[nixx]

столкнулся с неведомым-непонятным.

на каталистах обычно где-то в жопке присутствует менеджмент-порт (ну типа FastEthernet0), он же что-то типа out-of-band порт у других производителей.

 

как я обычно делал, когда у меня на точке стоит один свитч (не-каталист, а какой-нибудь брокейд или делл) - я этот самый out-of-band кольцевал в любой "основной" порт свитча, настроенный в режиме switchport mode access, и по L2 каким-нибудь вланом доводил до центра управления.

волки сыты, овцы целы, менеджмент спрятан.

всё так работало у всех вендоров, с кем сталкивался.

 

но, вот, пришлось (попытался) сделать такое на каталистах - сначала 3750X, и сейчас 2960-S - и облом.

такое впечатление, что трафик с менеджмент-порта он просто не пропускает через транспорт по обычным портам. даже мак-адреса его во влане не вижу (схема включения ниже).

можно как-то побороть? или это мой персональный глюк?

или (помня особенности mgmt на cisco ASR) у цисок он, всё же, "не совсем" out-of-band?

 

также пробовал проключить этот менеджмент через микротик в циску. на микротике с бриджа интерфейс fa0 видится и пингуется. на циске на gi 1/0/3 виден только мак микротика, больше ничего.

 

Скрытый текст

 

[fractal]

15 часов назад, nixx сказал:

столкнулся с неведомым-непонятным.

на каталистах обычно где-то в жопке присутствует менеджмент-порт (ну типа FastEthernet0), он же что-то типа out-of-band порт у других производителей.

 

как я обычно делал, когда у меня на точке стоит один свитч (не-каталист, а какой-нибудь брокейд или делл) - я этот самый out-of-band кольцевал в любой "основной" порт свитча, настроенный в режиме switchport mode access, и по L2 каким-нибудь вланом доводил до центра управления.

волки сыты, овцы целы, менеджмент спрятан.

всё так работало у всех вендоров, с кем сталкивался.

 

но, вот, пришлось (попытался) сделать такое на каталистах - сначала 3750X, и сейчас 2960-S - и облом.

такое впечатление, что трафик с менеджмент-порта он просто не пропускает через транспорт по обычным портам. даже мак-адреса его во влане не вижу (схема включения ниже).

можно как-то побороть? или это мой персональный глюк?

или (помня особенности mgmt на cisco ASR) у цисок он, всё же, "не совсем" out-of-band?

 

также пробовал проключить этот менеджмент через микротик в циску. на микротике с бриджа интерфейс fa0 видится и пингуется. на циске на gi 1/0/3 виден только мак микротика, больше ничего.

 

  Показать содержимое

 

Всё так и есть, сам в себя работать не будет, точно было описание в какой то доке у Cisco, что то типо oob есть oob и не надо так делать, так как при шторме порт перегрузится. Но на 2960x/s и 3750x так себе oob, на новых железках (коммутаторы catalyst 9000 и маршрутизаторы catalyst oob везде честно отвязан от cpu) 

[nixx]

вот только хотел первый пост дополнить, и вы отписались )

дополнить хотел тем, что по LLDP менеджмент-порт, воткнутый в основные порты, в циске видится. причем двусторонне - и на менеджмент-порту тоже видится основной.

а вот обычный трафик (ну хотя бы пинги) - не ходит, и мак в мак-таблице не появляется.

 

но раз говорите, что они писали "не надо", значит, видимо, несудьбашка.

[jffulcrum]

Собственно, Bridging between the OOB port and the in-band Layer 2 interface is not supported прямо в руководстве обычно написано. И такая фича не только у Cisco, у Juniper аналогично было, что management порт являлся non-transit.

[sirmax]

7 часов назад, nixx сказал:

помня особенности mgmt на cisco ASR) у цисок он, всё же, "не совсем" out-of-band

А об этом подробнее расскажите?

 

 

7 часов назад, nixx сказал:

любой "основной" порт свитча

А что мешало поднять отдельный vrf для управления? Ну на делл так точно можно

[nixx]

1 час назад, jffulcrum сказал:

 Bridging between the OOB port and the in-band Layer 2 interface is not supported

эта фраза гуглится только для Cisco Business 200/300 свитчей, а оно вообще даже близко не стояло рядом с традиционными каталистами (ну просто даже не IOS в них, а прошивка от индусов марвела/радлана).

но что логика может быть такая же - я согласен.

1 минуту назад, sirmax сказал:

А об этом подробнее расскажите?

ну там есть менеджмент-порт, но он настолько "out'вязан ото всего", что не позволяет через себя ни лить нетфлоу, ни (кажется) авторизовывать абонентов через радиус (привет от деллов, которые льют sflow с полноценного out-of-band).

если требуется всё же делать что-то совсем закрытое от внешнего мира, но полноценно работающее - то надо заводить любой другой интерфейс в отдельном vrf'е (или еще как-то закрываться), называть его "это наш менеджмент" и на него все сервисы вешать.

[sirmax]

7 минут назад, nixx сказал:

что не позволяет через себя ни лить нетфлоу, ни (кажется) авторизовывать абонентов через радиус

Да радиус не работает, я забыл, а как написали, вспомнил.

нетфлоу я уже после радиуса не попробовал:)

[nixx]

4 часа назад, sirmax сказал:

А что мешало поднять отдельный vrf для управления? Ну на делл так точно можно

проскипал как-то вопрос... циска 2960-S с дефолтным темплейтом не имеет даже роутинга, уж не говоря о vrf ))

надо ее как-то переключить в lanbase-routing, но она в крайне неудобном месте стоит - ночью не попасть, а днем нельзя ребутить.

вторую повезу рядом с ней поставлю, тогда и vrf, видимо, раздобыть попытаюсь.

[fractal]

8 часов назад, nixx сказал:

ну там есть менеджмент-порт, но он настолько "out'вязан ото всего", что не позволяет через себя ни лить нетфлоу

это как раз и есть правильный OOB порт, для него прописаны эти ограничения, порт необходим чтобы при шторме и нагрузке на CPU 100% Вы смогли на него спокойно зайти и понять причину

 

3 часа назад, nixx сказал:

проскипал как-то вопрос... циска 2960-S с дефолтным темплейтом не имеет даже роутинга

это по сути для всех 2960, надо переключать на lanbase-routing

 

7 часов назад, sirmax сказал:

Да радиус не работает, я забыл, а как написали, вспомнил.

нетфлоу я уже после радиуса не попробовал:)

тоже ограничение, по рекомендации надо юзать loopback, что логично как по мне

[ikiliikkuja]

не припомню такого запрета в доках у циски, другое дело, что при отсутстствии полноценной oob-сети такая схема бессмыссленна

то, что mgmt не может роутить/свичить в дата-порты это логично

 

маловероятно, а мак-адреса там на всех портах не одинаковые случаем? 

[alibek]

Цитата

ну там есть менеджмент-порт, но он настолько "out'вязан ото всего"

Ну это как-бы нормально для OOB. Это должна быть отдельная (изолированная) сеть, чтобы управление сохранялось даже в случае полного краха в сети.

Но зависит от вендора, конечно, на Redback SE100 mgmt-порт тоже ограниченный, тем не менее у меня получилось помимо управления засунуть в него и RADIUS (то есть 6 портов выделены исключительно под абонентов, а на mgmt все остальное).

[sirmax]

15 часов назад, fractal сказал:

тоже ограничение, по рекомендации надо юзать loopback, что логично как по мне

Я конечно так и делаю

в целом звучит достаточно логично, да вот бывают такие шторма что на консоль не зайти, не то что по сети

 

ну и вопрос авторизации через радиус на железке, не абонентов а логин, открыт. Мне с моими масштабами это нужно только на клиентских свитчах, саппорту, но что будет если запросы на авторизацию на железке не могут ходить через этот порт? (Но я не проверял)

[jffulcrum]

RADIUS тоже нет через OOB, в 2960 не было. Там даже SNMP кастрированный, можно было только состояние портов смотреть.