kid79 Опубликовано 19 декабря, 2018 · Жалоба добрый день, помогите с восстановлением коммутатора, s2970G-24S забыли пароль, пробую войти в boot режим через ctrl+b при включении коммутатора, не заходит, может на данной модели через другую комбинацию вход? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 19 декабря, 2018 · Жалоба @kid79, добрый. На этом коммутаторе зайти в boot режим можно через "ctrl+P". Далее удалить startup-config можно применив команду "delete". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 9 января, 2019 · Жалоба Коллеги, добрый день! Железка SNR S2990-24FX Прошу сильно не пинать, поделитесь настройкой ACl для следующей фантазии. Нужно разрешить ip адреса для vlan'а управления. Возможно ли создать acl типа drop все ip кроме указанных? например, как у mikrotik через (!) знак Drop 22 port on servers chain=forward action=drop protocol=tcp src-address-list=Servers dst-address-list=!Allow 22 port on server src-port=22 log=no log-prefix="" Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 9 января, 2019 · Жалоба 5 часов назад, Voloda сказал: Нужно разрешить ip адреса для vlan'а управления. Добрый день! Да, для этого можно создать правило deny, например так: ip access-list extended test deny ip 10.0.0.0 0.0.0.255 any-destination exit Далее можно применить ACL на один из VLAN: vacl ip access-group test in vlan 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 10 января, 2019 · Жалоба 18 часов назад, Ivan Tarasenko сказал: Добрый день! Да, для этого можно создать правило deny, например так: ip access-list extended test deny ip 10.0.0.0 0.0.0.255 any-destination exit Далее можно применить ACL на один из VLAN: vacl ip access-group test in vlan 1 Спасибо за пример! Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8. А как сделать, ограничить всё и разрешить нужные адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 10 января, 2019 · Жалоба 5 минут назад, Voloda сказал: Спасибо за пример! Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8. А как сделать, ограничить всё и разрешить нужные адреса? Например так: ip access-list extended test permit ip 10.0.0.0 0.0.0.255 any-destination deny ip any-source any-destination exit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 10 января, 2019 · Жалоба 23 минуты назад, Ivan Tarasenko сказал: Например так: ip access-list extended test permit ip 10.0.0.0 0.0.0.255 any-destination deny ip any-source any-destination exit Спасибо! То, что надо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 10 января, 2019 · Жалоба 57 минут назад, Voloda сказал: Спасибо! То, что надо! Если нужно ограничить доступ к авторизации на коммутаторе, можно воспользоваться следующим функционалом: authentication ip access-class test in ssh authentication ip access-class test in web authentication ip access-class test in telnet В этом случае правило deny any в ACL не потребуется. Если применить команду "authentication ip access-class test in" без указания протокола, ACL будет применен и на другой трафик к CPU коммутатора, используемый для установки соединения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 14 января, 2019 · Жалоба Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 14 января, 2019 · Жалоба 24 минуты назад, Voloda сказал: Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995. Добрый день! Необходимо в конце добавить 'secondary'. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 14 января, 2019 · Жалоба 3 минуты назад, Aleksey Sonkin сказал: Добрый день! Необходимо в конце добавить 'secondary'. Спасибо! А не подскажете до скольки адресов можно назначить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 14 января, 2019 (изменено) · Жалоба 7 минут назад, Voloda сказал: Спасибо! А не подскажете до скольки адресов можно назначить? до 32 secondary. Изменено 14 января, 2019 пользователем Aleksey Sonkin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 15 января, 2019 · Жалоба В 10.01.2019 в 16:32, Ivan Tarasenko сказал: Например так: ip access-list extended test permit ip 10.0.0.0 0.0.0.255 any-destination deny ip any-source any-destination exit Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?! SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists ip access-list extended MNG(used 1 time(s)) 3 rule(s) rule ID 1: permit ip host-source 10.0.110.100 any-destination rule ID 2: deny ip any-source any-destination rule ID 3: permit ip host-source 10.0.100.100 any-destination Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 15 января, 2019 · Жалоба 2 часа назад, Voloda сказал: Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?! SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists ip access-list extended MNG(used 1 time(s)) 3 rule(s) rule ID 1: permit ip host-source 10.0.110.100 any-destination rule ID 2: deny ip any-source any-destination rule ID 3: permit ip host-source 10.0.100.100 any-destination Такой возможности нет. В вашем случае можно пересоздать deny правило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 15 января, 2019 · Жалоба 10 минут назад, Aleksey Sonkin сказал: Такой возможности нет. В вашем случае можно пересоздать deny правило. а есть другие случаи когда можно обойтись без этого? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 15 января, 2019 (изменено) · Жалоба 23 минуты назад, Voloda сказал: а есть другие случаи когда можно обойтись без этого? Можно, к примеру, отредактировать конфиг на TFTP-сервере и залить на коммутатор. Первый вариант не потребует перезагрузки, поэтому в Вашем случае он наиболее уместен. Изменено 15 января, 2019 пользователем Aleksey Sonkin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 17 января, 2019 · Жалоба Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов? типа show interface vlan count show interface route count Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 17 января, 2019 (изменено) · Жалоба не могу понять как настроить режим работы LACP Настроил порты и создал группу, а вот режим задать не могу... SNR-S2995G-24FX(config-if-port-channel1)#show run int eth 1/0/1 ! Interface Ethernet1/0/1 description Bond switchport mode trunk port-group 1 mode active ! SNR-S2995G-24FX(config-if-port-channel1)#show run int eth 1/0/2 ! Interface Ethernet1/0/2 description Bond switchport mode trunk port-group 1 mode active ! SNR-S2995G-24FX(config-if-port-channel1)#show run int eth 1/0/3 ! Interface Ethernet1/0/3 description Bond switchport mode trunk port-group 1 mode active создал фейс группы: SNR-S2995G-24FX(config-if-port-channel1)#show run int port-channel 1 ! Interface Port-Channel1 description Bond А вот режима тут нет... Скрытый текст SNR-S2995G-24FX(config-if-port-channel1)#? commands: show Show running system information anti-arpscan Anti-arpscan description Set alias name dot1q-tunnel Dot1q-tunnel end End current mode and change to EXEC mode erps-ring Ethernet ring running G.8032 ethernet Ethernet exit End current mode and down to previous mode fulleaps FULL Ethernet Automatic Protection Switching gmrp Enable GMRP gvrp Enable GVRP help Description of the interactive help system igmp Internet Group Management Protocol interface Select an interface to configure ip Internet protocol ipv6 IPv6 information logging Logging mac-notification MAC address information notification message transmit mrpp Multi-layer Ring Protection Protocol no Negate a command or set its defaults pppoe PPPOE intermediate Agent service-policy Configure QoS Service Policy shutdown Shutdown the selected interface spanning-tree Spanning-tree config switchport Set switchport character ulpp Uplink Protection Protocol ulsm Uplink State Monitor vlan Vlan Commands vlan-translation Vlan translation vsf Virtual Switch Framework Хотя в доке есть Картинка SNR-S2995G-24FX(config-if-port-channel1)#show port-group 1 brief ID: port group number; Mode: port group mode such as on active or passive; Ports: different types of port number of a port group, the first is selected ports number, the second is standby ports number, and the third is unselected ports number. ID Mode Partner ID Ports Load-balance ------------------------------------------------------------------ 1 active 0x0000,00-00-00-00-00-00 0,0,3 dst-src-mac а мне нужен dst-src-IP Изменено 17 января, 2019 пользователем Voloda Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 17 января, 2019 · Жалоба 1 час назад, Voloda сказал: Хотя в доке есть Картинка На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 17 января, 2019 · Жалоба 10 минут назад, azhur сказал: На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора. Стыд и срам... Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 17 января, 2019 · Жалоба 4 часа назад, Voloda сказал: Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов? типа show interface vlan count show interface route count UP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 17 января, 2019 · Жалоба 6 часов назад, Voloda сказал: Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов? типа show interface vlan count show interface route count Количество маршрутов отображается в конце вывода "show ip route static". Количество интерфейсов можно узнать через connected маршруты "show ip route connected", где также в конце есть счетчик. Суммарная информация "show ip route statistics". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 21 января, 2019 · Жалоба Коллеги, скажите, а может быть в ACL вложенность ACL? Например: deny ip ACL1 any-destination deny ip any-source ACL2 deny ip ACL3 ACL5 есть задача для десятка IP адресов в vlane разрешить 3-4 адреса, а остальное закрыть. Таких вланов штук 30... Если есть у кого подобный опыт поделитесь плиз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 21 января, 2019 · Жалоба @Voloda, подобной вложенности нет. Возможно конфигурацию упростит применение ACL сразу к vlan, а не отдельном портам, например: vacl ip access-group <ACL-name> in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voloda Опубликовано 22 января, 2019 · Жалоба 11 часов назад, Victor Tkachenko сказал: @Voloda, подобной вложенности нет. Возможно конфигурацию упростит применение ACL сразу к vlan, а не отдельном портам, например: vacl ip access-group <ACL-name> in Попробовал сделать один ACL, перспектива не радостная или это вполне нормально? Скрытый текст ip access-list extended Mend,1-guest(used 0 time(s)) 45 rule(s) rule ID 1: permit ip host-source 10.5.201.200 host-destination 10.0.100.1 rule ID 2: permit ip host-source 10.5.201.200 host-destination 96.xxx rule ID 3: permit ip host-source 10.5.201.200 host-destination 96.xxx rule ID 4: permit ip host-source 10.5.201.200 host-destination 96.xxx rule ID 5: permit ip host-source 10.5.201.201 host-destination 10.0.100.1 rule ID 6: permit ip host-source 10.5.201.201 host-destination 96.xxx rule ID 7: permit ip host-source 10.5.201.201 host-destination 96.xxx rule ID 8: permit ip host-source 10.5.201.201 host-destination 96.xxx rule ID 9: permit ip host-source 10.5.201.202 host-destination 10.0.100.1 rule ID 10: permit ip host-source 10.5.201.202 host-destination 96.xxx rule ID 11: permit ip host-source 10.5.201.202 host-destination 96.xxx rule ID 12: permit ip host-source 10.5.201.202 host-destination 96.xxx rule ID 13: permit ip host-source 10.5.201.203 host-destination 10.0.100.1 rule ID 14: permit ip host-source 10.5.201.203 host-destination 96.xxx rule ID 15: permit ip host-source 10.5.201.203 host-destination 96.xxx rule ID 16: permit ip host-source 10.5.201.203 host-destination 96.xxx rule ID 17: permit ip host-source 10.5.201.204 host-destination 10.0.100.1 rule ID 18: permit ip host-source 10.5.201.204 host-destination 96.xxx rule ID 19: permit ip host-source 10.5.201.204 host-destination 96.xxx rule ID 20: permit ip host-source 10.5.201.204 host-destination 96.xxx rule ID 21: permit ip host-source 10.5.201.205 host-destination 10.0.100.1 rule ID 22: permit ip host-source 10.5.201.205 host-destination 96.xxx rule ID 23: permit ip host-source 10.5.201.205 host-destination 96.xxx rule ID 24: permit ip host-source 10.5.201.205 host-destination 96.xxx rule ID 25: permit ip host-source 10.5.201.206 host-destination 10.0.100.1 rule ID 26: permit ip host-source 10.5.201.206 host-destination 96.xxx rule ID 27: permit ip host-source 10.5.201.206 host-destination 96.xxx rule ID 28: permit ip host-source 10.5.201.206 host-destination 96.xxx rule ID 29: permit ip host-source 10.5.201.207 host-destination 10.0.100.1 rule ID 30: permit ip host-source 10.5.201.207 host-destination 96.xxx rule ID 31: permit ip host-source 10.5.201.207 host-destination 96.xxx rule ID 32: permit ip host-source 10.5.201.207 host-destination 96.xxx rule ID 33: permit ip host-source 10.5.201.208 host-destination 10.0.100.1 rule ID 34: permit ip host-source 10.5.201.208 host-destination 96.xxx rule ID 35: permit ip host-source 10.5.201.208 host-destination 96.xxx rule ID 36: permit ip host-source 10.5.201.208 host-destination 96.xxx rule ID 37: deny ip host-source 10.5.201.200 any-destination rule ID 38: deny ip host-source 10.5.201.201 any-destination rule ID 39: deny ip host-source 10.5.201.202 any-destination rule ID 40: deny ip host-source 10.5.201.203 any-destination rule ID 41: deny ip host-source 10.5.201.204 any-destination rule ID 42: deny ip host-source 10.5.201.205 any-destination rule ID 43: deny ip host-source 10.5.201.206 any-destination rule ID 44: deny ip host-source 10.5.201.207 any-destination rule ID 45: deny ip host-source 10.5.201.208 any-destination Таких листов надо сделать примерно 25-30 шт, интересует как поведет себя нагрузка на коммутатор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...