Перейти к содержимому
Калькуляторы

Примеры настроек коммутаторов SNR

добрый день, помогите с восстановлением коммутатора, s2970G-24S забыли пароль, пробую войти в boot режим через ctrl+b при включении коммутатора, не заходит, может на данной модели через другую комбинацию вход?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@kid79, добрый. 

На этом коммутаторе зайти в boot режим можно через "ctrl+P". Далее удалить startup-config можно применив команду "delete".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, добрый день!

Железка SNR S2990-24FX

Прошу сильно не пинать, поделитесь настройкой ACl для следующей фантазии.

 

Нужно разрешить ip адреса для vlan'а управления.

 

Возможно ли создать acl типа drop все ip кроме указанных?

например, как у mikrotik через (!) знак

Drop 22 port on servers
      chain=forward action=drop protocol=tcp src-address-list=Servers 
      dst-address-list=!Allow 22 port on server src-port=22 log=no 
      log-prefix=""

 

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, Voloda сказал:

Нужно разрешить ip адреса для vlan'а управления.

Добрый день!

Да, для этого можно создать правило deny, например так:

ip access-list extended test
 deny ip 10.0.0.0 0.0.0.255 any-destination
 exit

Далее можно применить ACL на один из VLAN:

vacl ip access-group test in vlan 1

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18 часов назад, Ivan Tarasenko сказал:

Добрый день!

Да, для этого можно создать правило deny, например так:


ip access-list extended test
 deny ip 10.0.0.0 0.0.0.255 any-destination
 exit

Далее можно применить ACL на один из VLAN:


vacl ip access-group test in vlan 1

 

Спасибо за пример! 

Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8.

 

А как сделать, ограничить всё и разрешить нужные адреса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, Voloda сказал:

Спасибо за пример! 

Здесь, как я понимаю ограничивается подсеть 10.0.0.0/8.

 

А как сделать, ограничить всё и разрешить нужные адреса?

Например так:

ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
23 минуты назад, Ivan Tarasenko сказал:

Например так:


ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Спасибо! То, что надо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
57 минут назад, Voloda сказал:

Спасибо! То, что надо!

Если нужно ограничить доступ к авторизации на коммутаторе, можно воспользоваться следующим функционалом:

authentication ip access-class test in ssh
authentication ip access-class test in web
authentication ip access-class test in telnet

В этом случае правило deny any в ACL не потребуется. Если применить команду "authentication ip access-class test in" без указания протокола, ACL будет применен и на другой трафик к CPU коммутатора, используемый для установки соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
24 минуты назад, Voloda сказал:

Подскажите, возможно ли на S2995 на один интерфейс назначить больше одного адреса? Если назначить второй то просто заменяется первый... Фантазия редкая, но сейчас на микроте на одном влане используется 2 подсети и организовано 2 шлюза. От микрота хотим уйти на 2995.

Добрый день!

 

Необходимо в конце добавить 'secondary'.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, Aleksey Sonkin сказал:

Добрый день!

 

Необходимо в конце добавить 'secondary'.

Спасибо! А не подскажете до скольки адресов можно назначить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, Voloda сказал:

Спасибо! А не подскажете до скольки адресов можно назначить?

до 32 secondary.

Изменено пользователем Aleksey Sonkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 10.01.2019 в 16:32, Ivan Tarasenko сказал:

Например так:


ip access-list extended test
 permit ip 10.0.0.0 0.0.0.255 any-destination
 deny ip any-source any-destination
 exit

 

Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?!

SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists
ip access-list extended MNG(used 1 time(s)) 3 rule(s)
   rule ID 1: permit ip host-source 10.0.110.100 any-destination
   rule ID 2: deny ip any-source any-destination
   rule ID 3: permit ip host-source 10.0.100.100 any-destination

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Voloda сказал:

Подскажите, как правильно сделать, если я следую примеру то все получается, но при добавлении 3го правила, доступа у 3го хоста нет по понятной причине. Как задать/изменить номер правила в ACL? Или может "сказать", чтобы deny всегда был в конце?!


SNR-S2995G-24FX(config-ip-ext-nacl-mng)#show access-lists
ip access-list extended MNG(used 1 time(s)) 3 rule(s)
   rule ID 1: permit ip host-source 10.0.110.100 any-destination
   rule ID 2: deny ip any-source any-destination
   rule ID 3: permit ip host-source 10.0.100.100 any-destination

 

Такой возможности нет. В вашем случае можно пересоздать deny правило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, Aleksey Sonkin сказал:

Такой возможности нет. В вашем случае можно пересоздать deny правило.

а есть другие случаи когда можно обойтись без этого?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
23 минуты назад, Voloda сказал:

а есть другие случаи когда можно обойтись без этого?

 

Можно, к примеру, отредактировать конфиг на TFTP-сервере и залить на коммутатор.  Первый вариант не потребует перезагрузки, поэтому в Вашем случае он наиболее уместен.

Изменено пользователем Aleksey Sonkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не могу понять как настроить режим работы LACP

Настроил порты и создал группу, а вот режим задать не могу...

 

SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/1
!
Interface Ethernet1/0/1
 description Bond
 switchport mode trunk
 port-group 1 mode active
!
SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/2
!
Interface Ethernet1/0/2
 description Bond
 switchport mode trunk
 port-group 1 mode active
!
SNR-S2995G-24FX(config-if-port-channel1)#show run int  eth 1/0/3
!
Interface Ethernet1/0/3
 description Bond
 switchport mode trunk
 port-group 1 mode active

создал фейс группы:

SNR-S2995G-24FX(config-if-port-channel1)#show run int port-channel 1
!
Interface Port-Channel1
 description Bond

А вот режима тут нет...

Скрытый текст

SNR-S2995G-24FX(config-if-port-channel1)#?
 commands:
  show              Show running system information
  anti-arpscan      Anti-arpscan
  description       Set alias name
  dot1q-tunnel      Dot1q-tunnel
  end               End current mode and change to EXEC mode
  erps-ring         Ethernet ring running G.8032
  ethernet          Ethernet
  exit              End current mode and down to previous mode
  fulleaps          FULL Ethernet Automatic Protection Switching
  gmrp              Enable GMRP
  gvrp              Enable GVRP
  help              Description of the interactive help system
  igmp              Internet Group Management Protocol
  interface         Select an interface to configure
  ip                Internet protocol
  ipv6              IPv6 information
  logging           Logging
  mac-notification  MAC address information notification message transmit
  mrpp              Multi-layer Ring Protection Protocol
  no                Negate a command or set its defaults
  pppoe             PPPOE intermediate Agent
  service-policy    Configure QoS Service Policy
  shutdown          Shutdown the selected interface
  spanning-tree     Spanning-tree config
  switchport        Set switchport character
  ulpp              Uplink Protection Protocol
  ulsm              Uplink State Monitor
  vlan              Vlan Commands
  vlan-translation  Vlan translation
  vsf               Virtual Switch Framework
 

 

Хотя в доке есть Картинка

 

SNR-S2995G-24FX(config-if-port-channel1)#show port-group 1 brief
ID: port group number;  Mode: port group mode such as on active or passive;
Ports: different types of port number of a port group,
       the first is selected ports number, the second is standby ports number, and
       the third is unselected ports number.

ID   Mode     Partner ID                  Ports       Load-balance
------------------------------------------------------------------
1    active   0x0000,00-00-00-00-00-00    0,0,3       dst-src-mac

а мне нужен dst-src-IP

Изменено пользователем Voloda

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Voloda сказал:

Хотя в доке есть Картинка

На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, azhur сказал:

На которой английским по белому написано, что эта команда из "Global configuration mode", то есть не для конкретного портчанела, а для всего коммутатора.

Стыд и срам... Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Voloda сказал:

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

UP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, Voloda сказал:

Коллеги, а как посмотреть количество созданных логических интерфейсов и количество статических роутов?

типа

show interface vlan count

show interface route count

Количество маршрутов отображается в конце вывода "show ip route static".

Количество интерфейсов можно узнать через connected маршруты  "show ip route connected", где также в конце есть счетчик. 

Суммарная информация "show ip route statistics".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас