Jump to content
Калькуляторы

Примеры настроек коммутаторов SNR

хм а как определение и блокирование колец настроить?

что то игрался с функцией loopback толку никакого.

Share this post


Link to post
Share on other sites

хм а как определение и блокирование колец настроить?

что то игрался с функцией loopback толку никакого.

для какой конкретно модели?

в S2960-24F надо на порту включить keepalive (прошивка Version 2.0.2A)

в S2970G-24S никак, нет такой функции. (прошивка Version 2.0.1N)

Share this post


Link to post
Share on other sites

Как зарезать PADO от клиента? На этом чуде..

Share this post


Link to post
Share on other sites

Хм, а что такое S3750G? В шопе не вижу.

Share this post


Link to post
Share on other sites

хм а как определение и блокирование колец настроить?

что то игрался с функцией loopback толку никакого.

для какой конкретно модели?

в S2960-24F надо на порту включить keepalive (прошивка Version 2.0.2A)

в S2970G-24S никак, нет такой функции. (прошивка Version 2.0.1N)

S2950...

Share this post


Link to post
Share on other sites

S2950 не видели, но на SNR-S2940-8G-v2 включается так:

 

loopback-detection interval-time 10 3
!
!
loopback-detection trap enable
!
Interface Ethernet1/1
switchport access vlan 4
loopback-detection specified-vlan 4
loopback-detection control block

Share this post


Link to post
Share on other sites

Как зарезать PADO от клиента? На этом чуде..

 

Добрый день!

Уточните пожалуйста, на какой модели коммутатора вы хотите организовать фильтр?

Share this post


Link to post
Share on other sites

Давайте напишем так.

Нужно комплексно получить такую конфигурацию.

 

Заретить всё кроме:

1. Разрещить PPPoE

- Запретить PADO c абонентских портов

2. Разрещить ARP

- Запретить ARP-Reply с IP не от абонента.

3. Разрещить IP

- Запретить IP с адресов не от абонента.

4. Разрешить DHCP

- Запретить DHCP Server на абонентских портах

- Запретить распространения широковещательного запроса в VLAN с абонентами.

 

При этом всё должно работать одновременно. Сейчас мы пробуем и остановились пока на первом пункте. То, что можно настроить через веб, в консоле ругается на ошибку синтаксиса. Настроеное нормально не работает.

Share this post


Link to post
Share on other sites

Andrey Savenkov, а сколько проверка занимает? Мне железо Вам вернуть или подождать?

Share this post


Link to post
Share on other sites

Попробовал вырезать весь IP траффик на порту. Добавил MAC extended access-list:

 

access-list 1120 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 2048

смещение 12 это должен быть EtherType, проверяю 2 байта, значение 2048 (кстати, почему нельзя в хексе 0x0800?)

 

применяю на интерфейс:

interface ethernet 0/0/1

mac access-group 1120 in

ERROR: user defined windows is not supported.

ERROR: can't bind access-list [1120] to interface Ethernet0/0/1!

 

Варианты с другим видом access-list не подходят, т.к. правило будет проверять несколько смещений.

Share this post


Link to post
Share on other sites

linkey, прошу уточнить модель коммутатора. К примеру на S2950-24 необходимый Вам фильтр настраивается следующим образом:

userdefined-access-list extended offset swindow1 l2endoftag 0 
userdefined-access-list extended 1300 deny untagged-eth2 swindow1 800 ffff
!
Interface Ethernet1/1
userdefined access-group 1300 in
!

Share this post


Link to post
Share on other sites

Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1

 

SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0
                         ^
% Invalid input detected at '^' marker.

Share this post


Link to post
Share on other sites

Добрый день.

Какими командами настраивается MVR на SNR-S2960-48G? В conf нашел только команду multicast-vlan, но, кажется, этого мало.

Share this post


Link to post
Share on other sites

....

!
vlan id_влана_мультикаста
multicast-vlan
!

......

Interface Ethernet0/0/1
switchport access vlan id_влан_пользователя
switchport association multicast-vlan id_влан_мультикаст

.....

ip igmp snooping
ip igmp snooping vlan id_влан_пользователя
ip igmp snooping vlan id_влан_пользователя immediately-leave
ip igmp snooping vlan id_влан_мультикаст

 

на последней прошивке с сайта SNR работает как положено. Это пока без фильтров, еще не дошел до них.

Share this post


Link to post
Share on other sites

Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1

 

SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0
                         ^
% Invalid input detected at '^' marker.

На S2960-48G настраивается более простым способом:

!         
firewall enable
!         
mac-access-list extended test
 deny any-source-mac any-destination-mac untagged-eth2 ethertype 2048 65535
 exit
!
Interface Ethernet0/0/1
mac access-group test in
!

На нашем стенде отработало, IP не проходит, ARP проходит.

Share this post


Link to post
Share on other sites

Я же написал, что мне надо будет проверять несколько смещений. ACL выше приведен в качестве примера. Нужен access-list который может проверить несколько смещений одновременно. Правила с номерами 1100-1199 как раз для этого случая. Проблема в том, что оно не вешается на интерфейс. Вот более конкретный случай (запретить PADO c абонентских портов)

SNR-S2960-48G(config)#firewall enable
SNR-S2960-48G(config)#access-list 1140 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 8863 15 1 7
SNR-S2960-48G(config)#interface ethernet 0/0/1
SNR-S2960-48G(config-if-ethernet0/0/1)#mac access-group 1140 in
ERROR: user defined windows is not supported.
ERROR: can't bind access-list [1140] to interface Ethernet0/0/1!

Share this post


Link to post
Share on other sites

linkey, да действительно, не получается привязать ACL к порту. Отправил запрос в R&D по вашей проблеме.

Share this post


Link to post
Share on other sites

S2950 не видели, но на SNR-S2940-8G-v2 включается так

Подскажите пожалуста как всё таки это будет на S2950-24g

пробывал и так и эток .. ни в какую.. вот конфига.. что пропустил?

 

loopback-detection interval-time 10 1

!

loopback-detection control-recovery timeout 30

!

vlan 1

!

vlan 10

name asu

!

firewall enable

!

Interface Ethernet1/3

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/4

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/5

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/6

switchport access vlan 10

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

!

interface Vlan10

!

Share this post


Link to post
Share on other sites

всё разрешилось перепрошивкой на новую версию...

ЗЫ:

ссылку поправьте тут: http://shop.nag.ru/article/snr-s294029502960-faq (Новые прошивки для коммутаторов SNR-S2950-24G и SNR-S2940-8G можно найти здесь) на "http://data.nag.ru/Ethernet%20Switches/SNR-S2950/files/"

Share this post


Link to post
Share on other sites

Здравствуйте.

Используем SNR-S2950-24G как абонентский коммутатор по схеме vlan-per-switch с аутентификацией через CLIPS.

Стандартный конфиг работает на ура. Появилась желание добавить фильтрацию по портам и изолировать порты внутри вилана.

Так вот, при добавлении данного функционала в лабораторных условиях всё корректно отрабатывает. Но в работе появился не приятный момент -

коммутатор, раз в 5-15 минут, "отваливается", теряется управление и пользовательский трафик, через минуту восстанавливается.

Подскажите, пожалуйста, где ошибка, т.к. на пользователях сильно не по тестируешь.

Новое в конфиге:

!
firewall enable
!
access-list 110 deny tcp any-source any-destination d-port 135
access-list 110 deny tcp any-source s-port 135 any-destination
access-list 110 deny tcp any-source any-destination d-port 137
access-list 110 deny tcp any-source s-port 137 any-destination
access-list 110 deny tcp any-source any-destination d-port 138
access-list 110 deny tcp any-source s-port 138 any-destination
access-list 110 deny tcp any-source any-destination d-port 139
access-list 110 deny tcp any-source s-port 139 any-destination
access-list 110 deny tcp any-source any-destination d-port 445
access-list 110 deny tcp any-source s-port 445 any-destination
access-list 110 deny tcp any-source any-destination d-port 1900
access-list 110 deny tcp any-source s-port 1900 any-destination
access-list 110 deny tcp any-source any-destination d-port 2869
access-list 110 deny tcp any-source s-port 2869 any-destination
access-list 110 deny udp any-source any-destination d-port 135
access-list 110 deny udp any-source s-port 135 any-destination
access-list 110 deny udp any-source any-destination d-port 137
access-list 110 deny udp any-source s-port 137 any-destination
access-list 110 deny udp any-source any-destination d-port 138
access-list 110 deny udp any-source s-port 138 any-destination
access-list 110 deny udp any-source any-destination d-port 139
access-list 110 deny udp any-source s-port 139 any-destination
access-list 110 deny udp any-source any-destination d-port 445
access-list 110 deny udp any-source s-port 445 any-destination
access-list 110 deny udp any-source any-destination d-port 1900
access-list 110 deny udp any-source s-port 1900 any-destination
access-list 110 deny udp any-source any-destination d-port 2869
access-list 110 deny udp any-source s-port 2869 any-destination
!
Interface Ethernet1/1
switchport access vlan 2140
ip access-group 110 in
loopback-detection specified-vlan 2140
loopback-detection control shutdown
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 1
!
isolate-port group user switchport interface Ethernet1/1
!

 

SNR-S2950-24G#sh ver
 SNR-S2950-24G Device, Compiled on Feb 08 12:45:13 2012
 SoftWare Version 6.2.138.103
 BootRom Version 4.12.1
 HardWare Version 1.0.1
 CPLD Version N/A
 Device serial number A20003LEAK
 Copyright (C) 2012 NAG LLC
 All rights reserved
 Last reboot is cold reset.
 Uptime is 12 weeks, 5 days, 14 hours, 26 minutes

 

Зарание спасибо.

Share this post


Link to post
Share on other sites

Подскажите, что не так делаю.

 

SNR-S2960-24G(config-if-vlan1)#ip default-gateway 192.168.5.1

^

% Invalid input detected at '^' marker.

 

Команда взята из инструкции. IP адресс прописался. Как шлюз прописать?

 

И обновиться через консоль тоже не получилось:

 

SNR-S2960-24G#copy tftp://192.168.5.111/2960-24g.mib

% Incomplete command.

 

Пришлось через веб обновляться.

 

P.S. Взяли на тест, как возможную замену для длинка. Так, что сильно не ругайте :)

Edited by TIR52

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now