Jump to content

Catalyst - менеджмент-порт

nixx
 Share

Recommended Posts

nixx

nixx

Posted
Posted

столкнулся с неведомым-непонятным.

на каталистах обычно где-то в жопке присутствует менеджмент-порт (ну типа FastEthernet0), он же что-то типа out-of-band порт у других производителей.

 

как я обычно делал, когда у меня на точке стоит один свитч (не-каталист, а какой-нибудь брокейд или делл) - я этот самый out-of-band кольцевал в любой "основной" порт свитча, настроенный в режиме switchport mode access, и по L2 каким-нибудь вланом доводил до центра управления.

волки сыты, овцы целы, менеджмент спрятан.

всё так работало у всех вендоров, с кем сталкивался.

 

но, вот, пришлось (попытался) сделать такое на каталистах - сначала 3750X, и сейчас 2960-S - и облом.

такое впечатление, что трафик с менеджмент-порта он просто не пропускает через транспорт по обычным портам. даже мак-адреса его во влане не вижу (схема включения ниже).

можно как-то побороть? или это мой персональный глюк?

или (помня особенности mgmt на cisco ASR) у цисок он, всё же, "не совсем" out-of-band?

 

также пробовал проключить этот менеджмент через микротик в циску. на микротике с бриджа интерфейс fa0 видится и пингуется. на циске на gi 1/0/3 виден только мак микротика, больше ничего.

 

Скрытый текст

catalyst-mgmt.jpg

 

fractal

fractal

Posted
Posted
15 часов назад, nixx сказал:

столкнулся с неведомым-непонятным.

на каталистах обычно где-то в жопке присутствует менеджмент-порт (ну типа FastEthernet0), он же что-то типа out-of-band порт у других производителей.

 

как я обычно делал, когда у меня на точке стоит один свитч (не-каталист, а какой-нибудь брокейд или делл) - я этот самый out-of-band кольцевал в любой "основной" порт свитча, настроенный в режиме switchport mode access, и по L2 каким-нибудь вланом доводил до центра управления.

волки сыты, овцы целы, менеджмент спрятан.

всё так работало у всех вендоров, с кем сталкивался.

 

но, вот, пришлось (попытался) сделать такое на каталистах - сначала 3750X, и сейчас 2960-S - и облом.

такое впечатление, что трафик с менеджмент-порта он просто не пропускает через транспорт по обычным портам. даже мак-адреса его во влане не вижу (схема включения ниже).

можно как-то побороть? или это мой персональный глюк?

или (помня особенности mgmt на cisco ASR) у цисок он, всё же, "не совсем" out-of-band?

 

также пробовал проключить этот менеджмент через микротик в циску. на микротике с бриджа интерфейс fa0 видится и пингуется. на циске на gi 1/0/3 виден только мак микротика, больше ничего.

 

  Показать содержимое

catalyst-mgmt.jpg

 

Всё так и есть, сам в себя работать не будет, точно было описание в какой то доке у Cisco, что то типо oob есть oob и не надо так делать, так как при шторме порт перегрузится. Но на 2960x/s и 3750x так себе oob, на новых железках (коммутаторы catalyst 9000 и маршрутизаторы catalyst oob везде честно отвязан от cpu) 

nixx

nixx

Posted
  • Author
Posted

вот только хотел первый пост дополнить, и вы отписались )

дополнить хотел тем, что по LLDP менеджмент-порт, воткнутый в основные порты, в циске видится. причем двусторонне - и на менеджмент-порту тоже видится основной.

а вот обычный трафик (ну хотя бы пинги) - не ходит, и мак в мак-таблице не появляется.

 

но раз говорите, что они писали "не надо", значит, видимо, несудьбашка.

jffulcrum

jffulcrum

Posted
Posted

Собственно, Bridging between the OOB port and the in-band Layer 2 interface is not supported прямо в руководстве обычно написано. И такая фича не только у Cisco, у Juniper аналогично было, что management порт являлся non-transit.

sirmax

sirmax

Posted
Posted
7 часов назад, nixx сказал:

помня особенности mgmt на cisco ASR) у цисок он, всё же, "не совсем" out-of-band

А об этом подробнее расскажите?

 

 

7 часов назад, nixx сказал:

любой "основной" порт свитча

А что мешало поднять отдельный vrf для управления? Ну на делл так точно можно

nixx

nixx

Posted
  • Author
Posted
1 час назад, jffulcrum сказал:

 Bridging between the OOB port and the in-band Layer 2 interface is not supported

эта фраза гуглится только для Cisco Business 200/300 свитчей, а оно вообще даже близко не стояло рядом с традиционными каталистами (ну просто даже не IOS в них, а прошивка от индусов марвела/радлана).

но что логика может быть такая же - я согласен.

1 минуту назад, sirmax сказал:

А об этом подробнее расскажите?

ну там есть менеджмент-порт, но он настолько "out'вязан ото всего", что не позволяет через себя ни лить нетфлоу, ни (кажется) авторизовывать абонентов через радиус (привет от деллов, которые льют sflow с полноценного out-of-band).

если требуется всё же делать что-то совсем закрытое от внешнего мира, но полноценно работающее - то надо заводить любой другой интерфейс в отдельном vrf'е (или еще как-то закрываться), называть его "это наш менеджмент" и на него все сервисы вешать.

sirmax

sirmax

Posted
Posted
7 минут назад, nixx сказал:

что не позволяет через себя ни лить нетфлоу, ни (кажется) авторизовывать абонентов через радиус

Да радиус не работает, я забыл, а как написали, вспомнил.

нетфлоу я уже после радиуса не попробовал:)

nixx

nixx

Posted
  • Author
Posted
4 часа назад, sirmax сказал:

А что мешало поднять отдельный vrf для управления? Ну на делл так точно можно

проскипал как-то вопрос... циска 2960-S с дефолтным темплейтом не имеет даже роутинга, уж не говоря о vrf ))

надо ее как-то переключить в lanbase-routing, но она в крайне неудобном месте стоит - ночью не попасть, а днем нельзя ребутить.

вторую повезу рядом с ней поставлю, тогда и vrf, видимо, раздобыть попытаюсь.

fractal

fractal

Posted
Posted
8 часов назад, nixx сказал:

ну там есть менеджмент-порт, но он настолько "out'вязан ото всего", что не позволяет через себя ни лить нетфлоу

это как раз и есть правильный OOB порт, для него прописаны эти ограничения, порт необходим чтобы при шторме и нагрузке на CPU 100% Вы смогли на него спокойно зайти и понять причину

 

3 часа назад, nixx сказал:

проскипал как-то вопрос... циска 2960-S с дефолтным темплейтом не имеет даже роутинга

это по сути для всех 2960, надо переключать на lanbase-routing

 

7 часов назад, sirmax сказал:

Да радиус не работает, я забыл, а как написали, вспомнил.

нетфлоу я уже после радиуса не попробовал:)

тоже ограничение, по рекомендации надо юзать loopback, что логично как по мне

ikiliikkuja

ikiliikkuja

Posted
Posted

не припомню такого запрета в доках у циски, другое дело, что при отсутстствии полноценной oob-сети такая схема бессмыссленна

то, что mgmt не может роутить/свичить в дата-порты это логично

 

маловероятно, а мак-адреса там на всех портах не одинаковые случаем? 

alibek

alibek

Posted
Posted
Цитата

ну там есть менеджмент-порт, но он настолько "out'вязан ото всего"

Ну это как-бы нормально для OOB. Это должна быть отдельная (изолированная) сеть, чтобы управление сохранялось даже в случае полного краха в сети.

Но зависит от вендора, конечно, на Redback SE100 mgmt-порт тоже ограниченный, тем не менее у меня получилось помимо управления засунуть в него и RADIUS (то есть 6 портов выделены исключительно под абонентов, а на mgmt все остальное).

sirmax

sirmax

Posted
Posted
15 часов назад, fractal сказал:

тоже ограничение, по рекомендации надо юзать loopback, что логично как по мне

Я конечно так и делаю

в целом звучит достаточно логично, да вот бывают такие шторма что на консоль не зайти, не то что по сети

 

ну и вопрос авторизации через радиус на железке, не абонентов а логин, открыт. Мне с моими масштабами это нужно только на клиентских свитчах, саппорту, но что будет если запросы на авторизацию на железке не могут ходить через этот порт? (Но я не проверял)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.