[BiWiS]

Всем добрый день. Вот и я кажется присоединяюсь к рядам пользователей хуавея :)

Привезли стопку S2326TP-EI на тесты.

<Lenina_51_p3>dis ver
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.70 (S2300 V100R005C01)
Copyright (C) 2003-2010 HUAWEI TECH CO., LTD
Quidway S2326TP-EI Routing Switch uptime is 0 week, 0 day, 13 hours, 37 minutes

EFFE 0(Master) : uptime is 0 week, 0 day, 13 hours, 37 minutes
64M bytes DDR Memory
16M bytes FLASH
Pcb      Version :  VER C
Basic  BOOTROM  Version :  128 Compiled at Aug 24 2010, 21:58:24
Software Version : VRP (R) Software, Version 5.70 (S2300 V100R005C01)

<Lenina_51_p3>dis patch-in
Info: No patch exists.

Я так понимаю лучше прошивку обновить на них.

S2300EI-V100R006C03SPC100 это последнее что можно достать? :)

Из нужного будет только влан на свич и порт изоляция. Еще неплохо бы dhcp snooping рабочий, но при изоляции портов не страшно, если оно и не работает.

Лупдетект тоже нужен будет.

Так же не вкурил как телнет на нем завести, вроде бы сервис телнет запустил, но от свитча ни ответа ни привета по телнету, пингуется при этом нормально.

 

Из замеченных глюков - если на транковом порту завести пачку вланов то можно указать pvid с номером тэгированного влана (т.е. vlan X одновременно будет и тегированным и нет) и трафик этого влана перестает ходить через порт.

А так же на комбо портах не горит индикация на меди, так и должно быть?

 

Если кому не жалко поделитесь конфигом для него в роли доступа.

[s.lobanov]

Вланы вы уже настроили. Изоляция - это команда port-isolate enable [group 1] в режиме конфигурации интерфейса. Больше вам и ничего не надо

 

telnet - user-interface vty 0 4, там по подсказке разберётесь

 

поскольку vlan и порт-изоляция это hw-фичи, то вам пофиг какой софт

[BiWiS]

Да, спасибо :) С телнетом я разобрался, все сразу настраивал правильно как оказалось. На управляющем интерфейсе свитча адрес неправильно указан был и я как дурак долбился в другую железку, где телнет выключен. %)

И с группами тоже докурил когда вланы на акцесс порты делал. Непривычно как-то так... range куда как удобнее был бы.

Осталось проверить изоляцию.

 

Кстати чем отличается навешивание dhcp snooping trusted непосредственно на порт, от навешивания его во влане?

Т.е. это

vlan XXXX
description users
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/1
dhcp snooping trusted interface GigabitEthernet0/0/2

от этого

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
ntdp enable
ndp enable
dhcp snooping enable
dhcp snooping trusted
combo-port copper
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
ntdp enable
ndp enable
dhcp snooping enable
dhcp snooping trusted

[dazgluk]

Да, спасибо :) С телнетом я разобрался, все сразу настраивал правильно как оказалось. На управляющем интерфейсе свитча адрес неправильно указан был и я как дурак долбился в другую железку, где телнет выключен. %)

И с группами тоже докурил когда вланы на акцесс порты делал. Непривычно как-то так... range куда как удобнее был бы.

Осталось проверить изоляцию.

 

Кстати чем отличается навешивание dhcp snooping trusted непосредственно на порт, от навешивания его во влане?

Т.е. это

vlan XXXX
description users
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/1
dhcp snooping trusted interface GigabitEthernet0/0/2

от этого

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
ntdp enable
ndp enable
dhcp snooping enable
dhcp snooping trusted
combo-port copper
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
ntdp enable
ndp enable
dhcp snooping enable
dhcp snooping trusted

Если вы прописываете DHCP snooping trusted на физическом интерфейсе, коммутатор начинает обрабатывать DHCP во всех вланах, даже в тех в которых DHCP snooping не включен. В том числе и в каналах L2VPN для юр. лиц, и во влане управления.

 

Причем в таких вланах DHCP будет дропаться, так как OFFER придет хоть и с trusted порта, но на незапрощенный DISCOVER, поэтому лучше все же указывать во влане :)

[BiWiS]

Кстати насчет петлей между портами.

При включенном глобально

stp enable

и включенном на порту

stp loop-protection

петля отрабатывается и трафик гоняется только через порт имеющий наименьший индекс.

Все подключенные порты подняты, но все маки светятся на одном порту (если замкнуть через тупой свитч порты 0/0/1 + 0/0/10 + 0/0/21, то трафик гуляет через 0/0/1 порт, убираем порт 0/0/1 и все переползает на порт 0/0/10). Время переключения непонятно от чего зависит, получалось от 20 до 50 секунд. Время жизни маков 300 секуд.

Вот только одно большое НО - в логах про это ничего не отображается. :)

[NiTr0]

Вот только одно большое НО - в логах про это ничего не отображается. :)

Должны быть сообщения о смене топологии вроде

[s.lobanov]

На S2300 3 места где смотреть логи:

- dis logb

- dis trapb

- сислог-сервер

 

по умолчанию, в логбуфер попадает далеко не всё, надо смотреть на сислог-сервере или перенастраивать info-center, чтобы в logbuffer валилось то что нужно

[BiWiS]

Ну должно быть - так нету :) Везде посмотрел. Вообще при эксперименте у меня свитч подключен через СОМ-порт. Там сразу все на экран сыпется - тоже ничего.

Про топологию молчек. Только сообщает о поднятии интерфейсов.

[s.lobanov]

Вообще при эксперименте у меня свитч подключен через СОМ-порт. Там сразу все на экран сыпется - тоже ничего.

 

Вы уверены, что сыпется "всё"? Конкретно по STP, по умолчанию на s2300 сообщения про перестроения stp не сыпятся в логбуфер, но сыпятся в syslog. Инфа 146%. Про COM-порт не могу сказать, не так часто приходится работать через него

Ещё можно в инженерном(hidden/diagnose) режиме посмотреть display stp history

[BiWiS]

Да, про stp сообщения на экран не сыпятся, только в логи.

Перевел порты в edge и в логах появились сообщения. А с loop-protected так и осталась тишина.

[oggi]

Столкнулся с проблемой, грешу на S2326-TP-EI. При попытке ping хоста (Grandstream GXP-1400) возвращаются DUP пакеты.

Пробовал повторить на Dlink DES-3526, не получилось. Пингается без DUP. А вот связка S2326-TP-EI + GXP-1400 = DUP

Пинг с порта на порт. Маршрутизации нет, все в пределах одного сегмента. На коммутаторе поднят MSTP, 2 аплинка. Пробовал оставлять 1 (2ой shutdown).

Аналогичную проблему наблюдаю и на других площадках для подобной связки.

display version 
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.70 (S2300 V100R005C01SPC100)
Copyright (C) 2000-2011 HUAWEI TECH CO., LTD
Quidway S2326TP-EI Routing Switch uptime is 60 weeks, 3 days, 11 hours, 10 minutes

EFFE 0(Master) : uptime is 60 weeks, 3 days, 11 hours, 10 minutes
64M bytes DDR Memory
16M bytes FLASH
Pcb      Version :  VER C
Basic  BOOTROM  Version :  128 Compiled at Aug 24 2010, 21:58:24
Software Version : VRP (R) Software, Version 5.70 (S2300 V100R005C01SPC100)

Настройки порта весьма тривиальны:

display current-configuration interface eth0/0/21
#
interface Ethernet0/0/21
description *** PHONE 3230  ***
port link-type access
port default vlan 805
stp edged-port enable
undo ntdp enable
undo ndp enable
#

В другом случае.

display version 
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.70 (S2300 V100R006C03)
Copyright (C) 2003-2011 HUAWEI TECH CO., LTD
Quidway S2326TP-EI Routing Switch uptime is 31 weeks, 6 days, 11 hours, 30 minutes

EFFE 0(Master) : uptime is 31 weeks, 6 days, 11 hours, 30 minutes
64M bytes DDR Memory
16M bytes FLASH
Pcb      Version :  VER C
Basic  BOOTROM  Version :  148 Compiled at Jun 26 2012, 18:45:31
Software Version : VRP (R) Software, Version 5.70 (V100R006C03)

В какую сторону копать? Изначально все шло к тому что это недостаток GXP-1400, но к сожалению на другом коммутаторе воспроизвести не удалось.

 

Спасибо

[Almamoon]

Народ можете выложить пример конфига с настроенной защитой от левых dhcp серверов на S2300?

[srg555]

лучшая защита это l2 изоляция - vlan и/или port-isolate enable на портах

[tractor_driver]

Народ можете выложить пример конфига с настроенной защитой от левых dhcp серверов на S2300?

используй dhcp snooping

[Almamoon]

чем лучше если не секрет? Я слабо ещё разбираюсь. ДО встречи с хуавеями ковырялся с SNR свичами там всё просто для меня показалось во всяком случае с настройкой dhcp snooping

 

используй dhcp snooping

 

я про него и говорю. Просто с этими свичам не работал особо минимальную защиту хочется поставить.

Изменено 23 декабря, 2013 пользователем Almamoon

[srg555]

чем лучше если не секрет?

 

лучше тем, что vlan и port-isolate это аппаратные фичи, а dhcp-snooping это cpu-фича, со всеми вытекающими

 

если вы всё же хотите снупинг, то как-то так:

dhcp-snoop en

vlan XXX

dhcp-snoop en

int UPLINK

dhcp-snoop trust

[Almamoon]

лучше тем, что vlan и port-isolate это аппаратные фичи, а dhcp-snooping это cpu-фича, со всеми вытекающими

 

если вы всё же хотите снупинг, то как-то так:

dhcp-snoop en

vlan XXX

dhcp-snoop en

int UPLINK

dhcp-snoop trust

 

Спасибо! Попробую.

 

Ещё вопрос кто может поделиться промежуточной прошивкой или поменяться. Попался свичь с прошивкой SV100R002C02B181SPC001 не могу обновиться сразу на шестую вроде как нужна промежуточная... или R003 или R005 можно в принципе просто бутром.

 

Есть в наличии S2300EI-V100R006C05 с бутромом и вебкой.

Изменено 24 декабря, 2013 пользователем Almamoon

[Almamoon]

Люди добрые ну поделитесь прошивкой ниже R006. Можно просто бутлоадер!

[mr.elusive]

http://www.filedropper.com/s2300-v100r005c01spc100

 

А вообще на http://support.huawei.com можно скачать софт на конкретную железку, если отправить им серийный номер. За сутки подтверджение приходит.

[srg555]

на enterprise.huawei.com

[Almamoon]

http://www.filedropp...00r005c01spc100

 

А вообще на http://support.huawei.com можно скачать софт на конкретную железку, если отправить им серийный номер. За сутки подтверджение приходит.

Спасибо но без бутлоадера под эту версию он не загрузится.

[srg555]

бутлодер в файле прошивки есть. когда прописываете новое ПО, он спросит нужно ли менять бутром

[spy]

на enterprise.huawei.com

Если быть совсем точным http://support.huawei.com/enterprise

[BiWiS]

Что за странность, заливаю конфиг на S2326 запакованным в zip, указываю загружаться с него (при перезагрузке жму не перезаписывать). Свитч загружается, а конфиг остается старым, не тот что я указываю. Хотя по disp startup кажет, что якобы загрузился с моего конфига.

Если тот же конфиг залить не запакованным то грузится с него все ОК.

[srg555]

BiWiS

там какой-то неправильный zip, емнип, тупой gzip, а не настоящий zip