zhenya` Опубликовано 17 июня, 2014 · Жалоба Для тех, кто не имеет доступа к закрытому разделу, проблема связана с тем, что при обновлении до 15.4.1.х сбрасываются snmp community, и коммутаторы становятся уязвимимы для атак извне по дефолтным community public/private (которые, никто не проверяет после обновлении софта). спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 17 июня, 2014 · Жалоба Это должно значить, что пакеты короче 384 байт свитчуются методом store-and-forward Я это понимаю, поэтому и расписал размеры, что для большинства случаев подойдёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 18 июня, 2014 · Жалоба ThreeDHead принимается решение куда и как слать и начинается передача с одновременным приемом хвоста пакета. это и объясняет невозможность использовать буфер пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zarin Опубликовано 18 июня, 2014 · Жалоба Приветствую, Коллеги. Кто настраивал мультикаст в vrf у x480 ? есть ли поддержка MDT (Multicast Disribution Tree)? Спасибо. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 июля, 2014 · Жалоба Подскажите, как-бы составить фильтр с условием "из сети 10/8 в сеть НЕ 10/8" Ну типа как "!" в iptables, к примеру: entry localnet_to_internet { if { source-address 10.0.0.0/8; destination-address !10.0.0.0/8; } then { permit; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 22 июля, 2014 · Жалоба м? entry e1 { if { source-address 10.0.0.0/8; destination-address 10.0.0.0/8; } then { deny } } entry e2 { if { source-address 10.0.0.0/8; } then { permit; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 июля, 2014 · Жалоба м? entry e1 { if { source-address 10.0.0.0/8; destination-address 10.0.0.0/8; } then { deny } } entry e2 { if { source-address 10.0.0.0/8; } then { permit; } } Возможно. Сейчас проверю. У меня после длинка, боязнь подобный конструкций. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 июля, 2014 · Жалоба А еще вот такой вопрос: тестирую счетчики (count, packet-count, byte-count), создаю подобное правило: entry e1 { if match all { source-address 10.1.2.3/32 ; destination-address 1.2.3.4/32 ; protocol 1; } then { count test_count ; permit ; } } entry e2 { if match all { source-address 10.1.2.3/32 ; destination-address 1.2.3.4/32 ; protocol 1; } then { packet-count test_packet_count ; permit ; } } entry e3 { if match all { source-address 10.1.2.3/32 ; destination-address 1.2.3.4/32 ; protocol 1; } then { byte-count test_byte_count ; permit ; } } А срабатывает только первый счетчик: * BD-8810.65 # sh access-list counter Policy Name Vlan Name Port Direction Counter Name Packet Count Byte Count ================================================================== test_counter * 3:41 ingress test_byte_count 0 test_count 1 test_packet_count 0 Пробовал и пермиты убирать, бестолку. Или надо делать не один, а три полиси-файла, и в каждом описать свой счетчик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 июля, 2014 · Жалоба распихал "ентри" по разным полиси-файлам (test_counter, test_counter_packet, test_counter_byte). Первое сработало: * BD-8810.84 # configure access-list test_counter ports 3:41 done! Второе, нет: * BD-8810.85 # configure access-list test_counter_packet ports 3:41 ERROR: ACL is already configured on port 3:41 ! Configuration failed on backup MSM, command execution aborted! Странно всё это. Получается что счетчиков может быть на полиси-файл всего какой-нибудь один? P.S. Разобрался: Byte counters and packet counters cannot be used at the same time in the same rule. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 июля, 2014 · Жалоба darkagent, не получается с денаем ничего, дропается весь трафик от 10.1.2.3 в 10/8, но считается... configure access-list test_counter ports 3:41 test_counter.pol entry e1 { if { source-address 10.1.2.3/32; destination-address 10.0.0.0/8; } then { deny ; } } entry e2 { if match all { source-address 10.1.2.3/32; } then { count test_count ; permit ; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 июля, 2014 · Жалоба Вот так получилось: entry e1 { if { source-address 10.1.2.3/32 ; destination-address 10.0.0.0/8 ; } then { count test_count_local ; permit ; } } entry e2 { if match all { source-address 10.1.2.3/32 ; } then { count test_count ; permit ; } } Оба счетчика считаются: * BD-8810.146 # show access-list counter Policy Name Vlan Name Port Direction Counter Name Packet Count Byte Count ================================================================== test_counter * 3:41 ingress test_count 2371 test_count_local 1179 Собственно это и нужно было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 23 июля, 2014 · Жалоба В последнем варианте, логичней будет match all указать в e1 нежели в e2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 23 июля, 2014 · Жалоба В последнем варианте, логичней будет match all указать в e1 нежели в e2. Да, вы правы. Я столько вариантов уже перепробовал, мог и ошибиться. Хотя: match all - All the match conditions must be true for a match to occur. This is the default. Ну, поэтому и работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eyeV Опубликовано 23 июля, 2014 · Жалоба Товарищи. Помогите организовать vlan_mapping (vlan_translation) на x670. Имеется два коммутатора x670, два других коммутатора (другой вендор) подключены к ним средствами MLAG. Нужно чтобы входные тегированные VLANы 401-413 транслировались в 71-83. Схема во вложении. Нашел две конструкции: 1. config vlan v71 vlan-translation add member-vlan 401 2. configure vman XXX add ports 45 cep cvid 401-413 translate 71-83 Не очень понятно какая конструкция подходит для моих целей и какие VLANы должны быть добавлены в ISC-линк между двумя x670. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 23 июля, 2014 · Жалоба обе конструкции крайне капризные, лучше всего начать пробовать с 2й. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 24 июля, 2014 · Жалоба Есть еще одна интересная задача :) Исходные: Абонент - 192.168.1.2/24, vlan:user id:2 tagged, подключен в порт А Порт А - vlan:user id:2 tagged, 192.168.1.1/24 Порт Б - подключен патчкордом в порт В Порт В - соответственно подключен в порт Б Задача: Принять от абонента пакет, и "выкинуть" его через порт Б, и встретить на порту В, терминировать его на L3 и отправить дальше согласно таблиц маршрутизации. Основная цель - пропустить трафик абонента через линк Б-В. Создаем полиси-файл: # edit policy abonent_over_b_c entry e1 { if { source-address 192.168.1.2/32 ; } then { redirect-port "Б" ; } } Навешиваем полиси на порт терминации абонента: configure access-list abonent_over_b_c ports "А" ingress Согласно документации, порт, в который делаем "redirect-port", должен быть в том же влане: configure vlan "user" add ports "Б" tagged Итак, трафик от абонента приходит в порт А, ловится аксесслистом, и отправляется из порта Б, приходит на порт В, терминируется на L3 и трафик побежал, всё прекрасно работает. Но! Порт В - не принадлежит ни одному влану. Какое есть предположение, почему конструкция работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 июля, 2014 · Жалоба Какое есть предположение, почему конструкция работает? дай угадаю, sh ipconfig | i Origin Originated Packets : Don't require ipforwarding совпадает? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 24 июля, 2014 · Жалоба совпадает? ;) Собсно, да, совпадает. Только к чему это? Если отмести информацию откуда взялся пакет, то мы просто видим что на порт В пришел некий пакет, но так как на этом порту нет вланов, пакет доложен сброситься и всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 июля, 2014 · Жалоба Ну собсна магия тут вот в чем: - твое полиси фактически является L2-redirect'ом: Layer 2 Policy-Based Redirect This feature allows matching packets to override the normal forwarding decision and be Layer 2 switched to the specified physical port. This is accomplished using an additional packet ACL lookup. While similar to the Layer 3 Policy-Based Redirectfeature, it differs in that the packet is not modified for Layer 3 routing based on a new IP redirect next-hop. Instead, the packet uses the packet format based on the forwarding decision. When the packet is Layer 2-switched, the packet egresses the redirect port unmodified. When the packet is Layer 3-switched, the packet egresses with the Layer 3 packet modifications of the next-hop found by the normal Layer 3 forwarding lookups. т.е. фактически, порт В становится loopback портом для прилетающего пакета, ну а т.к. в пакете остается все необходимое для его дальнейшей жизни, он форвардится/роутится как задано системой, и системе крайне посрать на его происхождение, ибо срабатывает мягкое динамо: conf ipforwarding originated-packets dont-require-ipforwarding IP forwarding need not be enabled on outbound VLAN for packets to be routed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 24 июля, 2014 · Жалоба Название портов: А, Б, В - кириллицей! Правильно, прилетевший на порт А пакет, без модификаций улетит через порт Б. Но это не означает что он "родился" в недрах системы. И где вы видите в конфигурации описание третьего порта (В)? Я сказал что на нем нет ни единого влана. Я этот патчкорд переключу с порта В в порт Г, на котором тоже не единого влана - тоже будет работать, почему? пс: счетчики TX на порту Б растут, счетчики RX на порту В, тоже растут в унисон. Пакет бегает через патчкорд Б-В. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 августа, 2014 · Жалоба есть коробочка 670ая. хочется роутликинг между глобалом и врфом. беглый просмотр гугла выявил, что самый простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах.. возможно ли как-нить решить проблему? направьте в нужную сторону. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 5 августа, 2014 · Жалоба По возможности пользуйтесь Policy Base Routing. Мы более 1000 маршрутов сжали в 270 и они хорошо поместились в alc, а когда вешаешь на порты, а не на кланы, то используется та же памать в TCAM. Сейчас только через другую L3 железку. Слышал, что в feature request есть route leaking. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 5 августа, 2014 · Жалоба Слышал, что в feature request есть route leaking. Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;) простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 6 августа, 2014 · Жалоба Слышал, что в feature request есть route leaking. Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;) простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;) петля не работает. в первую очередь из-за невозможности сойтись протоколам динамической маршрутизации. пробовал 1.5-2 года назад. сомневаюсь, что что-то изменилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xxxupg Опубликовано 6 августа, 2014 · Жалоба Уважаемые! помогите настроить System Type: X670-48x нужно настроить LACP между ним и Dlink DSG-3420-28TC, на Длинке настроено так: # LACP config link_aggregation algorithm ip_source_dest create link_aggregation group_id 1 type lacp config link_aggregation group_id 1 master_port 27 ports 27-28 state enable config lacp_port 27-28 mode active подскажите как должен выглядеть конфиг X670-48x? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...