Laa Опубликовано 2 ноября, 2010 · Жалоба Здравствуйте! Есть ES3528M, с Operation Code Version: 1.3.7.10. Надо блокировать доступ некоторым МАК-адресам в портах 1,2,3. Сделал access-list mac ACL1, внес туда пару маков для блокировки. Так: deny host xx-xx-xx-xx-xx-xx any deny any host xx-xx-xx-xx-xx-xx permit any any И привязал на интерфейс: mac access-group ACL1 in А в выводе show mac-address-table все равно вижу заблокированные мак адреса. Что не так? Сделал блокировку в обе стороны, потому что ACL реально будет разростаться и применятся сразу на нескольких портах и важно чтобы ни с какого порта не было доступа на перечисленные мак-адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 2 ноября, 2010 (изменено) · Жалоба show mac-ad показывает какие mac адреса видит на порту. Применением аксесс листа на интерфейс вы не заставите коммутатор не видеть этот мак-адрес. Пакет все равно должен долететь до свитча, чтобы быть там дропнутым. deny any host xx-xx-xx-xx-xx-xx - наверно лишнее Изменено 2 ноября, 2010 пользователем John_obn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Laa Опубликовано 2 ноября, 2010 · Жалоба ok. А как убедится, что действительно пакеты с этого МАКа дропаются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 2 ноября, 2010 · Жалоба У меня на ES3528M (Operation Code Version: 1.3.7.1) после применения подобного access-list'a и "clear mac-address-table dynamic" неугодный мак больше не отображается в show mac-ad. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 2 ноября, 2010 · Жалоба show mac-ad показывает какие mac адреса видит на порту. Применением аксесс листа на интерфейс вы не заставите коммутатор не видеть этот мак-адрес. Пакет все равно должен долететь до свитча, чтобы быть там дропнутым. deny any host xx-xx-xx-xx-xx-xx - наверно лишнее Не совсем так. mac acl работает по-разному в зависимости от того, какие фичи используются Laa, выкладывайте конфиг целиком и версию opcode Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plenitel Опубликовано 21 декабря, 2010 · Жалоба Люди, есть Edge-core 3528M, после работы на линии появилась такая проблема: Image Loader 1.0.1.0 Loading Diagnostic Image File : ES3528_52M_diag_V1.2.0.1.bix Diagnostic 1.2.0.1 User Mode --- Performing Power-On Self Tests (POST) --- DUMMY Test 1 ................. PASS UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS Done All Pass. ------------------ DONE --------------------- Loading Runtime Image File : ES3528_52M_opcode_V1.4.8.0.bix Runtime 1.4.8.0 Failed to initial Board conf DNS_ResolverInit..OK DNS_Proxy_init ....OK root init done Set Transition mode ... [get stackingMac done ret_val] = 1 Assigned Unit ID:[1] stacking DB: unit = 0, module type = 0 Finish Set Transition mode ... Enter Transition mode ... Finish Transition mode ... Enter Master mode ... Data abort Exception address: 0x00afec74 Current Processor Status Register: 0x80000013 Task: 0x39c5cd0 "STACK_CTRL" ********Exception Task Info****************** Current Task => STACK_CTRL Current Task => STACK_CTRL 0x0096fadc 0x00057a60 ([0, 0, 0, 0, 0] ) 0x00057ae8 0x00058008 ([0xffffffff, 0x00000001, 0x00000001, 0, 0x039c5c90] ) 0x00058098 0x000585d4 ([0x00000003, 0x011a215c, 0, 0x039c5c8c, 0x039c5c74] ) 0x000585f4 0x00812824 ([0x039c5c70, 0x039c5c58, 0x0005809c, 0x000585e4, 0x000000 03] ) 0x00812834 0x007f9abc ([0x039c5c54, 0x039c5c48, 0x000585f8, 0x00812834, 0x039c5c 70] ) 0x007f9c2c 0x007f9df0 ([0x00000001, 0x00000035, 0x00000001, 0x0000001c, 0x039c5c 44] ) 0x007fa104 0x0087403c ([0x00000001, 0x0000001d, 0x00000001, 0x039c5c34, 0x039c5c 18] ) 0x00874098 0x00afec54 ([0, 0x00000004, 0x039c5c14, 0x039c5bfc, 0x007fa108] ) Если кто сталкивался и знает как решить просветите пожалуйста, или хотя бы обьясните как войти в режим загрузки прошивки на свич, т.к при нажатии Ctrl+U загрузка останавливается и запрашивается пароль, при введении своего стандартного пароля, либо пустого начинает продолжаться загрузка с той же проблемой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TAJLDbIHbI4 Опубликовано 21 декабря, 2010 · Жалоба Люди, есть Edge-core 3528M, после работы на линии появилась такая проблема:Image Loader 1.0.1.0 Loading Diagnostic Image File : ES3528_52M_diag_V1.2.0.1.bix Diagnostic 1.2.0.1 User Mode --- Performing Power-On Self Tests (POST) --- DUMMY Test 1 ................. PASS UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS Done All Pass. ------------------ DONE --------------------- Loading Runtime Image File : ES3528_52M_opcode_V1.4.8.0.bix Runtime 1.4.8.0 Failed to initial Board conf DNS_ResolverInit..OK DNS_Proxy_init ....OK root init done Set Transition mode ... [get stackingMac done ret_val] = 1 Assigned Unit ID:[1] stacking DB: unit = 0, module type = 0 Finish Set Transition mode ... Enter Transition mode ... Finish Transition mode ... Enter Master mode ... Data abort Exception address: 0x00afec74 Current Processor Status Register: 0x80000013 Task: 0x39c5cd0 "STACK_CTRL" ********Exception Task Info****************** Current Task => STACK_CTRL Current Task => STACK_CTRL 0x0096fadc 0x00057a60 ([0, 0, 0, 0, 0] ) 0x00057ae8 0x00058008 ([0xffffffff, 0x00000001, 0x00000001, 0, 0x039c5c90] ) 0x00058098 0x000585d4 ([0x00000003, 0x011a215c, 0, 0x039c5c8c, 0x039c5c74] ) 0x000585f4 0x00812824 ([0x039c5c70, 0x039c5c58, 0x0005809c, 0x000585e4, 0x000000 03] ) 0x00812834 0x007f9abc ([0x039c5c54, 0x039c5c48, 0x000585f8, 0x00812834, 0x039c5c 70] ) 0x007f9c2c 0x007f9df0 ([0x00000001, 0x00000035, 0x00000001, 0x0000001c, 0x039c5c 44] ) 0x007fa104 0x0087403c ([0x00000001, 0x0000001d, 0x00000001, 0x039c5c34, 0x039c5c 18] ) 0x00874098 0x00afec54 ([0, 0x00000004, 0x039c5c14, 0x039c5bfc, 0x007fa108] ) Если кто сталкивался и знает как решить просветите пожалуйста, или хотя бы обьясните как войти в режим загрузки прошивки на свич, т.к при нажатии Ctrl+U загрузка останавливается и запрашивается пароль, при введении своего стандартного пароля, либо пустого начинает продолжаться загрузка с той же проблемой. если загружаться через ctrl+u то там необходимо писать помойму пароль mercury и пароль такой же такая трабла у меня была, я отправлял ситч по гарантии и мне его починили но не сказали что с ним было, вероятно просто заменили прошивку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plenitel Опубликовано 21 декабря, 2010 (изменено) · Жалоба Спасибо за пароль, правда, нашел его чуть, раньше. Меняю, прошиву, хотя проблема сама помоему в diag файле, скорее всего его тоже нужно будет заменить. Отпишусь как получится. Изменено 21 декабря, 2010 пользователем plenitel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X-RaY™ Опубликовано 19 февраля, 2011 · Жалоба Что бы не плодить темы про Edge-Core ES3528M за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andreyk Опубликовано 19 февраля, 2011 · Жалоба Что бы не плодить темы про Edge-Core ES3528M за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо Не слыхал подобного, раньше ставили в сеть 3526ха-2, сейчас активно берем 3528/52М, вроде бы косяков особых нет (типа явных таких коллизий как на длинке 3028). Конечно не без глюков и багов, то отваливается управление на свежих прошивках, то не так как нужно работает какая-то фича... но в общем терпимо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 февраля, 2011 · Жалоба Что бы не плодить темы про Edge-Core ES3528M за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо 1. Нет возможности отфильтровать мак-адрес(чтобы не попадал в fdb). При схеме влан-на-свитч из-за нехорошего абонента могут пострадать соседи по этому свитчу. В качестве костыля, можно прописывать мак-адрес шлюза/pppoe-сервера на аплинке, если свитчи доступа не закольцованы. Ну либо, совсем неудобный вариант - прописывать мак каждого абонента на его порту и отключать mac learning. 2. Иногда умирают "под мультикастом". На каждую сотню свитчей 1 раз в месяц ~1 свитч может сдохнуть. Проявляется в том, что отваливается нелокальная авторизация, подыхает igmp snooping, перестают работать функции файловой системы. Выявляется либо по тому, что не отрабатывает скрипт бэкапа конфигов, либо по заявкам от телезрителей, решается ребутом. Проблема существует от самого начала их существования(вот собственно она http://forum.nag.ru/forum/index.php?showtopic=45726 ) и до сих пор проявляется(на opcode 1.4.8.8). Якобы исправлено в самых последних версиях ПО, но ввиду того, что глюк редко повторяется, пока не понятно исправлено или нет. 3. Проблема коллизии мак-адресов на них существует, поэтому вам придётся строить сеть так, чтобы кол-во мак-адресов было минимально на каждом коммутаторе. Однако не смотря на наличие проблемы с маками, это не мешает работе мультикаста. Я заливал в них ~5800 маков(отправлял 8000, ~5800 изучалось) и гнал через свитч 400мбит мультикаста - весь мультикаст проходил нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X-RaY™ Опубликовано 20 февраля, 2011 · Жалоба 1.У нас влан на свитч, на свитче изоляция портов, все по хдцп, динамик arp inspection, ip source-guard, чем страшно, я просто не совсем понял как именно нельзя отфильтровать. 2.Пока мультикаст не используем, но неприятно. 3. не более 100 маков на свитч будет. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sandrerio Опубликовано 21 февраля, 2011 · Жалоба Поговорил сегодня с коллегами по Edge-Core-ам....Все сказали что жутко проблематичны с мультикастом. их от этого сильно трясет... Вроде на этой неделе планируют взять на тест какой то новый ТП-ЛИНК буду ждать результатов теста.. пока сто в тесте находится алкател 6850м пока все довольны. Хотя надо сказать что большая часть сети и так построена на 6212 6224... И насколько я знаю проблемы практически отсутствуют! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 февраля, 2011 (изменено) · Жалоба X-RaY™ Нельзя навесить фильтр, чтобы исключить попадание мак-адреса шлюза(или pppoe-сервера) в fdb-таблицу с абонентского порта Поговорил сегодня с коллегами по Edge-Core-ам....Все сказали что жутко проблематичны с мультикастом. их от этого сильно трясет... И самое обидное, что проблема не с самим мультикастом, а с обработкой igmp leave/join-запросов, т.е. глюк чисто софтовый. ВСЯ необходимая диагностика у китайцев есть по этой проблеме, так что скоро починят(а возможно, что уже починили). Изменено 21 февраля, 2011 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X-RaY™ Опубликовано 21 февраля, 2011 · Жалоба Ну похоже что для 185 уе мелким оптом за 4 сфп и 24 100ки все таки свитч не плохой? Если проблема с мультикастом софтовая, то я уверен что её решат. А просто подвисаний не наблюдается(не от мультикаста, а просто перестает свитчить)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 22 февраля, 2011 · Жалоба Буквально вчера столкнулись с проблемой маленького размера tcam на 3552M. Попробую правила оптимизировать, конечно. Но все равно неприятно. 100-х портов в два раза больше, чем у 3528М, а кол-во ресурсов под правила не увеличили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andreyk Опубликовано 22 февраля, 2011 · Жалоба Буквально вчера столкнулись с проблемой маленького размера tcam на 3552M. Попробую правила оптимизировать, конечно. Но все равно неприятно. 100-х портов в два раза больше, чем у 3528М, а кол-во ресурсов под правила не увеличили. Тоже столкнулся с данной проблемой, и тоже пришлось оптимизировать правила, в принципе не так страшен волк как говориться :) Просто нужно более детально изучить что нужно блокировать а что нет, можно маски использовать - помогает экономить правила Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X-RaY™ Опубликовано 22 февраля, 2011 · Жалоба Если не тяжело, можете пожалуйста выложить конфиги(что и как режете, та и вообщем что из из фич используете, лучше 1 раз увидеть рабочий конфиг, чем 100 раз прочитать руководство) тут или в http://forum.nag.ru/forum/index.php?showto...=0&p=588659 . Если нет возможности выложить сюда, то киньте на x-ray@kct.net.ua. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...