Перейти к содержимому
Калькуляторы

Примеры настроек коммутаторов SNR

добрый день, помогите с восстановлением коммутатора, s2970G-24S забыли пароль, пробую войти в boot режим через ctrl+b при включении коммутатора, не заходит, может на данной модели через другую комбинацию вход?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@kid79, добрый. 

На этом коммутаторе зайти в boot режим можно через "ctrl+P". Далее удалить startup-config можно применив команду "delete".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, добрый день!

Железка SNR S2990-24FX

Прошу сильно не пинать, поделитесь настройкой ACl для следующей фантазии.

 

Нужно разрешить ip адреса для vlan'а управления.

 

Возможно ли создать acl типа drop все ip кроме указанных?

например, как у mikrotik через (!) знак

Drop 22 port on servers
      chain=forward action=drop protocol=tcp src-address-list=Servers 
      dst-address-list=!Allow 22 port on server src-port=22 log=no 
      log-prefix=""

 

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Voloda сказал:

Нужно разрешить ip адреса для vlan'а управления.

Добрый день!

Да, для этого можно создать правило deny, например так:

ip access-list extended test
 deny ip 10.0.0.0 0.0.0.255 any-destination
 exit

Далее можно применить ACL на один из VLAN:

vacl ip access-group test in vlan 1

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 часов назад, Ivan Tarasenko сказал:

Добрый день!

Да, для этого можно создать правило deny, например так:


ip access-list extended test
 deny ip 10.0.0.0 0.0.0.255 any-destination
 exit

Далее можно применить ACL на один из VLAN:


vacl ip access-group test in vlan 1

 

Спасибо за пример! 

Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8.

 

А как сделать, ограничить всё и разрешить нужные адреса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, Voloda сказал:

Спасибо за пример! 

Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8.

 

А как сделать, ограничить всё и разрешить нужные адреса?

Например так:

ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 минуты назад, Ivan Tarasenko сказал:

Например так:


ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Спасибо! То, что надо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

57 минут назад, Voloda сказал:

Спасибо! То, что надо!

Если нужно ограничить доступ к авторизации на коммутаторе, можно воспользоваться следующим функционалом:

authentication ip access-class test in ssh
authentication ip access-class test in web
authentication ip access-class test in telnet

В этом случае правило deny any в ACL не потребуется. Если применить команду "authentication ip access-class test in" без указания протокола, ACL будет применен и на другой трафик к CPU коммутатора, используемый для установки соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

24 минуты назад, Voloda сказал:

Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995.

Добрый день!

 

Необходимо в конце добавить 'secondary'.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, Aleksey Sonkin сказал:

Добрый день!

 

Необходимо в конце добавить 'secondary'.

Спасибо! А не подскажете до скольки адресов можно назначить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, Voloda сказал:

Спасибо! А не подскажете до скольки адресов можно назначить?

до 32 secondary.

Изменено пользователем Aleksey Sonkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10.01.2019 в 16:32, Ivan Tarasenko сказал:

Например так:


ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?!

SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists
ip access-list extended MNG(used 1 time(s)) 3 rule(s)
   rule ID 1: permit ip host-source 10.0.110.100 any-destination
   rule ID 2: deny ip any-source any-destination
   rule ID 3: permit ip host-source 10.0.100.100 any-destination

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Voloda сказал:

Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?!


SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists
ip access-list extended MNG(used 1 time(s)) 3 rule(s)
   rule ID 1: permit ip host-source 10.0.110.100 any-destination
   rule ID 2: deny ip any-source any-destination
   rule ID 3: permit ip host-source 10.0.100.100 any-destination

 

Такой возможности нет. В вашем случае можно пересоздать deny правило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, Aleksey Sonkin сказал:

Такой возможности нет. В вашем случае можно пересоздать deny правило.

а есть другие случаи когда можно обойтись без этого?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 минуты назад, Voloda сказал:

а есть другие случаи когда можно обойтись без этого?

 

Можно, к примеру, отредактировать конфиг на TFTP-сервере и залить на коммутатор.  Первый вариант не потребует перезагрузки, поэтому в Вашем случае он наиболее уместен.

Изменено пользователем Aleksey Sonkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не могу понять как настроить режим работы LACP

Настроил порты и создал группу, а вот режим задать не могу...

 

SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/1
!
Interface Ethernet1/0/1
 description Bond
 switchport mode trunk
 port-group 1 mode active
!
SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/2
!
Interface Ethernet1/0/2
 description Bond
 switchport mode trunk
 port-group 1 mode active
!
SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/3
!
Interface Ethernet1/0/3
 description Bond
 switchport mode trunk
 port-group 1 mode active

создал фейс группы:

SNR-S2995G-24FX(config-if-port-channel1)#show run int port-channel 1
!
Interface Port-Channel1
 description Bond

А вот режима тут нет...

Скрытый текст

SNR-S2995G-24FX(config-if-port-channel1)#?
 commands:
  show              Show running system information
  anti-arpscan      Anti-arpscan
  description       Set alias name
  dot1q-tunnel      Dot1q-tunnel
  end               End current mode and change to EXEC mode
  erps-ring         Ethernet ring running G.8032
  ethernet          Ethernet
  exit              End current mode and down to previous mode
  fulleaps          FULL Ethernet Automatic Protection Switching
  gmrp              Enable GMRP
  gvrp              Enable GVRP
  help              Description of the interactive help system
  igmp              Internet Group Management Protocol
  interface         Select an interface to configure
  ip                Internet protocol
  ipv6              IPv6 information
  logging           Logging
  mac-notification  MAC address information notification message transmit
  mrpp              Multi-layer Ring Protection Protocol
  no                Negate a command or set its defaults
  pppoe             PPPOE intermediate Agent
  service-policy    Configure QoS Service Policy
  shutdown          Shutdown the selected interface
  spanning-tree     Spanning-tree config
  switchport        Set switchport character
  ulpp              Uplink Protection Protocol
  ulsm              Uplink State Monitor
  vlan              Vlan Commands
  vlan-translation  Vlan translation
  vsf               Virtual Switch Framework
 

 

Хотя в доке есть Картинка

 

SNR-S2995G-24FX(config-if-port-channel1)#show port-group 1 brief
ID: port group number;  Mode: port group mode such as on active or passive;
Ports: different types of port number of a port group,
       the first is selected ports number, the second is standby ports number, and
       the third is unselected ports number.

ID   Mode     Partner ID                  Ports       Load-balance
------------------------------------------------------------------
1    active   0x0000,00-00-00-00-00-00    0,0,3       dst-src-mac

а мне нужен dst-src-IP

Изменено пользователем Voloda

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Voloda сказал:

Хотя в доке есть Картинка

На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, azhur сказал:

На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора.

Стыд и срам... Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Voloda сказал:

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

UP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Voloda сказал:

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

Количество маршрутов отображается в конце вывода "show ip route static".

Количество интерфейсов можно узнать через connected маршруты  "show ip route connected", где также в конце есть счетчик. 

Суммарная информация "show ip route statistics".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, скажите, а может быть в ACL вложенность ACL?

 

Например:

deny ip ACL1 any-destination
deny ip any-source ACL2
deny ip ACL3 ACL5

есть задача для десятка IP адресов в vlane разрешить 3-4 адреса, а остальное закрыть. Таких вланов штук 30... Если есть у кого подобный опыт поделитесь плиз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Voloda, подобной вложенности нет.

Возможно конфигурацию упростит применение ACL сразу к vlan, а не отдельном портам, например:

vacl ip access-group <ACL-name> in

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, Victor Tkachenko сказал:

@Voloda, подобной вложенности нет.

Возможно конфигурацию упростит применение ACL сразу к vlan, а не отдельном портам, например:


vacl ip access-group <ACL-name> in

 

Попробовал сделать один ACL, перспектива не радостная или это вполне нормально?

Скрытый текст


ip access-list extended Mend,1-guest(used 0 time(s)) 45 rule(s)
   rule ID 1: permit ip host-source 10.5.201.200 host-destination 10.0.100.1
   rule ID 2: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 3: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 4: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 5: permit ip host-source 10.5.201.201 host-destination 10.0.100.1
   rule ID 6: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 7: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 8: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 9: permit ip host-source 10.5.201.202 host-destination 10.0.100.1
   rule ID 10: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 11: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 12: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 13: permit ip host-source 10.5.201.203 host-destination 10.0.100.1
   rule ID 14: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 15: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 16: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 17: permit ip host-source 10.5.201.204 host-destination 10.0.100.1
   rule ID 18: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 19: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 20: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 21: permit ip host-source 10.5.201.205 host-destination 10.0.100.1
   rule ID 22: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 23: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 24: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 25: permit ip host-source 10.5.201.206 host-destination 10.0.100.1
   rule ID 26: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 27: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 28: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 29: permit ip host-source 10.5.201.207 host-destination 10.0.100.1
   rule ID 30: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 31: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 32: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 33: permit ip host-source 10.5.201.208 host-destination 10.0.100.1
   rule ID 34: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 35: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 36: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 37: deny ip host-source 10.5.201.200 any-destination
   rule ID 38: deny ip host-source 10.5.201.201 any-destination
   rule ID 39: deny ip host-source 10.5.201.202 any-destination
   rule ID 40: deny ip host-source 10.5.201.203 any-destination
   rule ID 41: deny ip host-source 10.5.201.204 any-destination
   rule ID 42: deny ip host-source 10.5.201.205 any-destination
   rule ID 43: deny ip host-source 10.5.201.206 any-destination
   rule ID 44: deny ip host-source 10.5.201.207 any-destination
   rule ID 45: deny ip host-source 10.5.201.208 any-destination

 

Таких листов надо сделать примерно 25-30 шт, интересует как поведет себя нагрузка на коммутатор?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.