Laa Posted November 2, 2010 Posted November 2, 2010 Здравствуйте! Есть ES3528M, с Operation Code Version: 1.3.7.10. Надо блокировать доступ некоторым МАК-адресам в портах 1,2,3. Сделал access-list mac ACL1, внес туда пару маков для блокировки. Так: deny host xx-xx-xx-xx-xx-xx any deny any host xx-xx-xx-xx-xx-xx permit any any И привязал на интерфейс: mac access-group ACL1 in А в выводе show mac-address-table все равно вижу заблокированные мак адреса. Что не так? Сделал блокировку в обе стороны, потому что ACL реально будет разростаться и применятся сразу на нескольких портах и важно чтобы ни с какого порта не было доступа на перечисленные мак-адреса. Вставить ник Quote
John_obn Posted November 2, 2010 Posted November 2, 2010 (edited) show mac-ad показывает какие mac адреса видит на порту. Применением аксесс листа на интерфейс вы не заставите коммутатор не видеть этот мак-адрес. Пакет все равно должен долететь до свитча, чтобы быть там дропнутым. deny any host xx-xx-xx-xx-xx-xx - наверно лишнее Edited November 2, 2010 by John_obn Вставить ник Quote
Laa Posted November 2, 2010 Author Posted November 2, 2010 ok. А как убедится, что действительно пакеты с этого МАКа дропаются? Вставить ник Quote
OKyHb Posted November 2, 2010 Posted November 2, 2010 У меня на ES3528M (Operation Code Version: 1.3.7.1) после применения подобного access-list'a и "clear mac-address-table dynamic" неугодный мак больше не отображается в show mac-ad. Вставить ник Quote
s.lobanov Posted November 2, 2010 Posted November 2, 2010 show mac-ad показывает какие mac адреса видит на порту. Применением аксесс листа на интерфейс вы не заставите коммутатор не видеть этот мак-адрес. Пакет все равно должен долететь до свитча, чтобы быть там дропнутым. deny any host xx-xx-xx-xx-xx-xx - наверно лишнее Не совсем так. mac acl работает по-разному в зависимости от того, какие фичи используются Laa, выкладывайте конфиг целиком и версию opcode Вставить ник Quote
plenitel Posted December 21, 2010 Posted December 21, 2010 Люди, есть Edge-core 3528M, после работы на линии появилась такая проблема: Image Loader 1.0.1.0 Loading Diagnostic Image File : ES3528_52M_diag_V1.2.0.1.bix Diagnostic 1.2.0.1 User Mode --- Performing Power-On Self Tests (POST) --- DUMMY Test 1 ................. PASS UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS Done All Pass. ------------------ DONE --------------------- Loading Runtime Image File : ES3528_52M_opcode_V1.4.8.0.bix Runtime 1.4.8.0 Failed to initial Board conf DNS_ResolverInit..OK DNS_Proxy_init ....OK root init done Set Transition mode ... [get stackingMac done ret_val] = 1 Assigned Unit ID:[1] stacking DB: unit = 0, module type = 0 Finish Set Transition mode ... Enter Transition mode ... Finish Transition mode ... Enter Master mode ... Data abort Exception address: 0x00afec74 Current Processor Status Register: 0x80000013 Task: 0x39c5cd0 "STACK_CTRL" ********Exception Task Info****************** Current Task => STACK_CTRL Current Task => STACK_CTRL 0x0096fadc 0x00057a60 ([0, 0, 0, 0, 0] ) 0x00057ae8 0x00058008 ([0xffffffff, 0x00000001, 0x00000001, 0, 0x039c5c90] ) 0x00058098 0x000585d4 ([0x00000003, 0x011a215c, 0, 0x039c5c8c, 0x039c5c74] ) 0x000585f4 0x00812824 ([0x039c5c70, 0x039c5c58, 0x0005809c, 0x000585e4, 0x000000 03] ) 0x00812834 0x007f9abc ([0x039c5c54, 0x039c5c48, 0x000585f8, 0x00812834, 0x039c5c 70] ) 0x007f9c2c 0x007f9df0 ([0x00000001, 0x00000035, 0x00000001, 0x0000001c, 0x039c5c 44] ) 0x007fa104 0x0087403c ([0x00000001, 0x0000001d, 0x00000001, 0x039c5c34, 0x039c5c 18] ) 0x00874098 0x00afec54 ([0, 0x00000004, 0x039c5c14, 0x039c5bfc, 0x007fa108] ) Если кто сталкивался и знает как решить просветите пожалуйста, или хотя бы обьясните как войти в режим загрузки прошивки на свич, т.к при нажатии Ctrl+U загрузка останавливается и запрашивается пароль, при введении своего стандартного пароля, либо пустого начинает продолжаться загрузка с той же проблемой. Вставить ник Quote
TAJLDbIHbI4 Posted December 21, 2010 Posted December 21, 2010 Люди, есть Edge-core 3528M, после работы на линии появилась такая проблема:Image Loader 1.0.1.0 Loading Diagnostic Image File : ES3528_52M_diag_V1.2.0.1.bix Diagnostic 1.2.0.1 User Mode --- Performing Power-On Self Tests (POST) --- DUMMY Test 1 ................. PASS UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS Done All Pass. ------------------ DONE --------------------- Loading Runtime Image File : ES3528_52M_opcode_V1.4.8.0.bix Runtime 1.4.8.0 Failed to initial Board conf DNS_ResolverInit..OK DNS_Proxy_init ....OK root init done Set Transition mode ... [get stackingMac done ret_val] = 1 Assigned Unit ID:[1] stacking DB: unit = 0, module type = 0 Finish Set Transition mode ... Enter Transition mode ... Finish Transition mode ... Enter Master mode ... Data abort Exception address: 0x00afec74 Current Processor Status Register: 0x80000013 Task: 0x39c5cd0 "STACK_CTRL" ********Exception Task Info****************** Current Task => STACK_CTRL Current Task => STACK_CTRL 0x0096fadc 0x00057a60 ([0, 0, 0, 0, 0] ) 0x00057ae8 0x00058008 ([0xffffffff, 0x00000001, 0x00000001, 0, 0x039c5c90] ) 0x00058098 0x000585d4 ([0x00000003, 0x011a215c, 0, 0x039c5c8c, 0x039c5c74] ) 0x000585f4 0x00812824 ([0x039c5c70, 0x039c5c58, 0x0005809c, 0x000585e4, 0x000000 03] ) 0x00812834 0x007f9abc ([0x039c5c54, 0x039c5c48, 0x000585f8, 0x00812834, 0x039c5c 70] ) 0x007f9c2c 0x007f9df0 ([0x00000001, 0x00000035, 0x00000001, 0x0000001c, 0x039c5c 44] ) 0x007fa104 0x0087403c ([0x00000001, 0x0000001d, 0x00000001, 0x039c5c34, 0x039c5c 18] ) 0x00874098 0x00afec54 ([0, 0x00000004, 0x039c5c14, 0x039c5bfc, 0x007fa108] ) Если кто сталкивался и знает как решить просветите пожалуйста, или хотя бы обьясните как войти в режим загрузки прошивки на свич, т.к при нажатии Ctrl+U загрузка останавливается и запрашивается пароль, при введении своего стандартного пароля, либо пустого начинает продолжаться загрузка с той же проблемой. если загружаться через ctrl+u то там необходимо писать помойму пароль mercury и пароль такой же такая трабла у меня была, я отправлял ситч по гарантии и мне его починили но не сказали что с ним было, вероятно просто заменили прошивку Вставить ник Quote
plenitel Posted December 21, 2010 Posted December 21, 2010 (edited) Спасибо за пароль, правда, нашел его чуть, раньше. Меняю, прошиву, хотя проблема сама помоему в diag файле, скорее всего его тоже нужно будет заменить. Отпишусь как получится. Edited December 21, 2010 by plenitel Вставить ник Quote
X-RaY™ Posted February 19, 2011 Posted February 19, 2011 Что бы не плодить темы про Edge-Core ES3528M за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо Вставить ник Quote
andreyk Posted February 19, 2011 Posted February 19, 2011 Что бы не плодить темы про Edge-Core ES3528M за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо Не слыхал подобного, раньше ставили в сеть 3526ха-2, сейчас активно берем 3528/52М, вроде бы косяков особых нет (типа явных таких коллизий как на длинке 3028). Конечно не без глюков и багов, то отваливается управление на свежих прошивках, то не так как нужно работает какая-то фича... но в общем терпимо. Вставить ник Quote
s.lobanov Posted February 19, 2011 Posted February 19, 2011 Что бы не плодить темы про Edge-Core ES3528M за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо 1. Нет возможности отфильтровать мак-адрес(чтобы не попадал в fdb). При схеме влан-на-свитч из-за нехорошего абонента могут пострадать соседи по этому свитчу. В качестве костыля, можно прописывать мак-адрес шлюза/pppoe-сервера на аплинке, если свитчи доступа не закольцованы. Ну либо, совсем неудобный вариант - прописывать мак каждого абонента на его порту и отключать mac learning. 2. Иногда умирают "под мультикастом". На каждую сотню свитчей 1 раз в месяц ~1 свитч может сдохнуть. Проявляется в том, что отваливается нелокальная авторизация, подыхает igmp snooping, перестают работать функции файловой системы. Выявляется либо по тому, что не отрабатывает скрипт бэкапа конфигов, либо по заявкам от телезрителей, решается ребутом. Проблема существует от самого начала их существования(вот собственно она http://forum.nag.ru/forum/index.php?showtopic=45726 ) и до сих пор проявляется(на opcode 1.4.8.8). Якобы исправлено в самых последних версиях ПО, но ввиду того, что глюк редко повторяется, пока не понятно исправлено или нет. 3. Проблема коллизии мак-адресов на них существует, поэтому вам придётся строить сеть так, чтобы кол-во мак-адресов было минимально на каждом коммутаторе. Однако не смотря на наличие проблемы с маками, это не мешает работе мультикаста. Я заливал в них ~5800 маков(отправлял 8000, ~5800 изучалось) и гнал через свитч 400мбит мультикаста - весь мультикаст проходил нормально. Вставить ник Quote
X-RaY™ Posted February 20, 2011 Posted February 20, 2011 1.У нас влан на свитч, на свитче изоляция портов, все по хдцп, динамик arp inspection, ip source-guard, чем страшно, я просто не совсем понял как именно нельзя отфильтровать. 2.Пока мультикаст не используем, но неприятно. 3. не более 100 маков на свитч будет. Спасибо. Вставить ник Quote
sandrerio Posted February 21, 2011 Posted February 21, 2011 Поговорил сегодня с коллегами по Edge-Core-ам....Все сказали что жутко проблематичны с мультикастом. их от этого сильно трясет... Вроде на этой неделе планируют взять на тест какой то новый ТП-ЛИНК буду ждать результатов теста.. пока сто в тесте находится алкател 6850м пока все довольны. Хотя надо сказать что большая часть сети и так построена на 6212 6224... И насколько я знаю проблемы практически отсутствуют! Вставить ник Quote
s.lobanov Posted February 21, 2011 Posted February 21, 2011 (edited) X-RaY™ Нельзя навесить фильтр, чтобы исключить попадание мак-адреса шлюза(или pppoe-сервера) в fdb-таблицу с абонентского порта Поговорил сегодня с коллегами по Edge-Core-ам....Все сказали что жутко проблематичны с мультикастом. их от этого сильно трясет... И самое обидное, что проблема не с самим мультикастом, а с обработкой igmp leave/join-запросов, т.е. глюк чисто софтовый. ВСЯ необходимая диагностика у китайцев есть по этой проблеме, так что скоро починят(а возможно, что уже починили). Edited February 21, 2011 by s.lobanov Вставить ник Quote
X-RaY™ Posted February 21, 2011 Posted February 21, 2011 Ну похоже что для 185 уе мелким оптом за 4 сфп и 24 100ки все таки свитч не плохой? Если проблема с мультикастом софтовая, то я уверен что её решат. А просто подвисаний не наблюдается(не от мультикаста, а просто перестает свитчить)? Вставить ник Quote
John_obn Posted February 22, 2011 Posted February 22, 2011 Буквально вчера столкнулись с проблемой маленького размера tcam на 3552M. Попробую правила оптимизировать, конечно. Но все равно неприятно. 100-х портов в два раза больше, чем у 3528М, а кол-во ресурсов под правила не увеличили. Вставить ник Quote
andreyk Posted February 22, 2011 Posted February 22, 2011 Буквально вчера столкнулись с проблемой маленького размера tcam на 3552M. Попробую правила оптимизировать, конечно. Но все равно неприятно. 100-х портов в два раза больше, чем у 3528М, а кол-во ресурсов под правила не увеличили. Тоже столкнулся с данной проблемой, и тоже пришлось оптимизировать правила, в принципе не так страшен волк как говориться :) Просто нужно более детально изучить что нужно блокировать а что нет, можно маски использовать - помогает экономить правила Вставить ник Quote
X-RaY™ Posted February 22, 2011 Posted February 22, 2011 Если не тяжело, можете пожалуйста выложить конфиги(что и как режете, та и вообщем что из из фич используете, лучше 1 раз увидеть рабочий конфиг, чем 100 раз прочитать руководство) тут или в http://forum.nag.ru/forum/index.php?showto...=0&p=588659 . Если нет возможности выложить сюда, то киньте на x-ray@kct.net.ua. Спасибо! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.