[Laa]

Здравствуйте!

 

Есть ES3528M, с Operation Code Version: 1.3.7.10.

 

Надо блокировать доступ некоторым МАК-адресам в портах 1,2,3.

Сделал access-list mac ACL1, внес туда пару маков для блокировки. Так:

deny host xx-xx-xx-xx-xx-xx any
deny any host xx-xx-xx-xx-xx-xx
permit any any

 

И привязал на интерфейс:

 mac access-group ACL1 in

 

А в выводе show mac-address-table все равно вижу заблокированные мак адреса. Что не так? Сделал блокировку в обе стороны, потому что ACL реально будет разростаться и применятся сразу на нескольких портах и важно чтобы ни с какого порта не было доступа на перечисленные мак-адреса.

[John_obn]

show mac-ad показывает какие mac адреса видит на порту. Применением аксесс листа на интерфейс вы не заставите коммутатор не видеть этот мак-адрес. Пакет все равно должен долететь до свитча, чтобы быть там дропнутым.

deny any host xx-xx-xx-xx-xx-xx

- наверно лишнее

Изменено 2 ноября, 2010 пользователем John_obn

[Laa]

ok.

А как убедится, что действительно пакеты с этого МАКа дропаются?

[OKyHb]

У меня на ES3528M (Operation Code Version: 1.3.7.1) после применения подобного access-list'a и "clear mac-address-table dynamic" неугодный мак больше не отображается в show mac-ad.

[s.lobanov]

show mac-ad показывает какие mac адреса видит на порту. Применением аксесс листа на интерфейс вы не заставите коммутатор не видеть этот мак-адрес. Пакет все равно должен долететь до свитча, чтобы быть там дропнутым.

deny any host xx-xx-xx-xx-xx-xx

- наверно лишнее

Не совсем так. mac acl работает по-разному в зависимости от того, какие фичи используются

 

Laa, выкладывайте конфиг целиком и версию opcode

[plenitel]

Люди, есть Edge-core 3528M, после работы на линии появилась такая проблема:

Image Loader 1.0.1.0

Loading Diagnostic Image File : ES3528_52M_diag_V1.2.0.1.bix

Diagnostic 1.2.0.1

User Mode

 

--- Performing Power-On Self Tests (POST) ---

DUMMY Test 1 ................. PASS

UART Loopback Test ........... PASS

DRAM Test .................... PASS

Timer Test ................... PASS

Done All Pass.

------------------ DONE ---------------------

 

 

Loading Runtime Image File : ES3528_52M_opcode_V1.4.8.0.bix

Runtime 1.4.8.0

 

Failed to initial Board conf

DNS_ResolverInit..OK

DNS_Proxy_init ....OK

root init done

 

Set Transition mode ...

[get stackingMac done ret_val] = 1

Assigned Unit ID:[1]

stacking DB: unit = 0, module type = 0

 

Finish Set Transition mode ...

Enter Transition mode ...

Finish Transition mode ...

Enter Master mode ...

Data abort

Exception address: 0x00afec74

Current Processor Status Register: 0x80000013

Task: 0x39c5cd0 "STACK_CTRL"

 

********Exception Task Info******************

Current Task => STACK_CTRL

Current Task => STACK_CTRL

0x0096fadc 0x00057a60 ([0, 0, 0, 0, 0]

)

0x00057ae8 0x00058008 ([0xffffffff, 0x00000001, 0x00000001, 0, 0x039c5c90]

)

0x00058098 0x000585d4 ([0x00000003, 0x011a215c, 0, 0x039c5c8c, 0x039c5c74]

)

0x000585f4 0x00812824 ([0x039c5c70, 0x039c5c58, 0x0005809c, 0x000585e4, 0x000000

03]

)

0x00812834 0x007f9abc ([0x039c5c54, 0x039c5c48, 0x000585f8, 0x00812834, 0x039c5c

70]

)

0x007f9c2c 0x007f9df0 ([0x00000001, 0x00000035, 0x00000001, 0x0000001c, 0x039c5c

44]

)

0x007fa104 0x0087403c ([0x00000001, 0x0000001d, 0x00000001, 0x039c5c34, 0x039c5c

18]

)

0x00874098 0x00afec54 ([0, 0x00000004, 0x039c5c14, 0x039c5bfc, 0x007fa108]

)

 

 

Если кто сталкивался и знает как решить просветите пожалуйста, или хотя бы обьясните как войти в режим загрузки прошивки на свич, т.к при нажатии Ctrl+U загрузка останавливается и запрашивается пароль, при введении своего стандартного пароля, либо пустого начинает продолжаться загрузка с той же проблемой.

 

[TAJLDbIHbI4]

Люди, есть Edge-core 3528M, после работы на линии появилась такая проблема:

Image Loader 1.0.1.0

Loading Diagnostic Image File : ES3528_52M_diag_V1.2.0.1.bix

Diagnostic 1.2.0.1

User Mode

 

--- Performing Power-On Self Tests (POST) ---

DUMMY Test 1 ................. PASS

UART Loopback Test ........... PASS

DRAM Test .................... PASS

Timer Test ................... PASS

Done All Pass.

------------------ DONE ---------------------

 

 

Loading Runtime Image File : ES3528_52M_opcode_V1.4.8.0.bix

Runtime 1.4.8.0

 

Failed to initial Board conf

DNS_ResolverInit..OK

DNS_Proxy_init ....OK

root init done

 

Set Transition mode ...

[get stackingMac done ret_val] = 1

Assigned Unit ID:[1]

stacking DB: unit = 0, module type = 0

 

Finish Set Transition mode ...

Enter Transition mode ...

Finish Transition mode ...

Enter Master mode ...

Data abort

Exception address: 0x00afec74

Current Processor Status Register: 0x80000013

Task: 0x39c5cd0 "STACK_CTRL"

 

********Exception Task Info******************

Current Task => STACK_CTRL

Current Task => STACK_CTRL

0x0096fadc 0x00057a60 ([0, 0, 0, 0, 0]

)

0x00057ae8 0x00058008 ([0xffffffff, 0x00000001, 0x00000001, 0, 0x039c5c90]

)

0x00058098 0x000585d4 ([0x00000003, 0x011a215c, 0, 0x039c5c8c, 0x039c5c74]

)

0x000585f4 0x00812824 ([0x039c5c70, 0x039c5c58, 0x0005809c, 0x000585e4, 0x000000

03]

)

0x00812834 0x007f9abc ([0x039c5c54, 0x039c5c48, 0x000585f8, 0x00812834, 0x039c5c

70]

)

0x007f9c2c 0x007f9df0 ([0x00000001, 0x00000035, 0x00000001, 0x0000001c, 0x039c5c

44]

)

0x007fa104 0x0087403c ([0x00000001, 0x0000001d, 0x00000001, 0x039c5c34, 0x039c5c

18]

)

0x00874098 0x00afec54 ([0, 0x00000004, 0x039c5c14, 0x039c5bfc, 0x007fa108]

)

 

 

Если кто сталкивался и знает как решить просветите пожалуйста, или хотя бы обьясните как войти в режим загрузки прошивки на свич, т.к при нажатии Ctrl+U загрузка останавливается и запрашивается пароль, при введении своего стандартного пароля, либо пустого начинает продолжаться загрузка с той же проблемой.

если загружаться через ctrl+u то там необходимо писать помойму пароль mercury и пароль такой же

 

такая трабла у меня была, я отправлял ситч по гарантии и мне его починили но не сказали что с ним было, вероятно просто заменили прошивку

 

[plenitel]

Спасибо за пароль, правда, нашел его чуть, раньше. Меняю, прошиву, хотя проблема сама помоему в diag файле, скорее всего его тоже нужно будет заменить. Отпишусь как получится.

Изменено 21 декабря, 2010 пользователем plenitel

[X-RaY™]

Что бы не плодить темы про

Edge-Core ES3528M

за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо

[andreyk]

Что бы не плодить темы про

Edge-Core ES3528M

за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо

Не слыхал подобного, раньше ставили в сеть 3526ха-2, сейчас активно берем 3528/52М, вроде бы косяков особых нет (типа явных таких коллизий как на длинке 3028). Конечно не без глюков и багов, то отваливается управление на свежих прошивках, то не так как нужно работает какая-то фича... но в общем терпимо.

[s.lobanov]

Что бы не плодить темы про

Edge-Core ES3528M

за последние пол года слышал уже 3 истории в Украине что провайдеры отказываются от Edge-Core ES3528M, причем снимают их и ставят в замен другие, в чем их проблема? У кого есть опыт эксплуатации ? У меня их немного, даже 2х сотен нет, но в ближайшее время планируем расширение, и не хочется заведомо ущербное железо покупать. Спасибо

1. Нет возможности отфильтровать мак-адрес(чтобы не попадал в fdb). При схеме влан-на-свитч из-за нехорошего абонента могут пострадать соседи по этому свитчу. В качестве костыля, можно прописывать мак-адрес шлюза/pppoe-сервера на аплинке, если свитчи доступа не закольцованы. Ну либо, совсем неудобный вариант - прописывать мак каждого абонента на его порту и отключать mac learning.

2. Иногда умирают "под мультикастом". На каждую сотню свитчей 1 раз в месяц ~1 свитч может сдохнуть. Проявляется в том, что отваливается нелокальная авторизация, подыхает igmp snooping, перестают работать функции файловой системы. Выявляется либо по тому, что не отрабатывает скрипт бэкапа конфигов, либо по заявкам от телезрителей, решается ребутом. Проблема существует от самого начала их существования(вот собственно она http://forum.nag.ru/forum/index.php?showtopic=45726 ) и до сих пор проявляется(на opcode 1.4.8.8). Якобы исправлено в самых последних версиях ПО, но ввиду того, что глюк редко повторяется, пока не понятно исправлено или нет.

3. Проблема коллизии мак-адресов на них существует, поэтому вам придётся строить сеть так, чтобы кол-во мак-адресов было минимально на каждом коммутаторе. Однако не смотря на наличие проблемы с маками, это не мешает работе мультикаста. Я заливал в них ~5800 маков(отправлял 8000, ~5800 изучалось) и гнал через свитч 400мбит мультикаста - весь мультикаст проходил нормально.

[X-RaY™]

1.У нас влан на свитч, на свитче изоляция портов, все по хдцп, динамик arp inspection, ip source-guard, чем страшно, я просто не совсем понял как именно нельзя отфильтровать.

2.Пока мультикаст не используем, но неприятно.

3. не более 100 маков на свитч будет.

Спасибо.

[sandrerio]

Поговорил сегодня с коллегами по Edge-Core-ам....Все сказали что жутко проблематичны с мультикастом. их от этого сильно трясет...

Вроде на этой неделе планируют взять на тест какой то новый ТП-ЛИНК буду ждать результатов теста..

пока сто в тесте находится алкател 6850м пока все довольны.

Хотя надо сказать что большая часть сети и так построена на 6212 6224...

И насколько я знаю проблемы практически отсутствуют!

[s.lobanov]

X-RaY™

Нельзя навесить фильтр, чтобы исключить попадание мак-адреса шлюза(или pppoe-сервера) в fdb-таблицу с абонентского порта

 

Поговорил сегодня с коллегами по Edge-Core-ам....Все сказали что жутко проблематичны с мультикастом. их от этого сильно трясет...

И самое обидное, что проблема не с самим мультикастом, а с обработкой igmp leave/join-запросов, т.е. глюк чисто софтовый. ВСЯ необходимая диагностика у китайцев есть по этой проблеме, так что скоро починят(а возможно, что уже починили).

Изменено 21 февраля, 2011 пользователем s.lobanov

[X-RaY™]

Ну похоже что для 185 уе мелким оптом за 4 сфп и 24 100ки все таки свитч не плохой? Если проблема с мультикастом софтовая, то я уверен что её решат. А просто подвисаний не наблюдается(не от мультикаста, а просто перестает свитчить)?

[John_obn]

Буквально вчера столкнулись с проблемой маленького размера tcam на 3552M. Попробую правила оптимизировать, конечно. Но все равно неприятно. 100-х портов в два раза больше, чем у 3528М, а кол-во ресурсов под правила не увеличили.

[andreyk]

Буквально вчера столкнулись с проблемой маленького размера tcam на 3552M. Попробую правила оптимизировать, конечно. Но все равно неприятно. 100-х портов в два раза больше, чем у 3528М, а кол-во ресурсов под правила не увеличили.

Тоже столкнулся с данной проблемой, и тоже пришлось оптимизировать правила, в принципе не так страшен волк как говориться :) Просто нужно более детально изучить что нужно блокировать а что нет, можно маски использовать - помогает экономить правила

[X-RaY™]

Если не тяжело, можете пожалуйста выложить конфиги(что и как режете, та и вообщем что из из фич используете, лучше 1 раз увидеть рабочий конфиг, чем 100 раз прочитать руководство) тут или в http://forum.nag.ru/forum/index.php?showto...=0&p=588659 . Если нет возможности выложить сюда, то киньте на x-ray@kct.net.ua.

Спасибо!