Victor Tkachenko Опубликовано 22 мая, 2018 · Жалоба @Sacrament, нет, loopback-detection будет обработан CPU раньше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 22 мая, 2018 · Жалоба 18 hours ago, Sacrament said: loopback-detection specified-vlan 1-4094 С такой конструкцией поострожнее! Не глядя переведете в режим транка порт и сыпанет детекшен по всем виланам враз. Наступал на эти грабли лично. Лучше укажите конкретные виланы которые есть на порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 22 мая, 2018 · Жалоба 18 минут назад, ShyLion сказал: С такой конструкцией поострожнее! Не глядя переведете в режим транка порт и сыпанет детекшен по всем виланам враз. Наступал на эти грабли лично. Лучше укажите конкретные виланы которые есть на порту. Хорошо, спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lost_uz Опубликовано 26 июня, 2018 · Жалоба как включить привязку диапазона ip адресов к порту + один мак к порту одновременно? прошел по всем веткам решения не увидел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 26 июня, 2018 · Жалоба @lost_uz, можно воспользоваться MAC-IP ACL, например: mac-ip-access-list extended <ACL_NAME> permit host-source-mac <MAC> any-destination-mac ip <IP> <IP_WILDCARD_MASK> any-destination deny any-source-mac any-destination-mac ip any-source any-destination ! Interface <ifname> mac-ip access-group <ACL_NAME> in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JenniferT Опубликовано 7 июля, 2018 · Жалоба hmm. How to configure and block the rings? that it was played with the function loopback no use. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 9 июля, 2018 · Жалоба @JenniferT you can simply enable spanning-tree on every switch in the ring, so it'll block redundant links. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 20 июля, 2018 · Жалоба подскажите как смотреть логи на SNR-S2990-16X? может я туплю? #sh logging ? executed-commands Command that user input в конфиге тоже (config)#logging ? executed-commands Command that user input SoftWare Package Version 7.5.3.0(R0016.0034) BootRom Version 7.4.6 HardWare Version 1.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 20 июля, 2018 · Жалоба @dima89, необходимая информация есть здесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 20 июля, 2018 · Жалоба 1 час назад, Victor Tkachenko сказал: @dima89, необходимая информация есть здесь. спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kroys Опубликовано 28 июля, 2018 · Жалоба Доброго времени суток..Можете пожалуйста объяснить или указать где читать про настройку QOS? В данный момент абонент пользуется PPPOE соединением, но при этом присутствуют ещё и локальные ресурсы. Если же забить локальную сеть то интернет который проходит через PPPOE начинает жутко тормозить..Как поставить приоритет трафика на PPPOE? Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 30 июля, 2018 · Жалоба @Kroys, доброго! Трафик PPPoE сперва необходимо метить некоторым CoS, чтобы передавать в приоритетную очередь. Руководство по конфигурации QoS есть здесь (для S2990G). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
televid Опубликовано 21 августа, 2018 · Жалоба Подскажите, возможно ли как-то ограничить inter-vlan маршрутизацию, кроме как через access-list? В частности, ограничить доступ к влану управления. Думал про route-map, но не могу сообразить, можно ли его тут применить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 22 августа, 2018 · Жалоба 12 часов назад, televid сказал: Подскажите, возможно ли как-то ограничить inter-vlan маршрутизацию, кроме как через access-list? В частности, ограничить доступ к влану управления. Думал про route-map, но не могу сообразить, можно ли его тут применить. Добрый день. На какой модели коммутаторов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
televid Опубликовано 22 августа, 2018 · Жалоба @Ivan Tarasenko SNR-2995G-24FX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 24 августа, 2018 · Жалоба В 22.08.2018 в 14:03, televid сказал: SNR-2995G-24FX Route-map получится применить только на принимаемые префиксы по bgp/ospf. Для фильтра анонсируемых префиксов можно использовать distribute-list. Если маршрутизация до VLAN управления статическая, лучше применить VACL. Также есть возможность добавить ACL на аутентификацию на коммутаторе: authentication ip access-class {acl_name} in telnet authentication ip access-class {acl_name} in web authentication ip access-class {acl_name} in ssh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
televid Опубликовано 24 августа, 2018 (изменено) · Жалоба 8 часов назад, Ivan Tarasenko сказал: Route-map получится применить только на принимаемые префиксы по bgp/ospf. Для фильтра анонсируемых префиксов можно использовать distribute-list. Если маршрутизация до VLAN управления статическая, лучше применить VACL. Также есть возможность добавить ACL на аутентификацию на коммутаторе: authentication ip access-class {acl_name} in telnet authentication ip access-class {acl_name} in web authentication ip access-class {acl_name} in ssh Понятно, спасибо. Аутентификацию добавил. А extended access list на интерфейс влана назначить нельзя? Например, такой (запрет доступа из подсети 172.16.0.0/12 в подсеть 192.168.16.0/22): ip access-list extended mgmt deny ip 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255 deny tcp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255 deny udp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255 exit ! На ethernet-интерфейс такой access-list назначить можно, а на интерфейс влан нет, у него нет опции ip access-group. Если, например, у меня порты в транке, и на них есть этот влан, то, получается, надо просто назначить всем этим портам этот access-list, вроде такого? firewall enable interface ethernet 1/0/1-28 ip access-group mgmt in ! Какие минусы могут быть у такого решения? Например, может ли это негативно сказаться на производительности/пропускной способности, ведь теперь весь трафик, проходящий через эти порты, будет проходить через файерволл? Если делать через VACL, то всё равно есть доступ к влану: firewall enable vacl ip access-group mgmt in vlan 4000 Пример конфига: Скрытый текст hostname SNR-S2995G-24FX authentication logging enable ! authentication line console login local authentication ip access-class mgmt_perm in telnet authentication ip access-class mgmt_perm in ssh authentication ip access-class mgmt_perm in web ! Interface Ethernet0 ip address 192.168.88.3 255.255.255.0 ! vlan 1;10-34 ! vlan 4000 name management ! ip access-list standard mgmt_perm permit 192.168.16.0 0.0.3.255 exit ! ip access-list extended mgmt deny ip 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255 deny tcp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255 deny udp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255 exit ! vacl ip access-group mgmt in vlan 4000 ! #порты коммутаторов доступа Interface Ethernet1/0/1 switchport mode trunk switchport trunk allowed vlan 11;4000 switchport trunk native vlan 11 ! Interface Ethernet1/0/2 switchport mode trunk switchport trunk allowed vlan 12;4000 switchport trunk native vlan 12 ! Interface Ethernet1/0/3 switchport mode trunk switchport trunk allowed vlan 13;4000 switchport trunk native vlan 13 ! Interface Ethernet1/0/4 switchport mode trunk switchport trunk allowed vlan 14;4000 switchport trunk native vlan 14 ! Interface Ethernet1/0/5 switchport mode trunk switchport trunk allowed vlan 15;4000 switchport trunk native vlan 15 ! Interface Ethernet1/0/6 switchport mode trunk switchport trunk allowed vlan 16;4000 switchport trunk native vlan 16 ! Interface Ethernet1/0/7 switchport mode trunk switchport trunk allowed vlan 17;4000 switchport trunk native vlan 17 ! Interface Ethernet1/0/8 switchport mode trunk switchport trunk allowed vlan 10;4000 switchport trunk native vlan 18 ! Interface Ethernet1/0/9 switchport mode trunk switchport trunk allowed vlan 19;4000 switchport trunk native vlan 19 ! Interface Ethernet1/0/10 switchport mode trunk switchport trunk allowed vlan 20;4000 switchport trunk native vlan 20 ! Interface Ethernet1/0/11 switchport mode trunk switchport trunk allowed vlan 21;4000 switchport trunk native vlan 21 ! Interface Ethernet1/0/12 switchport mode trunk switchport trunk allowed vlan 22;4000 switchport trunk native vlan 22 ! Interface Ethernet1/0/13 switchport mode trunk switchport trunk allowed vlan 23;4000 switchport trunk native vlan 23 ! Interface Ethernet1/0/14 switchport mode trunk switchport trunk allowed vlan 24;4000 switchport trunk native vlan 24 ! Interface Ethernet1/0/15 switchport mode trunk switchport trunk allowed vlan 25;4000 switchport trunk native vlan 25 ! Interface Ethernet1/0/16 switchport mode trunk switchport trunk allowed vlan 26;4000 switchport trunk native vlan 26 ! Interface Ethernet1/0/17 switchport mode trunk switchport trunk allowed vlan 27;4000 switchport trunk native vlan 27 ! Interface Ethernet1/0/18 switchport mode trunk switchport trunk allowed vlan 28;4000 switchport trunk native vlan 28 ! Interface Ethernet1/0/19 switchport mode trunk switchport trunk allowed vlan 29;4000 switchport trunk native vlan 29 ! Interface Ethernet1/0/20 switchport mode trunk switchport trunk allowed vlan 30;4000 switchport trunk native vlan 30 ! Interface Ethernet1/0/21 switchport mode trunk switchport trunk allowed vlan 31;4000 switchport trunk native vlan 31 ! Interface Ethernet1/0/22 switchport mode trunk switchport trunk allowed vlan 32;4000 switchport trunk native vlan 32 ! Interface Ethernet1/0/23 switchport mode trunk switchport trunk allowed vlan 33;4000 switchport trunk native vlan 33 ! Interface Ethernet1/0/24 switchport mode trunk switchport trunk allowed vlan 34;4000 switchport trunk native vlan 34 ! #аплинк к ядру Interface Ethernet1/0/25 switchport mode trunk switchport trunk allowed vlan 10;4000 ! Interface Ethernet1/0/26 switchport mode trunk switchport trunk allowed vlan 10;4000 ! Interface Ethernet1/0/27 switchport mode trunk switchport trunk allowed vlan 10;4000 ! Interface Ethernet1/0/28 switchport mode trunk switchport trunk allowed vlan 10;4000 ! #подсеть ядра interface Vlan10 ip address 172.16.0.2 255.255.255.0 ! #подсети доступа interface Vlan11 ip address 172.16.1.1 255.255.255.0 ! interface Vlan12 ip address 172.16.2.1 255.255.255.0 ! interface Vlan13 ip address 172.16.3.1 255.255.255.0 ! interface Vlan14 ip address 172.16.4.1 255.255.255.0 ! interface Vlan15 ip address 172.16.5.1 255.255.255.0 ! interface Vlan16 ip address 172.16.6.1 255.255.255.0 ! interface Vlan17 ip address 172.16.7.1 255.255.255.0 ! interface Vlan18 ip address 172.16.8.1 255.255.255.0 ! interface Vlan19 ip address 172.16.9.1 255.255.255.0 ! interface Vlan20 ip address 172.16.10.1 255.255.255.0 ! interface Vlan21 ip address 172.16.11.1 255.255.255.0 ! interface Vlan22 ip address 172.16.12.1 255.255.255.0 ! interface Vlan23 ip address 172.16.13.1 255.255.255.0 ! interface Vlan24 ip address 172.16.14.1 255.255.255.0 ! interface Vlan25 ip address 172.16.15.1 255.255.255.0 ! interface Vlan26 ip address 172.16.16.1 255.255.255.0 ! interface Vlan27 ip address 172.16.17.1 255.255.255.0 ! interface Vlan28 ip address 172.16.18.1 255.255.255.0 ! interface Vlan29 ip address 172.16.19.1 255.255.255.0 ! interface Vlan30 ip address 172.16.20.1 255.255.255.0 ! interface Vlan31 ip address 172.16.21.1 255.255.255.0 ! interface Vlan32 ip address 172.16.22.1 255.255.255.0 ! interface Vlan33 ip address 172.16.23.1 255.255.255.0 ! interface Vlan34 ip address 172.16.24.1 255.255.255.0 ! #подсеть управления interface Vlan4000 ip address 192.168.16.4 255.255.252.0 ! router ospf ospf router-id 192.168.16.4 network 172.16.0.0/24 area 0.0.0.0 redistribute connected ! sntp server 192.168.16.1 ! no login ! captive-portal ! end При этом клиент с адресом, например, 172.16.1.2 всё равно может получить доступ к влану 4000 через 172.16.1.1. В 4000-м влане также и управление коммутаторами доступа. Изменено 24 августа, 2018 пользователем televid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 29 августа, 2018 · Жалоба В 24.08.2018 в 18:22, televid сказал: Если, например, у меня порты в транке, и на них есть этот влан, то, получается, надо просто назначить всем этим портам этот access-list, вроде такого? Да, именно так. В данном случае нужно добавить либо VACL на все vlan доступа, либо на порты доступа. ACL на интерфейс добавить нельзя. ACL - аппаратная функция, на производительности или пропускной способности это никак не скажется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p0weruser Опубликовано 1 ноября, 2018 · Жалоба Добрый день! Нужно настроить qinq на коммутаторе SNR-S2950-24G SoftWare Version 7.0.3.0(R0013.0002) По мануалу на сайте это сделать не получается. Задача простая: Interface Ethernet1/1 switchport access vlan 2301 ! Interface Ethernet1/2 switchport access vlan 2302 Нужно запаковать vlan 2301-2302 в vlan 2300 и отдать транком в et 1/24. Подскажите, пожалуйста, набор команд для выполнения задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 1 ноября, 2018 · Жалоба @p0weruser, добрый день. Вам ответили в обращении, оставленном вами в support.nag.ru: на коммутаторе SNR-S2950-24G отсутствует поддержка QinQ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hukuta90 Опубликовано 22 ноября, 2018 · Жалоба добрый день 2970g-24s как включить 100мб на порту. медиаконветор загорается только на 1000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 22 ноября, 2018 · Жалоба 4 часа назад, hukuta90 сказал: добрый день 2970g-24s как включить 100мб на порту. медиаконветор загорается только на 1000 Добрый день. conf interface Gi 0/1 speed 100 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hukuta90 Опубликовано 22 ноября, 2018 · Жалоба 15 минут назад, Ivan Tarasenko сказал: Добрый день. conf interface Gi 0/1 speed 100 ! Спасибо, попробуем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gserg Опубликовано 17 декабря, 2018 · Жалоба Здравствуйте. Коммутатор SNR 2985G 24T, Как настроить VLAN. Впервые пытаюсь настроить оборудование от НАГ. Нужно нетегированный трафик из 3 подсетей "пустить во Vlan-ы" чтобы "отдать" его виртуальным хостам по разным VLAN. Или подскажите, какие режимы VLAN у SNR соответствуют Untagget Tagget Notmember по аналогии с DLink/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 17 декабря, 2018 · Жалоба @gserg, здравствуйте! Руководство есть здесь. Для начала создаете нужные vlan: conf vlan 101-103 Для порта с трафиком без тега: conf interface ethernet 1/0/1 switchport mode access switchport access vlan 101 Для порта с тегированным трафиком: conf interface ethernet 1/0/10 switchport mode trunk switchport trunk allowed vlan 101-103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...