SNR Posted March 22, 2012 Posted March 22, 2012 База знаний по коммутаторам SNR Настройка loopback detection Вставить ник Quote
Davion Posted March 23, 2012 Posted March 23, 2012 хм а как определение и блокирование колец настроить? что то игрался с функцией loopback толку никакого. Вставить ник Quote
BiWiS Posted March 23, 2012 Posted March 23, 2012 хм а как определение и блокирование колец настроить? что то игрался с функцией loopback толку никакого. для какой конкретно модели? в S2960-24F надо на порту включить keepalive (прошивка Version 2.0.2A) в S2970G-24S никак, нет такой функции. (прошивка Version 2.0.1N) Вставить ник Quote
s.lobanov Posted March 23, 2012 Posted March 23, 2012 SNR Покажите, пожалуйста, show ver с коммутаторов серии S29XX Вставить ник Quote
Shiva Posted March 23, 2012 Posted March 23, 2012 Как зарезать PADO от клиента? На этом чуде.. Вставить ник Quote
Bushi Posted March 24, 2012 Posted March 24, 2012 Хм, а что такое S3750G? В шопе не вижу. Вставить ник Quote
Davion Posted March 24, 2012 Posted March 24, 2012 хм а как определение и блокирование колец настроить? что то игрался с функцией loopback толку никакого. для какой конкретно модели? в S2960-24F надо на порту включить keepalive (прошивка Version 2.0.2A) в S2970G-24S никак, нет такой функции. (прошивка Version 2.0.1N) S2950... Вставить ник Quote
lumenok Posted March 25, 2012 Posted March 25, 2012 S2950 не видели, но на SNR-S2940-8G-v2 включается так: loopback-detection interval-time 10 3 ! ! loopback-detection trap enable ! Interface Ethernet1/1 switchport access vlan 4 loopback-detection specified-vlan 4 loopback-detection control block Вставить ник Quote
Andrey Savenkov Posted March 29, 2012 Posted March 29, 2012 Как зарезать PADO от клиента? На этом чуде.. Добрый день! Уточните пожалуйста, на какой модели коммутатора вы хотите организовать фильтр? Вставить ник Quote
Andrey Savenkov Posted March 30, 2012 Posted March 30, 2012 Shiva, фильтрация по Ethertype возможна, на данный момент проверяем реализацию. Вставить ник Quote
Shiva Posted March 30, 2012 Posted March 30, 2012 Давайте напишем так. Нужно комплексно получить такую конфигурацию. Заретить всё кроме: 1. Разрещить PPPoE - Запретить PADO c абонентских портов 2. Разрещить ARP - Запретить ARP-Reply с IP не от абонента. 3. Разрещить IP - Запретить IP с адресов не от абонента. 4. Разрешить DHCP - Запретить DHCP Server на абонентских портах - Запретить распространения широковещательного запроса в VLAN с абонентами. При этом всё должно работать одновременно. Сейчас мы пробуем и остановились пока на первом пункте. То, что можно настроить через веб, в консоле ругается на ошибку синтаксиса. Настроеное нормально не работает. Вставить ник Quote
Shiva Posted April 10, 2012 Posted April 10, 2012 Andrey Savenkov, а сколько проверка занимает? Мне железо Вам вернуть или подождать? Вставить ник Quote
linkey Posted April 12, 2012 Posted April 12, 2012 Попробовал вырезать весь IP траффик на порту. Добавил MAC extended access-list: access-list 1120 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 2048 смещение 12 это должен быть EtherType, проверяю 2 байта, значение 2048 (кстати, почему нельзя в хексе 0x0800?) применяю на интерфейс: interface ethernet 0/0/1 mac access-group 1120 in ERROR: user defined windows is not supported. ERROR: can't bind access-list [1120] to interface Ethernet0/0/1! Варианты с другим видом access-list не подходят, т.к. правило будет проверять несколько смещений. Вставить ник Quote
Andrey Savenkov Posted April 12, 2012 Posted April 12, 2012 linkey, прошу уточнить модель коммутатора. К примеру на S2950-24 необходимый Вам фильтр настраивается следующим образом: userdefined-access-list extended offset swindow1 l2endoftag 0 userdefined-access-list extended 1300 deny untagged-eth2 swindow1 800 ffff ! Interface Ethernet1/1 userdefined access-group 1300 in ! Вставить ник Quote
linkey Posted April 13, 2012 Posted April 13, 2012 Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1 SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0 ^ % Invalid input detected at '^' marker. Вставить ник Quote
John_obn Posted April 13, 2012 Posted April 13, 2012 Добрый день. Какими командами настраивается MVR на SNR-S2960-48G? В conf нашел только команду multicast-vlan, но, кажется, этого мало. Вставить ник Quote
hRUst Posted April 13, 2012 Posted April 13, 2012 .... ! vlan id_влана_мультикаста multicast-vlan ! ...... Interface Ethernet0/0/1 switchport access vlan id_влан_пользователя switchport association multicast-vlan id_влан_мультикаст ..... ip igmp snooping ip igmp snooping vlan id_влан_пользователя ip igmp snooping vlan id_влан_пользователя immediately-leave ip igmp snooping vlan id_влан_мультикаст на последней прошивке с сайта SNR работает как положено. Это пока без фильтров, еще не дошел до них. Вставить ник Quote
Andrey Savenkov Posted April 16, 2012 Posted April 16, 2012 Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1 SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0 ^ % Invalid input detected at '^' marker. На S2960-48G настраивается более простым способом: ! firewall enable ! mac-access-list extended test deny any-source-mac any-destination-mac untagged-eth2 ethertype 2048 65535 exit ! Interface Ethernet0/0/1 mac access-group test in ! На нашем стенде отработало, IP не проходит, ARP проходит. Вставить ник Quote
linkey Posted April 16, 2012 Posted April 16, 2012 Я же написал, что мне надо будет проверять несколько смещений. ACL выше приведен в качестве примера. Нужен access-list который может проверить несколько смещений одновременно. Правила с номерами 1100-1199 как раз для этого случая. Проблема в том, что оно не вешается на интерфейс. Вот более конкретный случай (запретить PADO c абонентских портов) SNR-S2960-48G(config)#firewall enable SNR-S2960-48G(config)#access-list 1140 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 8863 15 1 7 SNR-S2960-48G(config)#interface ethernet 0/0/1 SNR-S2960-48G(config-if-ethernet0/0/1)#mac access-group 1140 in ERROR: user defined windows is not supported. ERROR: can't bind access-list [1140] to interface Ethernet0/0/1! Вставить ник Quote
Andrey Savenkov Posted April 16, 2012 Posted April 16, 2012 linkey, да действительно, не получается привязать ACL к порту. Отправил запрос в R&D по вашей проблеме. Вставить ник Quote
gar Posted June 9, 2012 Posted June 9, 2012 S2950 не видели, но на SNR-S2940-8G-v2 включается так Подскажите пожалуста как всё таки это будет на S2950-24g пробывал и так и эток .. ни в какую.. вот конфига.. что пропустил? loopback-detection interval-time 10 1 ! loopback-detection control-recovery timeout 30 ! vlan 1 ! vlan 10 name asu ! firewall enable ! Interface Ethernet1/3 switchport access vlan 10 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! Interface Ethernet1/4 switchport access vlan 10 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! Interface Ethernet1/5 switchport access vlan 10 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! Interface Ethernet1/6 switchport access vlan 10 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! ! interface Vlan10 ! Вставить ник Quote
gar Posted June 14, 2012 Posted June 14, 2012 всё разрешилось перепрошивкой на новую версию... ЗЫ: ссылку поправьте тут: http://shop.nag.ru/article/snr-s294029502960-faq (Новые прошивки для коммутаторов SNR-S2950-24G и SNR-S2940-8G можно найти здесь) на "http://data.nag.ru/Ethernet%20Switches/SNR-S2950/files/" Вставить ник Quote
bike Posted October 11, 2012 Posted October 11, 2012 Здравствуйте. Используем SNR-S2950-24G как абонентский коммутатор по схеме vlan-per-switch с аутентификацией через CLIPS. Стандартный конфиг работает на ура. Появилась желание добавить фильтрацию по портам и изолировать порты внутри вилана. Так вот, при добавлении данного функционала в лабораторных условиях всё корректно отрабатывает. Но в работе появился не приятный момент - коммутатор, раз в 5-15 минут, "отваливается", теряется управление и пользовательский трафик, через минуту восстанавливается. Подскажите, пожалуйста, где ошибка, т.к. на пользователях сильно не по тестируешь. Новое в конфиге: ! firewall enable ! access-list 110 deny tcp any-source any-destination d-port 135 access-list 110 deny tcp any-source s-port 135 any-destination access-list 110 deny tcp any-source any-destination d-port 137 access-list 110 deny tcp any-source s-port 137 any-destination access-list 110 deny tcp any-source any-destination d-port 138 access-list 110 deny tcp any-source s-port 138 any-destination access-list 110 deny tcp any-source any-destination d-port 139 access-list 110 deny tcp any-source s-port 139 any-destination access-list 110 deny tcp any-source any-destination d-port 445 access-list 110 deny tcp any-source s-port 445 any-destination access-list 110 deny tcp any-source any-destination d-port 1900 access-list 110 deny tcp any-source s-port 1900 any-destination access-list 110 deny tcp any-source any-destination d-port 2869 access-list 110 deny tcp any-source s-port 2869 any-destination access-list 110 deny udp any-source any-destination d-port 135 access-list 110 deny udp any-source s-port 135 any-destination access-list 110 deny udp any-source any-destination d-port 137 access-list 110 deny udp any-source s-port 137 any-destination access-list 110 deny udp any-source any-destination d-port 138 access-list 110 deny udp any-source s-port 138 any-destination access-list 110 deny udp any-source any-destination d-port 139 access-list 110 deny udp any-source s-port 139 any-destination access-list 110 deny udp any-source any-destination d-port 445 access-list 110 deny udp any-source s-port 445 any-destination access-list 110 deny udp any-source any-destination d-port 1900 access-list 110 deny udp any-source s-port 1900 any-destination access-list 110 deny udp any-source any-destination d-port 2869 access-list 110 deny udp any-source s-port 2869 any-destination ! Interface Ethernet1/1 switchport access vlan 2140 ip access-group 110 in loopback-detection specified-vlan 2140 loopback-detection control shutdown ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 1 ! isolate-port group user switchport interface Ethernet1/1 ! SNR-S2950-24G#sh ver SNR-S2950-24G Device, Compiled on Feb 08 12:45:13 2012 SoftWare Version 6.2.138.103 BootRom Version 4.12.1 HardWare Version 1.0.1 CPLD Version N/A Device serial number A20003LEAK Copyright (C) 2012 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 12 weeks, 5 days, 14 hours, 26 minutes Зарание спасибо. Вставить ник Quote
TIR52 Posted October 15, 2012 Posted October 15, 2012 (edited) Подскажите, что не так делаю. SNR-S2960-24G(config-if-vlan1)#ip default-gateway 192.168.5.1 ^ % Invalid input detected at '^' marker. Команда взята из инструкции. IP адресс прописался. Как шлюз прописать? И обновиться через консоль тоже не получилось: SNR-S2960-24G#copy tftp://192.168.5.111/2960-24g.mib % Incomplete command. Пришлось через веб обновляться. P.S. Взяли на тест, как возможную замену для длинка. Так, что сильно не ругайте :) Edited October 15, 2012 by TIR52 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.