Jump to content
Калькуляторы

Примеры настроек коммутаторов SNR

добрый день, помогите с восстановлением коммутатора, s2970G-24S забыли пароль, пробую войти в boot режим через ctrl+b при включении коммутатора, не заходит, может на данной модели через другую комбинацию вход?

Share this post


Link to post
Share on other sites

@kid79, добрый. 

На этом коммутаторе зайти в boot режим можно через "ctrl+P". Далее удалить startup-config можно применив команду "delete".

Share this post


Link to post
Share on other sites

Коллеги, добрый день!

Железка SNR S2990-24FX

Прошу сильно не пинать, поделитесь настройкой ACl для следующей фантазии.

 

Нужно разрешить ip адреса для vlan'а управления.

 

Возможно ли создать acl типа drop все ip кроме указанных?

например, как у mikrotik через (!) знак

Drop 22 port on servers
      chain=forward action=drop protocol=tcp src-address-list=Servers 
      dst-address-list=!Allow 22 port on server src-port=22 log=no 
      log-prefix=""

 

Спасибо!

Share this post


Link to post
Share on other sites
5 часов назад, Voloda сказал:

Нужно разрешить ip адреса для vlan'а управления.

Добрый день!

Да, для этого можно создать правило deny, например так:

ip access-list extended test
 deny ip 10.0.0.0 0.0.0.255 any-destination
 exit

Далее можно применить ACL на один из VLAN:

vacl ip access-group test in vlan 1

 

Share this post


Link to post
Share on other sites
18 часов назад, Ivan Tarasenko сказал:

Добрый день!

Да, для этого можно создать правило deny, например так:


ip access-list extended test
 deny ip 10.0.0.0 0.0.0.255 any-destination
 exit

Далее можно применить ACL на один из VLAN:


vacl ip access-group test in vlan 1

 

Спасибо за пример! 

Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8.

 

А как сделать, ограничить всё и разрешить нужные адреса?

Share this post


Link to post
Share on other sites
5 минут назад, Voloda сказал:

Спасибо за пример! 

Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8.

 

А как сделать, ограничить всё и разрешить нужные адреса?

Например так:

ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Share this post


Link to post
Share on other sites
23 минуты назад, Ivan Tarasenko сказал:

Например так:


ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Спасибо! То, что надо!

Share this post


Link to post
Share on other sites
57 минут назад, Voloda сказал:

Спасибо! То, что надо!

Если нужно ограничить доступ к авторизации на коммутаторе, можно воспользоваться следующим функционалом:

authentication ip access-class test in ssh
authentication ip access-class test in web
authentication ip access-class test in telnet

В этом случае правило deny any в ACL не потребуется. Если применить команду "authentication ip access-class test in" без указания протокола, ACL будет применен и на другой трафик к CPU коммутатора, используемый для установки соединения.

Share this post


Link to post
Share on other sites

Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995.

Share this post


Link to post
Share on other sites
24 минуты назад, Voloda сказал:

Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995.

Добрый день!

 

Необходимо в конце добавить 'secondary'.

Share this post


Link to post
Share on other sites
3 минуты назад, Aleksey Sonkin сказал:

Добрый день!

 

Необходимо в конце добавить 'secondary'.

Спасибо! А не подскажете до скольки адресов можно назначить?

Share this post


Link to post
Share on other sites
7 минут назад, Voloda сказал:

Спасибо! А не подскажете до скольки адресов можно назначить?

до 32 secondary.

Edited by Aleksey Sonkin

Share this post


Link to post
Share on other sites
В 10.01.2019 в 16:32, Ivan Tarasenko сказал:

Например так:


ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?!

SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists
ip access-list extended MNG(used 1 time(s)) 3 rule(s)
   rule ID 1: permit ip host-source 10.0.110.100 any-destination
   rule ID 2: deny ip any-source any-destination
   rule ID 3: permit ip host-source 10.0.100.100 any-destination

 

Share this post


Link to post
Share on other sites
2 часа назад, Voloda сказал:

Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?!


SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists
ip access-list extended MNG(used 1 time(s)) 3 rule(s)
   rule ID 1: permit ip host-source 10.0.110.100 any-destination
   rule ID 2: deny ip any-source any-destination
   rule ID 3: permit ip host-source 10.0.100.100 any-destination

 

Такой возможности нет. В вашем случае можно пересоздать deny правило.

Share this post


Link to post
Share on other sites
10 минут назад, Aleksey Sonkin сказал:

Такой возможности нет. В вашем случае можно пересоздать deny правило.

а есть другие случаи когда можно обойтись без этого?

 

Share this post


Link to post
Share on other sites
23 минуты назад, Voloda сказал:

а есть другие случаи когда можно обойтись без этого?

 

Можно, к примеру, отредактировать конфиг на TFTP-сервере и залить на коммутатор.  Первый вариант не потребует перезагрузки, поэтому в Вашем случае он наиболее уместен.

Edited by Aleksey Sonkin

Share this post


Link to post
Share on other sites

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

Share this post


Link to post
Share on other sites

не могу понять как настроить режим работы LACP

Настроил порты и создал группу, а вот режим задать не могу...

 

SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/1
!
Interface Ethernet1/0/1
 description Bond
 switchport mode trunk
 port-group 1 mode active
!
SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/2
!
Interface Ethernet1/0/2
 description Bond
 switchport mode trunk
 port-group 1 mode active
!
SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/3
!
Interface Ethernet1/0/3
 description Bond
 switchport mode trunk
 port-group 1 mode active

создал фейс группы:

SNR-S2995G-24FX(config-if-port-channel1)#show run int port-channel 1
!
Interface Port-Channel1
 description Bond

А вот режима тут нет...

Скрытый текст

SNR-S2995G-24FX(config-if-port-channel1)#?
 commands:
  show              Show running system information
  anti-arpscan      Anti-arpscan
  description       Set alias name
  dot1q-tunnel      Dot1q-tunnel
  end               End current mode and change to EXEC mode
  erps-ring         Ethernet ring running G.8032
  ethernet          Ethernet
  exit              End current mode and down to previous mode
  fulleaps          FULL Ethernet Automatic Protection Switching
  gmrp              Enable GMRP
  gvrp              Enable GVRP
  help              Description of the interactive help system
  igmp              Internet Group Management Protocol
  interface         Select an interface to configure
  ip                Internet protocol
  ipv6              IPv6 information
  logging           Logging
  mac-notification  MAC address information notification message transmit
  mrpp              Multi-layer Ring Protection Protocol
  no                Negate a command or set its defaults
  pppoe             PPPOE intermediate Agent
  service-policy    Configure QoS Service Policy
  shutdown          Shutdown the selected interface
  spanning-tree     Spanning-tree config
  switchport        Set switchport character
  ulpp              Uplink Protection Protocol
  ulsm              Uplink State Monitor
  vlan              Vlan Commands
  vlan-translation  Vlan translation
  vsf               Virtual Switch Framework
 

 

Хотя в доке есть Картинка

 

SNR-S2995G-24FX(config-if-port-channel1)#show port-group 1 brief
ID: port group number;  Mode: port group mode such as on active or passive;
Ports: different types of port number of a port group,
       the first is selected ports number, the second is standby ports number, and
       the third is unselected ports number.

ID   Mode     Partner ID                  Ports       Load-balance
------------------------------------------------------------------
1    active   0x0000,00-00-00-00-00-00    0,0,3       dst-src-mac

а мне нужен dst-src-IP

Edited by Voloda

Share this post


Link to post
Share on other sites
1 час назад, Voloda сказал:

Хотя в доке есть Картинка

На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора.

Share this post


Link to post
Share on other sites
10 минут назад, azhur сказал:

На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора.

Стыд и срам... Спасибо!

Share this post


Link to post
Share on other sites
4 часа назад, Voloda сказал:

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

UP

Share this post


Link to post
Share on other sites
6 часов назад, Voloda сказал:

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

Количество маршрутов отображается в конце вывода "show ip route static".

Количество интерфейсов можно узнать через connected маршруты  "show ip route connected", где также в конце есть счетчик. 

Суммарная информация "show ip route statistics".

Share this post


Link to post
Share on other sites

Коллеги, скажите, а может быть в ACL вложенность ACL?

 

Например:

deny ip ACL1 any-destination
deny ip any-source ACL2
deny ip ACL3 ACL5

есть задача для десятка IP адресов в vlane разрешить 3-4 адреса, а остальное закрыть. Таких вланов штук 30... Если есть у кого подобный опыт поделитесь плиз.

Share this post


Link to post
Share on other sites

@Voloda, подобной вложенности нет.

Возможно конфигурацию упростит применение ACL сразу к vlan, а не отдельном портам, например:

vacl ip access-group <ACL-name> in

 

Share this post


Link to post
Share on other sites
11 часов назад, Victor Tkachenko сказал:

@Voloda, подобной вложенности нет.

Возможно конфигурацию упростит применение ACL сразу к vlan, а не отдельном портам, например:


vacl ip access-group <ACL-name> in

 

Попробовал сделать один ACL, перспектива не радостная или это вполне нормально?

Скрытый текст


ip access-list extended Mend,1-guest(used 0 time(s)) 45 rule(s)
   rule ID 1: permit ip host-source 10.5.201.200 host-destination 10.0.100.1
   rule ID 2: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 3: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 4: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 5: permit ip host-source 10.5.201.201 host-destination 10.0.100.1
   rule ID 6: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 7: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 8: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 9: permit ip host-source 10.5.201.202 host-destination 10.0.100.1
   rule ID 10: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 11: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 12: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 13: permit ip host-source 10.5.201.203 host-destination 10.0.100.1
   rule ID 14: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 15: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 16: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 17: permit ip host-source 10.5.201.204 host-destination 10.0.100.1
   rule ID 18: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 19: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 20: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 21: permit ip host-source 10.5.201.205 host-destination 10.0.100.1
   rule ID 22: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 23: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 24: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 25: permit ip host-source 10.5.201.206 host-destination 10.0.100.1
   rule ID 26: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 27: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 28: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 29: permit ip host-source 10.5.201.207 host-destination 10.0.100.1
   rule ID 30: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 31: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 32: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 33: permit ip host-source 10.5.201.208 host-destination 10.0.100.1
   rule ID 34: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 35: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 36: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 37: deny ip host-source 10.5.201.200 any-destination
   rule ID 38: deny ip host-source 10.5.201.201 any-destination
   rule ID 39: deny ip host-source 10.5.201.202 any-destination
   rule ID 40: deny ip host-source 10.5.201.203 any-destination
   rule ID 41: deny ip host-source 10.5.201.204 any-destination
   rule ID 42: deny ip host-source 10.5.201.205 any-destination
   rule ID 43: deny ip host-source 10.5.201.206 any-destination
   rule ID 44: deny ip host-source 10.5.201.207 any-destination
   rule ID 45: deny ip host-source 10.5.201.208 any-destination

 

Таких листов надо сделать примерно 25-30 шт, интересует как поведет себя нагрузка на коммутатор?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now