Перейти к содержимому
Калькуляторы

Примеры настроек коммутаторов SNR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм а как определение и блокирование колец настроить?

что то игрался с функцией loopback толку никакого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм а как определение и блокирование колец настроить?

что то игрался с функцией loopback толку никакого.

для какой конкретно модели?

в S2960-24F надо на порту включить keepalive (прошивка Version 2.0.2A)

в S2970G-24S никак, нет такой функции. (прошивка Version 2.0.1N)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SNR

Покажите, пожалуйста, show ver с коммутаторов серии S29XX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как зарезать PADO от клиента? На этом чуде..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, а что такое S3750G? В шопе не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм а как определение и блокирование колец настроить?

что то игрался с функцией loopback толку никакого.

для какой конкретно модели?

в S2960-24F надо на порту включить keepalive (прошивка Version 2.0.2A)

в S2970G-24S никак, нет такой функции. (прошивка Version 2.0.1N)

S2950...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

S2950 не видели, но на SNR-S2940-8G-v2 включается так:

 

loopback-detection interval-time 10 3
!
!
loopback-detection trap enable
!
Interface Ethernet1/1
switchport access vlan 4
loopback-detection specified-vlan 4
loopback-detection control block

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как зарезать PADO от клиента? На этом чуде..

 

Добрый день!

Уточните пожалуйста, на какой модели коммутатора вы хотите организовать фильтр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SNR-S2950-24G

SNR-S2960-48G

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Shiva, фильтрация по Ethertype возможна, на данный момент проверяем реализацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давайте напишем так.

Нужно комплексно получить такую конфигурацию.

 

Заретить всё кроме:

1. Разрещить PPPoE

- Запретить PADO c абонентских портов

2. Разрещить ARP

- Запретить ARP-Reply с IP не от абонента.

3. Разрещить IP

- Запретить IP с адресов не от абонента.

4. Разрешить DHCP

- Запретить DHCP Server на абонентских портах

- Запретить распространения широковещательного запроса в VLAN с абонентами.

 

При этом всё должно работать одновременно. Сейчас мы пробуем и остановились пока на первом пункте. То, что можно настроить через веб, в консоле ругается на ошибку синтаксиса. Настроеное нормально не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Andrey Savenkov, а сколько проверка занимает? Мне железо Вам вернуть или подождать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробовал вырезать весь IP траффик на порту. Добавил MAC extended access-list:

 

access-list 1120 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 2048

смещение 12 это должен быть EtherType, проверяю 2 байта, значение 2048 (кстати, почему нельзя в хексе 0x0800?)

 

применяю на интерфейс:

interface ethernet 0/0/1

mac access-group 1120 in

ERROR: user defined windows is not supported.

ERROR: can't bind access-list [1120] to interface Ethernet0/0/1!

 

Варианты с другим видом access-list не подходят, т.к. правило будет проверять несколько смещений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

linkey, прошу уточнить модель коммутатора. К примеру на S2950-24 необходимый Вам фильтр настраивается следующим образом:

userdefined-access-list extended offset swindow1 l2endoftag 0 
userdefined-access-list extended 1300 deny untagged-eth2 swindow1 800 ffff
!
Interface Ethernet1/1
userdefined access-group 1300 in
!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1

 

SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0
                         ^
% Invalid input detected at '^' marker.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Какими командами настраивается MVR на SNR-S2960-48G? В conf нашел только команду multicast-vlan, но, кажется, этого мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

....

!
vlan id_влана_мультикаста
multicast-vlan
!

......

Interface Ethernet0/0/1
switchport access vlan id_влан_пользователя
switchport association multicast-vlan id_влан_мультикаст

.....

ip igmp snooping
ip igmp snooping vlan id_влан_пользователя
ip igmp snooping vlan id_влан_пользователя immediately-leave
ip igmp snooping vlan id_влан_мультикаст

 

на последней прошивке с сайта SNR работает как положено. Это пока без фильтров, еще не дошел до них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1

 

SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0
                         ^
% Invalid input detected at '^' marker.

На S2960-48G настраивается более простым способом:

!         
firewall enable
!         
mac-access-list extended test
 deny any-source-mac any-destination-mac untagged-eth2 ethertype 2048 65535
 exit
!
Interface Ethernet0/0/1
mac access-group test in
!

На нашем стенде отработало, IP не проходит, ARP проходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я же написал, что мне надо будет проверять несколько смещений. ACL выше приведен в качестве примера. Нужен access-list который может проверить несколько смещений одновременно. Правила с номерами 1100-1199 как раз для этого случая. Проблема в том, что оно не вешается на интерфейс. Вот более конкретный случай (запретить PADO c абонентских портов)

SNR-S2960-48G(config)#firewall enable
SNR-S2960-48G(config)#access-list 1140 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 8863 15 1 7
SNR-S2960-48G(config)#interface ethernet 0/0/1
SNR-S2960-48G(config-if-ethernet0/0/1)#mac access-group 1140 in
ERROR: user defined windows is not supported.
ERROR: can't bind access-list [1140] to interface Ethernet0/0/1!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

linkey, да действительно, не получается привязать ACL к порту. Отправил запрос в R&D по вашей проблеме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

S2950 не видели, но на SNR-S2940-8G-v2 включается так

Подскажите пожалуста как всё таки это будет на S2950-24g

пробывал и так и эток .. ни в какую.. вот конфига.. что пропустил?

 

loopback-detection interval-time 10 1

!

loopback-detection control-recovery timeout 30

!

vlan 1

!

vlan 10

name asu

!

firewall enable

!

Interface Ethernet1/3

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/4

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/5

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/6

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

!

interface Vlan10

!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

всё разрешилось перепрошивкой на новую версию...

ЗЫ:

ссылку поправьте тут: http://shop.nag.ru/article/snr-s294029502960-faq (Новые прошивки для коммутаторов SNR-S2950-24G и SNR-S2940-8G можно найти здесь) на "http://data.nag.ru/Ethernet%20Switches/SNR-S2950/files/"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте.

Используем SNR-S2950-24G как абонентский коммутатор по схеме vlan-per-switch с аутентификацией через CLIPS.

Стандартный конфиг работает на ура. Появилась желание добавить фильтрацию по портам и изолировать порты внутри вилана.

Так вот, при добавлении данного функционала в лабораторных условиях всё корректно отрабатывает. Но в работе появился не приятный момент -

коммутатор, раз в 5-15 минут, "отваливается", теряется управление и пользовательский трафик, через минуту восстанавливается.

Подскажите, пожалуйста, где ошибка, т.к. на пользователях сильно не по тестируешь.

Новое в конфиге:

!
firewall enable
!
access-list 110 deny tcp any-source any-destination d-port 135
access-list 110 deny tcp any-source s-port 135 any-destination
access-list 110 deny tcp any-source any-destination d-port 137
access-list 110 deny tcp any-source s-port 137 any-destination
access-list 110 deny tcp any-source any-destination d-port 138
access-list 110 deny tcp any-source s-port 138 any-destination
access-list 110 deny tcp any-source any-destination d-port 139
access-list 110 deny tcp any-source s-port 139 any-destination
access-list 110 deny tcp any-source any-destination d-port 445
access-list 110 deny tcp any-source s-port 445 any-destination
access-list 110 deny tcp any-source any-destination d-port 1900
access-list 110 deny tcp any-source s-port 1900 any-destination
access-list 110 deny tcp any-source any-destination d-port 2869
access-list 110 deny tcp any-source s-port 2869 any-destination
access-list 110 deny udp any-source any-destination d-port 135
access-list 110 deny udp any-source s-port 135 any-destination
access-list 110 deny udp any-source any-destination d-port 137
access-list 110 deny udp any-source s-port 137 any-destination
access-list 110 deny udp any-source any-destination d-port 138
access-list 110 deny udp any-source s-port 138 any-destination
access-list 110 deny udp any-source any-destination d-port 139
access-list 110 deny udp any-source s-port 139 any-destination
access-list 110 deny udp any-source any-destination d-port 445
access-list 110 deny udp any-source s-port 445 any-destination
access-list 110 deny udp any-source any-destination d-port 1900
access-list 110 deny udp any-source s-port 1900 any-destination
access-list 110 deny udp any-source any-destination d-port 2869
access-list 110 deny udp any-source s-port 2869 any-destination
!
Interface Ethernet1/1
switchport access vlan 2140
ip access-group 110 in
loopback-detection specified-vlan 2140
loopback-detection control shutdown
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 1
!
isolate-port group user switchport interface Ethernet1/1
!

 

SNR-S2950-24G#sh ver
 SNR-S2950-24G Device, Compiled on Feb 08 12:45:13 2012
 SoftWare Version 6.2.138.103
 BootRom Version 4.12.1
 HardWare Version 1.0.1
 CPLD Version N/A
 Device serial number A20003LEAK
 Copyright (C) 2012 NAG LLC
 All rights reserved
 Last reboot is cold reset.
 Uptime is 12 weeks, 5 days, 14 hours, 26 minutes

 

Зарание спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, что не так делаю.

 

SNR-S2960-24G(config-if-vlan1)#ip default-gateway 192.168.5.1

^

% Invalid input detected at '^' marker.

 

Команда взята из инструкции. IP адресс прописался. Как шлюз прописать?

 

И обновиться через консоль тоже не получилось:

 

SNR-S2960-24G#copy tftp://192.168.5.111/2960-24g.mib

% Incomplete command.

 

Пришлось через веб обновляться.

 

P.S. Взяли на тест, как возможную замену для длинка. Так, что сильно не ругайте :)

Изменено пользователем TIR52

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.