[waspagv]

57 минут назад, Aleksey Sonkin сказал:

@waspagv разницы в порядке правил нет, так что insert-before излишен

Без него новый class в политику не добавляется, а заменяет старый.

[Aleksey Sonkin]

@waspagv какая последовательность действий? у меня все получилось и без insert-before, что логично

[waspagv]

@Aleksey Sonkin не сохранил тот протокол, а повторить не смог, действительно, получается как надо. Предполагаю, что не послал команду exit после add s-vid 511.

[waspagv]

Вопрос по протоколам pvst и rstp. Для построения колец на коммутаторах SNR мы используем протокол rstp. А чтобы защититься от клиентов применяем фильтр:

mac-access-list extended PVST
  deny any-source-mac host-destination-mac 01-00-0c-cc-cc-cd
  exit

обычно в таком варианте

Interface Ethernet1/0/1
 spanning-tree portfast bpdufilter
 switchport mode trunk
 switchport trunk allowed vlan 10;12;35
 mac access-group PVST in
!

Если порт не граничный, и portfast там не допустим, то при такой настройке

Interface Ethernet1/0/1
 spanning-tree mst 0 cost 2000
 switchport mode trunk
 switchport trunk allowed vlan 10;12;35
 mac access-group PVST in
!

будет ли корректно работать STP? Т.е. не помещается ли mac access-group PVST in обмену BPDU и построению дерева?

[Evgeny Mirhasanov]

@waspagv Добрый день. Все что делает такой ACL - блокирует цисочные PVST BPDU, что вам и надо. RSTP/MSTP это не помешает.

[alish13]

Коллеги, здравствуйте!

Есть SNR S2995G-12FX, на нем два аплинка с разных атс с одинаковыми влан. Как настроить свич, чтобы при отключении 1-го аплинк, автоматом поднимался второй?

 

Изменено 2 ноября, 2021 пользователем alish13

[Aleksey Sonkin]

@alish13 Добрый день! При отключении = при падении линка? Покажите схему полностью.

[alish13]

Необходимо один порт в стендбай второй активный то есть один аплинк упал, второй включился

 

Изменено 2 ноября, 2021 пользователем alish13

[ShumBor]

Кто-то делал подобную схему через erps, но только при условии  что у вас пропадает физика. 

Вроде проскакивало недавно тут или в телеге.

Изменено 2 ноября, 2021 пользователем ShumBor

[alish13]

Спасибо, как раз про физику и речь.

 

[Aleksey Sonkin]

@alish13 Просто настраиваете ERPS только на S2995G, один порт как owner, второй common. Control VLAN выбираете любой. При падении owner разблокируется второй порт.

[andpuxa]

Подскажите, является ли функционал dhcp snooping binding user-contro аналогом port-security ?если нет, в чем различия?

[Evgeny Mirhasanov]

@andpuxa Добрый день. Нет, не является. DHCP snooping binding user-control = port + IP + MAC. Port security = port + MAC. Ну и DHCP snooping binding - это для адресов, получаемых по DHCP.

[andpuxa]

Спасибо

[andpuxa]

можно более широкое пояснение по binding user-control. в данный момент есть необходимость ограничить абонентский порт двумя статичными маками.

сделано так:

switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security violation shutdown recovery 30

 

адресация в сети динамическая. судя по доками, при binding user-control тоже создаются статичные arp записи, но как они управляются и работают. если допустим, мак клиента на порту поменялся, как поведет себя свитч, заблочит или обновит записи, если параметр max-user превышен? или он считает максимальное количество маков на порту в текущее время? биллинга нет, адреса выделяются из общего пула.

 

в общем, какой способ лучше оставить, ну и пояснение по вопросам выше, если можно

 

Изменено 7 ноября, 2021 пользователем andpuxa

[Aleksey Sonkin]

@andpuxa Добрый день! Информация о функционале есть в нашей базе знаний. Прочитайте, пожалуйста, статью полностью. Если будут вопросы - готовы помочь.

[andpuxa]

статью читал, как раз по P.S. вопросов нет, есть про binding user-control

[Aleksey Sonkin]

@andpuxa изначально не так понял ваш вопрос. К примеру, у вас прописано max-users 2 и на текущий момент уже два мака будет изучено. В таком случае мак-адрес в таблице появится, но с флагом D (для успешной работы необходимо два флага - DL).

[andpuxa]

спасибо, еще вопрос, я правильно понимаю, что если в на порт в транке с native vlan 10 попадет тегированный траффик с vlan 10, транк снимет этот тэг c этого кадра, и далее он пойдет untag ? 

[Aleksey Sonkin]

@andpuxa Да, на egress тег снимется в режиме trunk.

[andpuxa]

добрый день, каким образом снимается привязка mac-ip к порту установленная командой:

 ip dhcp snooping binding user-control

 ip dhcp snooping binding user-control max-user 1?

Изменено 15 ноября, 2021 пользователем andpuxa

[Aleksey Sonkin]

@andpuxa

#clear ip dhcp snooping binding ?
  all        All information
  interface  Interface setting
  mac        Configure mac address
  vlan       Configure vlan

 

[andpuxa]

В 15.11.2021 в 12:41, Aleksey Sonkin сказал:

@andpuxa

#clear ip dhcp snooping binding ?
  all        All information
  interface  Interface setting
  mac        Configure mac address
  vlan       Configure vlan

 

ок, а как заблокированные маки очищать?

делаю так:

 

sh ip dhcp snooping blocked int e1/0/39

Interface           Vlan ID      MAC                 IP address          Date
-------------------------------------------------------------------------------------------------
Ethernet1/0/39      14           0c-11-05-02-36-44   192.168.14.79       Tue Nov 16 01:02:40 2021
ip dhcp snooping blocked record count:1

 

 

#clear ip dhcp snooping blocked all

 

Interface           Vlan ID      MAC                 IP address          Date
-------------------------------------------------------------------------------------------------
ip dhcp snooping blocked record count:0
-------------------------------------------------------------------------------------------------

 

cново проверяю:

sh ip dhcp snooping blocked int e1/0/39

Interface           Vlan ID      MAC                 IP address          Date
-------------------------------------------------------------------------------------------------
Ethernet1/0/39      14           0c-11-05-02-36-44   192.168.14.79       Tue Nov 16 09:36:16 2021

 

что делаю не так?

[pppoetest]

В 16.11.2021 в 08:37, andpuxa сказал:

что делаю не так?

Всё делаешь так:

Ethernet1/0/39      14           0c-11-05-02-36-44   192.168.14.79       Tue Nov 16 01:02:40 2021

Ethernet1/0/39      14           0c-11-05-02-36-44   192.168.14.79       Tue Nov 16 09:36:16 2021

Ты почистил, а оно снова добавилось. Чтобы не добавлялось, надо отключить дхцп снуп бинд на порту.

[andpuxa]

В 16.11.2021 в 10:08, pppoetest сказал:

Всё делаешь так:

Ethernet1/0/39      14           0c-11-05-02-36-44   192.168.14.79       Tue Nov 16 01:02:40 2021

Ethernet1/0/39      14           0c-11-05-02-36-44   192.168.14.79       Tue Nov 16 09:36:16 2021

Ты почистил, а оно снова добавилось. Чтобы не добавлялось, надо отключить дхцп снуп бинд на порту.

поясни, надо:

no ip dhcp snooping binding user-control 

или

clear ip dhcp snooping binding

на порту?

 

по сути, меня интересует практическая сторона применения функционала, те. если на порт прилетел другой мак, последовательность действий, что бы разрешить ему работу

 

upd:

не получается, делаю так:

no ip dhcp snooping binding user-control

clear ip dhcp snooping blocked

ip dhcp snooping binding user-control

 

заблокированный мак снова появляется в таблице ((

 

Изменено 16 ноября, 2021 пользователем andpuxa