perfilov Posted July 27, 2025 Posted July 27, 2025 (edited) День добрый, имеется оборудование Цитата #show version SNR-S2965-8T Device, Compiled on Nov 26 09:42:24 2020 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:7d Vlan MAC f8:f0:82:7d SoftWare Version 7.0.3.5(R0241.0386) BootRom Version 7.2.47 HardWare Version 3.0.1 CPLD Version N/A Serial No.:SW082730L322001281 Copyright (C) 2020 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 0 hours, 27 minutes Хотелось бы уточнить это актуальный nos и boot для данного устройства? на офф сайте указаны файлы SNR-S2965-8T(R1.0_R2.0)(RPS_UPS)_7.2.40_boot.rom и SNR-S2965-48T(24T_8T)(RPS_UPS)_V702R101C015_nos.img. Файлы указаны с сайта ТУТ. Пытаюсь настроить port-security для Interface Ethernet1/0/2, как указано в офф мануале. Но при подключении адреса отличного от явно указанного в настройках, трафик с дополнительного (нарушителя) МАС адреса не блокируется, а заносится в таблицу, с чем связано? ! Interface Ethernet1/0/2 switchport access vlan 3 switchport port-security switchport port-security violation protect switchport port-security mac-address 00-e0-4c-68-07-f0 ! f#show mac-address-table interface ethernet 1/0/2 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 3 00-e0-4c-68-07-c0 SECURED PSecure Ethernet1/0/2 3 00-e0-4c-68-07-f0 SECUREC PSecure Ethernet1/0/2 #show port-security interface ethernet 1/0/2 Violation mode : Restrict Maximum MAC Addresses : 1 Configured MAC Addresses : 1 Security Violation count : 0 Edited July 27, 2025 by perfilov уточнение Вставить ник Quote
VolanD666 Posted July 28, 2025 Posted July 28, 2025 Вам может лучше dot1x сделать или там масштаб не тот? Вставить ник Quote
perfilov Posted July 28, 2025 Author Posted July 28, 2025 Цитата Вам может лучше dot1x сделать или там масштаб не тот? Не совсем понятно про какой масштаб вы спрашиваете. На указанном мной порту должен быть 1 единственный МАС (1 абонент == 1 МАК), недобросовестный абонент (школьник) нарушает данное требование, необходимо "мягко" указать на порту 1 МАС без дальнейших разбирательств. Если у SNR заявлен такой функционал, то хотелось бы с ним разобраться, настроено по мануалам, но не работает. Вставить ник Quote
passer Posted July 28, 2025 Posted July 28, 2025 22 часа назад, perfilov сказал: это актуальный nos и boot для данного устройства? Очевидно, что прошивка 2020 года, при наличии прошивок 2025 года несколько устарела. Обновитесь для начала. Вставить ник Quote
witch Posted July 28, 2025 Posted July 28, 2025 (edited) Del Edited July 28, 2025 by witch Вставить ник Quote
perfilov Posted July 28, 2025 Author Posted July 28, 2025 asw-snr-s2985g8t-bor-d#copy ftp://ftp:ftp@10.0.0.252/SNR-S2965/boot.rom boot.rom Confirm to overwrite the existed destination file? [Y/N]:y 220 freebsd13 FTP server (Version 6.00LS) ready. 331 Guest login ok, send your email address as password. 230 Guest login ok, access restrictions apply. 200 Type set to I. 200 PORT command successful. 150 Opening BINARY mode data connection for 'SNR-S2965/boot.rom' (394800 bytes). Recv total 394800 bytes 226 Transfer complete. Close ftp client. Begin to write local file, please wait... Write file "flash:/boot.rom" error(Error:New version exist.)! asw-snr-s2985g8t-bor-d#copy ftp://ftp:ftp@10.0.0.252/SNR-S2965/nos.img nos.img Confirm to overwrite the existed destination file? [Y/N]:y 220 freebsd13 FTP server (Version 6.00LS) ready. 331 Guest login ok, send your email address as password. 230 Guest login ok, access restrictions apply. 200 Type set to I. 200 PORT command successful. 150 Opening BINARY mode data connection for 'SNR-S2965/nos.img' (13840452 bytes). Get Img file size success, Img file size is:13840452(bytes). Recv total 13840452 bytes 226 Transfer complete. Close ftp client. Begin to write local file, please wait... Write ok. asw-snr-s2985g8t-bor-d#show version SNR-S2965-8T Device, Compiled on Nov 26 09:42:24 2020 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:7d:67:25 Vlan MAC f8:f0:82:7d:67:24 SoftWare Version 7.0.3.5(R0241.0386) BootRom Version 7.2.47 HardWare Version 3.0.1 CPLD Version N/A Serial No.:SW082730L322001281 Copyright (C) 2020 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 1 days, 3 hours, 35 minutes asw-snr-s2985g8t-bor-d# Я так понимаю версия rom крайняя, для моей модели, но img обновился, хотя show version показывает одно и тоже, получается на моем устройстве не работает switchport port-security ? Вставить ник Quote
nixx Posted July 28, 2025 Posted July 28, 2025 после обновления прошивки считается хорошим тоном перезагрузить оборудование. Вставить ник Quote
sirmax Posted July 28, 2025 Posted July 28, 2025 1 час назад, nixx сказал: после обновления прошивки считается хорошим тоном перезагрузить оборудование. И если железка умеет хранить несколько образов, то указать с какого грузить 🙂 Вставить ник Quote
perfilov Posted July 29, 2025 Author Posted July 29, 2025 Цитата после обновления прошивки считается хорошим тоном перезагрузить оборудование. Да, после перезагрузки год изменился с 2020 на 2025. #show version SNR-S2965-8T Device, Compiled on May 16 17:36:09 2025 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:7d:67:25 Vlan MAC f8:f0:82:7d:67:24 SoftWare Version V702R101C015 BootRom Version 7.2.47 HardWare Version 3.0.1 CPLD Version N/A Serial No.:SW082730L322001281 Copyright (C) 2025 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 0 hours, 9 minutes Но сути дело не меняет. (config-if-ethernet1/0/2)#show running-config interface ethernet 1/0/2 ! Interface Ethernet1/0/2 switchport access vlan 3 switchport port-security switchport port-security violation restrict switchport port-security mac-address 00-00-ac-af-00-ec ! #show mac-address-table interface ethernet 1/0/2 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 3 00-00-ac-af-00-ec SECUREC PSecure Ethernet1/0/2 3 00-e0-4c-68-07-c0 SECURED PSecure Ethernet1/0/2 На удаленном хосте запустил проверку, все работает. Ну и с самого "не разрешенного" устройства все работает, доступ не пропал. freebsd13:~ # arping 172.17.14.249 ARPING 172.17.14.249 60 bytes from 00:e0:4c:68:07:c0 (172.17.14.249): index=0 time=1.123 msec 60 bytes from 00:e0:4c:68:07:c0 (172.17.14.249): index=1 time=900.125 usec Пробовал командой #switchport port-security violation shutdown, тоже не работает, порт не выключается. Вставить ник Quote
TheUser Posted July 29, 2025 Posted July 29, 2025 Я не большой знаток этих DCN-ов, но что-то мне подсказывает, что ответ можно увидеть вот тут: Цитата Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 3 00-00-ac-af-00-ec SECUREC PSecure Ethernet1/0/2 3 00-e0-4c-68-07-c0 SECURED PSecure Ethernet1/0/2 Первый мак подписан как SECUREC, второй как SECURED. Т.е. первый C - наверное, CONFIGURED, Вы его прибили к порту, второй DYNAMIC - обучился сам. Видимо, нужно отключить автообучение (mac learning) или ограничить количество MAC-адресов на порту, чтобы динамический не появлялся. Вставить ник Quote
perfilov Posted July 29, 2025 Author Posted July 29, 2025 (edited) U A facking kidding me?! https://nag.wiki/pages/viewpage.action?pageId=25107728 Как я должен был дойти до данной статьи!? Цитата Важно! На моделях SNR-S2995, SNR-S2989 и SNR-S3850 команда «switchport port-security maximum ...» ограничивает суммарное число dynamic + static MAC-адресов (здесь и далее под static MAC-адресами подразумеваются адреса, заданные командой «switchport port-security mac-address <Static protected MAC-address>»). На моделях SNR-S225Gi-8T-POE, SNR-S2962, SNR-S2965, SNR-S2982 и SNR-S2985 команда «switchport port-security maximum ...» ограничивает только число dynamic MAC-адресов, число static MAC-адресов определяется только самими записями о статических MAC-адресах («switchport port-security mac-address ...»). Поэтому, — как пример, — если вы хотите на SNR-S2995G разрешить один статический MAC-адрес и запретить любые dynamic MAC-дреса, то вам необходимо установить число разрешённых MAC-адресов 1 («switchport port-security maximum 1» - значение по умолчанию) и установить сам статический MAC-адрес («switchport port-security mac-address ...»). Если нужно сделать то же самое на SNR-S2985, то необходимо установить число разрешённых MAC-адресов 0 («switchport port-security maximum 0») и установить сам статический MAC-адрес («switchport port-security mac-address ...»). Чтобы проверить, какие MAC-адреса ограничивает команда «switchport port-security maximum ...» (только dynamic или dynamic + static), можно установить число разрешённых MAC-адресов 0 («switchport port-security maximum 0») и сделать тестовую запись static MAC-адреса. Если коммутатор покажет ошибку, то команда «switchport port-security maximum ...» ограничивает суммарное число dynamic + static MAC-адресов. Если ошибки не будет, то команда «switchport port-security maximum ...» ограничивает только dynamic MAC-адреса. Такой нюанс работы связан с особенностями чипов, на которых построены коммутаторы. switchport port-security maximum 0 для моей модели оборудования и да, стали блокироваться пакеты от левых МАС адресов, и не появляются записи типа Dynamic Edited July 29, 2025 by perfilov Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.