waspagv Опубликовано 21 апреля, 2021 · Жалоба 57 минут назад, Aleksey Sonkin сказал: @waspagv разницы в порядке правил нет, так что insert-before излишен Без него новый class в политику не добавляется, а заменяет старый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 21 апреля, 2021 · Жалоба @waspagv какая последовательность действий? у меня все получилось и без insert-before, что логично Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
waspagv Опубликовано 21 апреля, 2021 · Жалоба @Aleksey Sonkin не сохранил тот протокол, а повторить не смог, действительно, получается как надо. Предполагаю, что не послал команду exit после add s-vid 511. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
waspagv Опубликовано 19 июля, 2021 · Жалоба Вопрос по протоколам pvst и rstp. Для построения колец на коммутаторах SNR мы используем протокол rstp. А чтобы защититься от клиентов применяем фильтр: mac-access-list extended PVST deny any-source-mac host-destination-mac 01-00-0c-cc-cc-cd exit обычно в таком варианте Interface Ethernet1/0/1 spanning-tree portfast bpdufilter switchport mode trunk switchport trunk allowed vlan 10;12;35 mac access-group PVST in ! Если порт не граничный, и portfast там не допустим, то при такой настройке Interface Ethernet1/0/1 spanning-tree mst 0 cost 2000 switchport mode trunk switchport trunk allowed vlan 10;12;35 mac access-group PVST in ! будет ли корректно работать STP? Т.е. не помещается ли mac access-group PVST in обмену BPDU и построению дерева? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 20 июля, 2021 · Жалоба @waspagv Добрый день. Все что делает такой ACL - блокирует цисочные PVST BPDU, что вам и надо. RSTP/MSTP это не помешает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 2 ноября, 2021 (изменено) · Жалоба Коллеги, здравствуйте! Есть SNR S2995G-12FX, на нем два аплинка с разных атс с одинаковыми влан. Как настроить свич, чтобы при отключении 1-го аплинк, автоматом поднимался второй? Изменено 2 ноября, 2021 пользователем alish13 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 2 ноября, 2021 · Жалоба @alish13 Добрый день! При отключении = при падении линка? Покажите схему полностью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 2 ноября, 2021 (изменено) · Жалоба Необходимо один порт в стендбай второй активный то есть один аплинк упал, второй включился Изменено 2 ноября, 2021 пользователем alish13 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 2 ноября, 2021 (изменено) · Жалоба Кто-то делал подобную схему через erps, но только при условии что у вас пропадает физика. Вроде проскакивало недавно тут или в телеге. Изменено 2 ноября, 2021 пользователем ShumBor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alish13 Опубликовано 2 ноября, 2021 · Жалоба Спасибо, как раз про физику и речь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 2 ноября, 2021 · Жалоба @alish13 Просто настраиваете ERPS только на S2995G, один порт как owner, второй common. Control VLAN выбираете любой. При падении owner разблокируется второй порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 5 ноября, 2021 · Жалоба Подскажите, является ли функционал dhcp snooping binding user-contro аналогом port-security ?если нет, в чем различия? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 5 ноября, 2021 · Жалоба @andpuxa Добрый день. Нет, не является. DHCP snooping binding user-control = port + IP + MAC. Port security = port + MAC. Ну и DHCP snooping binding - это для адресов, получаемых по DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 5 ноября, 2021 · Жалоба Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 7 ноября, 2021 (изменено) · Жалоба можно более широкое пояснение по binding user-control. в данный момент есть необходимость ограничить абонентский порт двумя статичными маками. сделано так: switchport port-security switchport port-security maximum 2 switchport port-security mac-address sticky switchport port-security violation shutdown recovery 30 адресация в сети динамическая. судя по доками, при binding user-control тоже создаются статичные arp записи, но как они управляются и работают. если допустим, мак клиента на порту поменялся, как поведет себя свитч, заблочит или обновит записи, если параметр max-user превышен? или он считает максимальное количество маков на порту в текущее время? биллинга нет, адреса выделяются из общего пула. в общем, какой способ лучше оставить, ну и пояснение по вопросам выше, если можно Изменено 7 ноября, 2021 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 8 ноября, 2021 · Жалоба @andpuxa Добрый день! Информация о функционале есть в нашей базе знаний. Прочитайте, пожалуйста, статью полностью. Если будут вопросы - готовы помочь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 8 ноября, 2021 · Жалоба статью читал, как раз по P.S. вопросов нет, есть про binding user-control Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 8 ноября, 2021 · Жалоба @andpuxa изначально не так понял ваш вопрос. К примеру, у вас прописано max-users 2 и на текущий момент уже два мака будет изучено. В таком случае мак-адрес в таблице появится, но с флагом D (для успешной работы необходимо два флага - DL). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 9 ноября, 2021 · Жалоба спасибо, еще вопрос, я правильно понимаю, что если в на порт в транке с native vlan 10 попадет тегированный траффик с vlan 10, транк снимет этот тэг c этого кадра, и далее он пойдет untag ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 9 ноября, 2021 · Жалоба @andpuxa Да, на egress тег снимется в режиме trunk. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 15 ноября, 2021 (изменено) · Жалоба добрый день, каким образом снимается привязка mac-ip к порту установленная командой: ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 1? Изменено 15 ноября, 2021 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 15 ноября, 2021 · Жалоба @andpuxa #clear ip dhcp snooping binding ? all All information interface Interface setting mac Configure mac address vlan Configure vlan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 16 ноября, 2021 · Жалоба В 15.11.2021 в 12:41, Aleksey Sonkin сказал: @andpuxa #clear ip dhcp snooping binding ? all All information interface Interface setting mac Configure mac address vlan Configure vlan ок, а как заблокированные маки очищать? делаю так: sh ip dhcp snooping blocked int e1/0/39 Interface Vlan ID MAC IP address Date ------------------------------------------------------------------------------------------------- Ethernet1/0/39 14 0c-11-05-02-36-44 192.168.14.79 Tue Nov 16 01:02:40 2021 ip dhcp snooping blocked record count:1 #clear ip dhcp snooping blocked all Interface Vlan ID MAC IP address Date ------------------------------------------------------------------------------------------------- ip dhcp snooping blocked record count:0 ------------------------------------------------------------------------------------------------- cново проверяю: sh ip dhcp snooping blocked int e1/0/39 Interface Vlan ID MAC IP address Date ------------------------------------------------------------------------------------------------- Ethernet1/0/39 14 0c-11-05-02-36-44 192.168.14.79 Tue Nov 16 09:36:16 2021 что делаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 ноября, 2021 · Жалоба В 16.11.2021 в 08:37, andpuxa сказал: что делаю не так? Всё делаешь так: Ethernet1/0/39 14 0c-11-05-02-36-44 192.168.14.79 Tue Nov 16 01:02:40 2021 Ethernet1/0/39 14 0c-11-05-02-36-44 192.168.14.79 Tue Nov 16 09:36:16 2021 Ты почистил, а оно снова добавилось. Чтобы не добавлялось, надо отключить дхцп снуп бинд на порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 16 ноября, 2021 (изменено) · Жалоба В 16.11.2021 в 10:08, pppoetest сказал: Всё делаешь так: Ethernet1/0/39 14 0c-11-05-02-36-44 192.168.14.79 Tue Nov 16 01:02:40 2021 Ethernet1/0/39 14 0c-11-05-02-36-44 192.168.14.79 Tue Nov 16 09:36:16 2021 Ты почистил, а оно снова добавилось. Чтобы не добавлялось, надо отключить дхцп снуп бинд на порту. поясни, надо: no ip dhcp snooping binding user-control или clear ip dhcp snooping binding на порту? по сути, меня интересует практическая сторона применения функционала, те. если на порт прилетел другой мак, последовательность действий, что бы разрешить ему работу upd: не получается, делаю так: no ip dhcp snooping binding user-control clear ip dhcp snooping blocked ip dhcp snooping binding user-control заблокированный мак снова появляется в таблице (( Изменено 16 ноября, 2021 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...