BiWiS Опубликовано 5 ноября, 2013 · Жалоба Всем добрый день. Вот и я кажется присоединяюсь к рядам пользователей хуавея :) Привезли стопку S2326TP-EI на тесты. <Lenina_51_p3>dis ver Huawei Versatile Routing Platform Software VRP (R) software, Version 5.70 (S2300 V100R005C01) Copyright (C) 2003-2010 HUAWEI TECH CO., LTD Quidway S2326TP-EI Routing Switch uptime is 0 week, 0 day, 13 hours, 37 minutes EFFE 0(Master) : uptime is 0 week, 0 day, 13 hours, 37 minutes 64M bytes DDR Memory 16M bytes FLASH Pcb Version : VER C Basic BOOTROM Version : 128 Compiled at Aug 24 2010, 21:58:24 Software Version : VRP (R) Software, Version 5.70 (S2300 V100R005C01) <Lenina_51_p3>dis patch-in Info: No patch exists. Я так понимаю лучше прошивку обновить на них. S2300EI-V100R006C03SPC100 это последнее что можно достать? :) Из нужного будет только влан на свич и порт изоляция. Еще неплохо бы dhcp snooping рабочий, но при изоляции портов не страшно, если оно и не работает. Лупдетект тоже нужен будет. Так же не вкурил как телнет на нем завести, вроде бы сервис телнет запустил, но от свитча ни ответа ни привета по телнету, пингуется при этом нормально. Из замеченных глюков - если на транковом порту завести пачку вланов то можно указать pvid с номером тэгированного влана (т.е. vlan X одновременно будет и тегированным и нет) и трафик этого влана перестает ходить через порт. А так же на комбо портах не горит индикация на меди, так и должно быть? Если кому не жалко поделитесь конфигом для него в роли доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 5 ноября, 2013 · Жалоба Вланы вы уже настроили. Изоляция - это команда port-isolate enable [group 1] в режиме конфигурации интерфейса. Больше вам и ничего не надо telnet - user-interface vty 0 4, там по подсказке разберётесь поскольку vlan и порт-изоляция это hw-фичи, то вам пофиг какой софт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 6 ноября, 2013 · Жалоба Да, спасибо :) С телнетом я разобрался, все сразу настраивал правильно как оказалось. На управляющем интерфейсе свитча адрес неправильно указан был и я как дурак долбился в другую железку, где телнет выключен. %) И с группами тоже докурил когда вланы на акцесс порты делал. Непривычно как-то так... range куда как удобнее был бы. Осталось проверить изоляцию. Кстати чем отличается навешивание dhcp snooping trusted непосредственно на порт, от навешивания его во влане? Т.е. это vlan XXXX description users dhcp snooping enable dhcp snooping trusted interface GigabitEthernet0/0/1 dhcp snooping trusted interface GigabitEthernet0/0/2 от этого interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 ntdp enable ndp enable dhcp snooping enable dhcp snooping trusted combo-port copper # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094 ntdp enable ndp enable dhcp snooping enable dhcp snooping trusted Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 6 ноября, 2013 · Жалоба Да, спасибо :) С телнетом я разобрался, все сразу настраивал правильно как оказалось. На управляющем интерфейсе свитча адрес неправильно указан был и я как дурак долбился в другую железку, где телнет выключен. %) И с группами тоже докурил когда вланы на акцесс порты делал. Непривычно как-то так... range куда как удобнее был бы. Осталось проверить изоляцию. Кстати чем отличается навешивание dhcp snooping trusted непосредственно на порт, от навешивания его во влане? Т.е. это vlan XXXX description users dhcp snooping enable dhcp snooping trusted interface GigabitEthernet0/0/1 dhcp snooping trusted interface GigabitEthernet0/0/2 от этого interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 ntdp enable ndp enable dhcp snooping enable dhcp snooping trusted combo-port copper # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094 ntdp enable ndp enable dhcp snooping enable dhcp snooping trusted Если вы прописываете DHCP snooping trusted на физическом интерфейсе, коммутатор начинает обрабатывать DHCP во всех вланах, даже в тех в которых DHCP snooping не включен. В том числе и в каналах L2VPN для юр. лиц, и во влане управления. Причем в таких вланах DHCP будет дропаться, так как OFFER придет хоть и с trusted порта, но на незапрощенный DISCOVER, поэтому лучше все же указывать во влане :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 8 ноября, 2013 · Жалоба Кстати насчет петлей между портами. При включенном глобально stp enable и включенном на порту stp loop-protection петля отрабатывается и трафик гоняется только через порт имеющий наименьший индекс. Все подключенные порты подняты, но все маки светятся на одном порту (если замкнуть через тупой свитч порты 0/0/1 + 0/0/10 + 0/0/21, то трафик гуляет через 0/0/1 порт, убираем порт 0/0/1 и все переползает на порт 0/0/10). Время переключения непонятно от чего зависит, получалось от 20 до 50 секунд. Время жизни маков 300 секуд. Вот только одно большое НО - в логах про это ничего не отображается. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 ноября, 2013 · Жалоба Вот только одно большое НО - в логах про это ничего не отображается. :) Должны быть сообщения о смене топологии вроде Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 8 ноября, 2013 · Жалоба На S2300 3 места где смотреть логи: - dis logb - dis trapb - сислог-сервер по умолчанию, в логбуфер попадает далеко не всё, надо смотреть на сислог-сервере или перенастраивать info-center, чтобы в logbuffer валилось то что нужно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 8 ноября, 2013 · Жалоба Ну должно быть - так нету :) Везде посмотрел. Вообще при эксперименте у меня свитч подключен через СОМ-порт. Там сразу все на экран сыпется - тоже ничего. Про топологию молчек. Только сообщает о поднятии интерфейсов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 8 ноября, 2013 · Жалоба Вообще при эксперименте у меня свитч подключен через СОМ-порт. Там сразу все на экран сыпется - тоже ничего. Вы уверены, что сыпется "всё"? Конкретно по STP, по умолчанию на s2300 сообщения про перестроения stp не сыпятся в логбуфер, но сыпятся в syslog. Инфа 146%. Про COM-порт не могу сказать, не так часто приходится работать через него Ещё можно в инженерном(hidden/diagnose) режиме посмотреть display stp history Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 9 ноября, 2013 · Жалоба Да, про stp сообщения на экран не сыпятся, только в логи. Перевел порты в edge и в логах появились сообщения. А с loop-protected так и осталась тишина. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oggi Опубликовано 3 декабря, 2013 · Жалоба Столкнулся с проблемой, грешу на S2326-TP-EI. При попытке ping хоста (Grandstream GXP-1400) возвращаются DUP пакеты. Пробовал повторить на Dlink DES-3526, не получилось. Пингается без DUP. А вот связка S2326-TP-EI + GXP-1400 = DUP Пинг с порта на порт. Маршрутизации нет, все в пределах одного сегмента. На коммутаторе поднят MSTP, 2 аплинка. Пробовал оставлять 1 (2ой shutdown). Аналогичную проблему наблюдаю и на других площадках для подобной связки. display version Huawei Versatile Routing Platform Software VRP (R) software, Version 5.70 (S2300 V100R005C01SPC100) Copyright (C) 2000-2011 HUAWEI TECH CO., LTD Quidway S2326TP-EI Routing Switch uptime is 60 weeks, 3 days, 11 hours, 10 minutes EFFE 0(Master) : uptime is 60 weeks, 3 days, 11 hours, 10 minutes 64M bytes DDR Memory 16M bytes FLASH Pcb Version : VER C Basic BOOTROM Version : 128 Compiled at Aug 24 2010, 21:58:24 Software Version : VRP (R) Software, Version 5.70 (S2300 V100R005C01SPC100) Настройки порта весьма тривиальны: display current-configuration interface eth0/0/21 # interface Ethernet0/0/21 description *** PHONE 3230 *** port link-type access port default vlan 805 stp edged-port enable undo ntdp enable undo ndp enable # В другом случае. display version Huawei Versatile Routing Platform Software VRP (R) software, Version 5.70 (S2300 V100R006C03) Copyright (C) 2003-2011 HUAWEI TECH CO., LTD Quidway S2326TP-EI Routing Switch uptime is 31 weeks, 6 days, 11 hours, 30 minutes EFFE 0(Master) : uptime is 31 weeks, 6 days, 11 hours, 30 minutes 64M bytes DDR Memory 16M bytes FLASH Pcb Version : VER C Basic BOOTROM Version : 148 Compiled at Jun 26 2012, 18:45:31 Software Version : VRP (R) Software, Version 5.70 (V100R006C03) В какую сторону копать? Изначально все шло к тому что это недостаток GXP-1400, но к сожалению на другом коммутаторе воспроизвести не удалось. Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Almamoon Опубликовано 23 декабря, 2013 · Жалоба Народ можете выложить пример конфига с настроенной защитой от левых dhcp серверов на S2300? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 23 декабря, 2013 · Жалоба лучшая защита это l2 изоляция - vlan и/или port-isolate enable на портах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 23 декабря, 2013 · Жалоба Народ можете выложить пример конфига с настроенной защитой от левых dhcp серверов на S2300? используй dhcp snooping Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Almamoon Опубликовано 23 декабря, 2013 (изменено) · Жалоба чем лучше если не секрет? Я слабо ещё разбираюсь. ДО встречи с хуавеями ковырялся с SNR свичами там всё просто для меня показалось во всяком случае с настройкой dhcp snooping используй dhcp snooping я про него и говорю. Просто с этими свичам не работал особо минимальную защиту хочется поставить. Изменено 23 декабря, 2013 пользователем Almamoon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 23 декабря, 2013 · Жалоба чем лучше если не секрет? лучше тем, что vlan и port-isolate это аппаратные фичи, а dhcp-snooping это cpu-фича, со всеми вытекающими если вы всё же хотите снупинг, то как-то так: dhcp-snoop en vlan XXX dhcp-snoop en int UPLINK dhcp-snoop trust Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Almamoon Опубликовано 24 декабря, 2013 (изменено) · Жалоба лучше тем, что vlan и port-isolate это аппаратные фичи, а dhcp-snooping это cpu-фича, со всеми вытекающими если вы всё же хотите снупинг, то как-то так: dhcp-snoop en vlan XXX dhcp-snoop en int UPLINK dhcp-snoop trust Спасибо! Попробую. Ещё вопрос кто может поделиться промежуточной прошивкой или поменяться. Попался свичь с прошивкой SV100R002C02B181SPC001 не могу обновиться сразу на шестую вроде как нужна промежуточная... или R003 или R005 можно в принципе просто бутром. Есть в наличии S2300EI-V100R006C05 с бутромом и вебкой. Изменено 24 декабря, 2013 пользователем Almamoon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Almamoon Опубликовано 26 декабря, 2013 · Жалоба Люди добрые ну поделитесь прошивкой ниже R006. Можно просто бутлоадер! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.elusive Опубликовано 26 декабря, 2013 · Жалоба http://www.filedropper.com/s2300-v100r005c01spc100 А вообще на http://support.huawei.com можно скачать софт на конкретную железку, если отправить им серийный номер. За сутки подтверджение приходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 26 декабря, 2013 · Жалоба на enterprise.huawei.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Almamoon Опубликовано 26 декабря, 2013 · Жалоба http://www.filedropp...00r005c01spc100 А вообще на http://support.huawei.com можно скачать софт на конкретную железку, если отправить им серийный номер. За сутки подтверджение приходит. Спасибо но без бутлоадера под эту версию он не загрузится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 26 декабря, 2013 · Жалоба бутлодер в файле прошивки есть. когда прописываете новое ПО, он спросит нужно ли менять бутром Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
spy Опубликовано 27 декабря, 2013 · Жалоба на enterprise.huawei.com Если быть совсем точным http://support.huawei.com/enterprise Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 28 декабря, 2013 · Жалоба Что за странность, заливаю конфиг на S2326 запакованным в zip, указываю загружаться с него (при перезагрузке жму не перезаписывать). Свитч загружается, а конфиг остается старым, не тот что я указываю. Хотя по disp startup кажет, что якобы загрузился с моего конфига. Если тот же конфиг залить не запакованным то грузится с него все ОК. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 28 декабря, 2013 · Жалоба BiWiS там какой-то неправильный zip, емнип, тупой gzip, а не настоящий zip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...