) также ожидает увидеть пакеты без тега, поэому вы "видите" его с первого порта.

 

2. "Как отправить vlan1 через порт 52?"

Вы можете выдать влан 1 транком или аксесс. Однако, в 52 порт вы выдали влан 1 транком, а это значит, что коммутатор отправит пакет через 52 порт с тегом 1. Отсюда вопрос: а устройство на том конце 52 порта готово принять пакеты с тегом 1?

"Данный коммутатор подключен 52 портом в ascess порт другого коммутатора" - это ответ на ваш вопрос, почему только первый порт видит первый влан - он выдан на нем аксессом, а на 52 порту транком.

3. "В порт включается телефон с VLAN10 и комп с VLAN8 (для разных диапазонов vlan различные, а vlan10 - везде как voice). При указании порта типа access - получаю только один vlan на порт. В конфиге выше - если на телефоне включить VLAN10, то телефон получит IP из 10 VLAN и будет находиться в своем диапазоне IP, а комп в PC порту телефона получит VLAN8. На оборудовании выше они будут различны по приоритету. В принципе, телефон и на access-порту будет иметь ip, но универсальность портов пострадает и/или asterisk не пустит такой телефон к sip. "

Есть инструкция:

 

https://nag.wiki/pages/viewpage.action?pageId=25107799

 

Цитата

Если поднимать osfp через порты 52 и 51 - что почитать по этому вопросу?

Про OSPF хорошо написано и объяснено в учебниках CCNA и CCNP, также есть учебники автора Олифер компьютерные сети.
Как указали ранее это L2 коммутатор, однако, если вас в принципе интересует как устроен сам протокол OSPF, то можете обратиться к источникам, которые я указал в предыдущем сообщении.

apb

apb

Posted
  • Author
Posted
Цитата

1. Подскажите, пожалуйста, почему вы говорите про безопасность? Мы не имеем ввиду, что у вас что-то сделано безопасно или нет. Нам не совсем понятен конкретный комментарий: "но вот vlan 1 остается виден только с первого порта".

По умолчанию на всех портах существует native vlan. И это влан 1. То есть первый порт настроен как
switchport mode acces
switchport access vlan 1

Однако, эти настройки скрыты из вывода sh run, потому что они дефолтные.

В этом случае у вас только порт 1 настроен как аксесс порт с 1 вланом, а раз он аксесс, значит в него передаются пакеты без тега.

Вот и получается, что устройство за 1 портом (возможно, скорее всего) также ожидает увидеть пакеты без тега, поэому вы "видите" его с первого порта.

Про 1 Vlan и безопасность - очень "услованя" безопасность. Небезопасным Vlan1 я обозначил скорее с точки зрения "подключения сторонних устройств" (в случае, если стороннее устройство или несконфигурированное устройство, то вероятнее всего оно  будет "общаться" с vlan1) вероятность конфликтов настроек.

 

Цитата

2. "Как отправить vlan1 через порт 52?"

Вы можете выдать влан 1 транком или аксесс. Однако, в 52 порт вы выдали влан 1 транком, а это значит, что коммутатор отправит пакет через 52 порт с тегом 1. Отсюда вопрос: а устройство на том конце 52 порта готово принять пакеты с тегом 1?

"Данный коммутатор подключен 52 портом в ascess порт другого коммутатора" - это ответ на ваш вопрос, почему только первый порт видит первый влан - он выдан на нем аксессом, а на 52 порту транком.

 

Спасибо огромное и по п.1 и по п.2.  Да, я не учёл, что тестируемое устройство подключено к порту, который не будет передавать vlan1 и обращаясь по адресу принадлежащему диапазону vlan1 на одном порту и другим устройствам через data-vlan в основной сети (отключив тестовый интерфейс) - это не одно и то же, также и то, что ответы из vlan 1 я получал попросту другим маршрутом. (#рукалицо)

 

Цитата

3. "В порт включается телефон с VLAN10 и комп с VLAN8 (для разных диапазонов vlan различные, а vlan10 - везде как voice). При указании порта типа access - получаю только один vlan на порт. В конфиге выше - если на телефоне включить VLAN10, то телефон получит IP из 10 VLAN и будет находиться в своем диапазоне IP, а комп в PC порту телефона получит VLAN8. На оборудовании выше они будут различны по приоритету. В принципе, телефон и на access-порту будет иметь ip, но универсальность портов пострадает и/или asterisk не пустит такой телефон к sip. "

Есть инструкция:

Да, спасибо. Инструкцию эту я нашел. Общее описание trunk и hybrid (может для меня общее) тоже. Вот вопрос с корректностью этих настроек - предполагал варианты рекомендаций "если ситуация такая, то лучше.... " с точки зрения нагрузки на устройство или .... выставить порты по-умолчанию в access и включать  "только в случае" множетсвенных соединений отдельные директивы.

 

Что касается вопросов про OSPF - да, я понимаю, что обозначенные железки L2 и они не строят маршруты. Тут вопрос был лишь в отношении возможных нюансов 😃 L3 у меня - cisco 3750. 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.