Jump to content
Калькуляторы

Примеры настроек коммутаторов SNR

что делаю не так?

 

SNR-S2995G-24FX(config)#ip dhcp pool Office
SNR-S2995G-24FX(dhcp-office-config)#hardware-address 90-2B-34-55-07-28
DHCPD: this command may not be used with network pools.

В доке говорят что надо так.

 

Софт крайний:

Скрытый текст

SNR-S2995G-24FX#sh ver
  SNR-S2995G-24FX Device, Compiled on Jan 11 09:50:35 2019
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:77:fd:3d
  Vlan MAC f8:f0:82:77:fd:3c
  SoftWare Package Version 7.5.3.2(R0004.0132)
  BootRom Version 7.5.21
  HardWare Version 1.0.1-UPS
  CPLD Version 1.03
  Serial No.:SW075010I622000006
  Copyright (C) 2019 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 0 days, 0 hours, 10 minutes
 

 

Edited by Voloda

Share this post


Link to post
Share on other sites
4 часа назад, Voloda сказал:

Попробовал сделать один ACL, перспектива не радостная или это вполне нормально?

  Показать содержимое


ip access-list extended Mend,1-guest(used 0 time(s)) 45 rule(s)
   rule ID 1: permit ip host-source 10.5.201.200 host-destination 10.0.100.1
   rule ID 2: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 3: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 4: permit ip host-source 10.5.201.200 host-destination 96.xxx
   rule ID 5: permit ip host-source 10.5.201.201 host-destination 10.0.100.1
   rule ID 6: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 7: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 8: permit ip host-source 10.5.201.201 host-destination 96.xxx
   rule ID 9: permit ip host-source 10.5.201.202 host-destination 10.0.100.1
   rule ID 10: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 11: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 12: permit ip host-source 10.5.201.202 host-destination 96.xxx
   rule ID 13: permit ip host-source 10.5.201.203 host-destination 10.0.100.1
   rule ID 14: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 15: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 16: permit ip host-source 10.5.201.203 host-destination 96.xxx
   rule ID 17: permit ip host-source 10.5.201.204 host-destination 10.0.100.1
   rule ID 18: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 19: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 20: permit ip host-source 10.5.201.204 host-destination 96.xxx
   rule ID 21: permit ip host-source 10.5.201.205 host-destination 10.0.100.1
   rule ID 22: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 23: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 24: permit ip host-source 10.5.201.205 host-destination 96.xxx
   rule ID 25: permit ip host-source 10.5.201.206 host-destination 10.0.100.1
   rule ID 26: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 27: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 28: permit ip host-source 10.5.201.206 host-destination 96.xxx
   rule ID 29: permit ip host-source 10.5.201.207 host-destination 10.0.100.1
   rule ID 30: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 31: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 32: permit ip host-source 10.5.201.207 host-destination 96.xxx
   rule ID 33: permit ip host-source 10.5.201.208 host-destination 10.0.100.1
   rule ID 34: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 35: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 36: permit ip host-source 10.5.201.208 host-destination 96.xxx
   rule ID 37: deny ip host-source 10.5.201.200 any-destination
   rule ID 38: deny ip host-source 10.5.201.201 any-destination
   rule ID 39: deny ip host-source 10.5.201.202 any-destination
   rule ID 40: deny ip host-source 10.5.201.203 any-destination
   rule ID 41: deny ip host-source 10.5.201.204 any-destination
   rule ID 42: deny ip host-source 10.5.201.205 any-destination
   rule ID 43: deny ip host-source 10.5.201.206 any-destination
   rule ID 44: deny ip host-source 10.5.201.207 any-destination
   rule ID 45: deny ip host-source 10.5.201.208 any-destination

 

Таких листов надо сделать примерно 25-30 шт, интересует как поведет себя нагрузка на коммутатор?

Добрый день!

 

IP-адреса с 10.5.201.200 по 10.5.201.207 можно заменить на "10.5.201.200 0.0.0.7". К примеру:

 

permit ip 10.5.201.200 0.0.0.7 host-destination 10.0.100.1

deny ip 10.5.201.200 0.0.0.7 any-destination

 

4 часа назад, Voloda сказал:

что делаю не так?

 


SNR-S2995G-24FX(config)#ip dhcp pool Office
SNR-S2995G-24FX(dhcp-office-config)#hardware-address 90-2B-34-55-07-28
DHCPD: this command may not be used with network pools.

В доке говорят что надо так.

 

Софт крайний:

  Показать содержимое

SNR-S2995G-24FX#sh ver
  SNR-S2995G-24FX Device, Compiled on Jan 11 09:50:35 2019
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:77:fd:3d
  Vlan MAC f8:f0:82:77:fd:3c
  SoftWare Package Version 7.5.3.2(R0004.0132)
  BootRom Version 7.5.21
  HardWare Version 1.0.1-UPS
  CPLD Version 1.03
  Serial No.:SW075010I622000006
  Copyright (C) 2019 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 0 days, 0 hours, 10 minutes
 

 

 

Вероятно в пуле уже добавлена сеть командой "network-address...."?
Для статических записей необходимо создать отдельный пул.

Share this post


Link to post
Share on other sites
1 час назад, Aleksey Sonkin сказал:

Добрый день!

 

IP-адреса с 10.5.201.200 по 10.5.201.207 можно заменить на "10.5.201.200 0.0.0.7". К примеру:

 

permit ip 10.5.201.200 0.0.0.7 host-destination 10.0.100.1

deny ip 10.5.201.200 0.0.0.7 any-destination

 

Вероятно в пуле уже добавлена сеть командой "network-address...."?
Для статических записей необходимо создать отдельный пул.

1. Подскажите, как будут обстоять дела с нагрузкой при большом кол-ве ACL?

2. Сеть действительно задана:

ip dhcp pool Office
 network-address 10.0.110.0 255.255.255.128
 max-lease-time 2 0 0
 default-router 10.0.110.126
 dns-server 10.0.100.1

т.е. для статики нужно/можно задать записи в новом пуле из сегмента IP адресов, который создали ранее?

ip dhcp pool Office-static
 hardware-address 90-2B-34-55-07-28
 host 10.0.110.1
 

 

Share this post


Link to post
Share on other sites
23 минуты назад, Voloda сказал:

т.е. для статики нужно/можно задать записи в новом пуле из сегмента IP адресов, который создали ранее? 

Если сделано по аналогии с циской, то:

1. Каждая резервация - это отдельный пул вида

ip dhcp pool Office-static1
 hardware-address 90-2B-34-55-07-28
 host 10.0.110.1

2. Прочие опции в каждом таком пуле повторять необязательно, они будут подхватываться из "родительского" пула, в который хосты попадают по адресу-маске, в вашем примере - из

ip dhcp pool Office

 

Share this post


Link to post
Share on other sites
5 часов назад, Voloda сказал:

1. Подскажите, как будут обстоять дела с нагрузкой при большом кол-ве ACL?

 ACL не использует CPU.

5 часов назад, Voloda сказал:

т.е. для статики нужно/можно задать записи в новом пуле из сегмента IP адресов, который создали ранее? 

 

Да

Share this post


Link to post
Share on other sites

подскажите пожалуйста, можно ли исключить 1й влан из работы вообще?

VLAN Name         Type       Media     Ports
---- ------------ ---------- --------- ----------------------------------------
1    default      Static     ENET      Ethernet1/0/1       Ethernet1/0/2      
                                       Ethernet1/0/3       Ethernet1/0/4      
                                       Ethernet1/0/5       Ethernet1/0/6      
                                       Ethernet1/0/7       Ethernet1/0/8      
                                       Ethernet1/0/9       Ethernet1/0/10     
100  VLAN0100     Static     ENET      Ethernet1/0/8(T)    Ethernet1/0/9(T)   
                                       Ethernet1/0/10(T) 

то есть что бы в 1 влане не было портов. есть подозрение что при такой настройке порта

Interface Ethernet1/0/8
 switchport mode trunk
 switchport trunk allowed vlan 2-3000
!

трафик всё равно бегает в 1 влане потому что при sh vlan 8й порт всё равно там есть в списке.

Edited by lost_uz

Share this post


Link to post
Share on other sites
12 минут назад, Aleksey Sonkin сказал:

@lost_uz 

Добрый день!

О каком коммутаторе идет речь?

извините что не указал, 2965-8т

делал

switchport forbidden vlan remove 1

и

switchport trunk allowed vlan remove 1

на интрефейсе  - не помогло, даже в шоу ран нет этих введённых команд

Edited by lost_uz

Share this post


Link to post
Share on other sites
9 минут назад, lost_uz сказал:

извините что не указал, 2965-8т

делал

switchport forbidden vlan remove 1

и

switchport trunk allowed vlan remove 1

на интрефейсе  - не помогло, даже в шоу ран нет этих введённых команд

 

да, по умолчанию 1 vlan в режиме untag на всех портах, можете посмотреть его маки для интереса. отключить можно на порту командой switchport discard packet untag

Share this post


Link to post
Share on other sites

@lost_uz 
Можете либо использовать hybrid-режим:

 switchport mode hybrid
  switchport hybrid allowed vlan 2-3000 tag

Либо использовать неиспользуемый vlan для native:

switchport mode trunk
 switchport trunk allowed vlan 2-3000
 switchport trunk native vlan 4092

Замечу, что при таких настройках не будет передаваться трафик протоколов типа LLDP, STP.

 

@lost_uz 

Да, также можно использовать 'switchport discard packet untag', при этом будет заблокирован поступающий на порт нетегированный трафик.

Share this post


Link to post
Share on other sites
12 минут назад, Aleksey Sonkin сказал:

Да, также можно использовать 'switchport discard packet untag', при этом будет заблокирован поступающий на порт нетегированный трафик.

мне этот вариант больше нравится. то есть  я могу это даже на абон портах указать?

Share this post


Link to post
Share on other sites
2 минуты назад, Aleksey Sonkin сказал:

@lost_uz 

В каком режиме у Вас абонентские порты?

Interface Ethernet1/1
 description volsts0006493(2xx.29.114.203)
 switchport access vlan 682
 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown
!
Interface Ethernet1/2
 description volsts0005817(PPPoE)
 switchport access vlan 421
 mac access-group PPPoE in
 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown
!

Share this post


Link to post
Share on other sites

@lost_uz В Вашем случае все нетегированные кадры попадают в 682 и 421 vlan соответственно. Если Вы пропишете 'switchport discard packet untag' данные кадры будут заблокированы.

Share this post


Link to post
Share on other sites
7 минут назад, Aleksey Sonkin сказал:

@lost_uz В Вашем случае все нетегированные кадры попадают в 682 и 421 vlan соответственно. Если Вы пропишете 'switchport discard packet untag' данные кадры будут заблокированы.

ясно. спасибо. выходит что  switchport discard packet untag будет просто отрезать все приходящие пакеты на аплинк портах?

а может ли 1й влан прилетать с абонентского порта даже если он в ацессе сидит в 682 или 421 влане? или ацесс не допускает уже такого?

Share this post


Link to post
Share on other sites

Я на транковых сделал так:

 

vlan 5

!

Interface Ethernet1/0/5
 switchport mode trunk
 switchport trunk allowed vlan ..........
 switchport trunk native vlan 5

!

 

Interface brief:
  Ethernet1/0/5 is up, line protocol is up
  Ethernet1/0/5 is layer 2 port, alias name is TAG BRASS #1/2, index is 5
  Ethernet1/0/5 is LAG member port, LAG port:Port-Channel12
  Hardware is SFP+,  address is f8-f0-82-77-fc-92
  PVID is 5

 

 

 

Просто левый влан, никуда не проключен.

 

У цыски можно делать так:

!

vlan 5

shutdown

!

 

Жаль у SNR нельзя.

Маки как бы остаются, но дальше порта никуда не ходят. Это первое, что на ум пришло после цыски.

С discard более правильно наверно)

Share this post


Link to post
Share on other sites

SNR-S2985G-24T

 

по SFP (оптика) приходит несколько VLAN-ов

Interface Ethernet1/0/25
 switchport mode trunk

 

среди которых

vlan 2 - iptv ростелекома

vlan 5 - локалка

 

клиент на порту 1/0/9

 

Interface Ethernet1/0/9
 switchport access vlan 5

локалка работает, интернет от вышестоящего маршрутизатора работает

 

на один из портов назначен vlan 2 (туда подключена приставка)

Interface Ethernet1/0/24
 switchport access vlan 2

 

как мне сделать что бы на 9-ом порту была локалка vlan 5 (в этот порт подключен ZyXEL Keenetic Viva)

но так же и прокинуть iptv на один из портов кинетика

я так подозреваю что это какой то QinQ (или ошибаюсь, но даже если не ошибаюсь, какими командами это реализовать)

 

если переводить порт 10/9 в trunk, тогда по умолчанию туда летит vlan 1 (которого там быть не должно)

назначать 2 vlan-а в транке, роутер не должен видеть лезть в сеть iptv без явного указания vlan-а в настройках ZyXEL-я

пол умолчанию там должна быть локалка vlan 5

 

заранее извиняюсь, как сумбурно написал

Share this post


Link to post
Share on other sites

Я так подозреваю что

мне надо что то подобии вот этого

Interface Ethernet1/0/9
 switchport mode trunk
 switchport trunk allowed vlan 2;5
 switchport trunk native vlan 5


 

Share this post


Link to post
Share on other sites

Как то все это сложно учитывая что у меня цепочка из разных SNR и других коммутаторов

Share this post


Link to post
Share on other sites

@VecH 

MVR достаточно настроить на доступе:

vlan 2
 multicast-vlan
!
Interface Ethernet1/0/9
 switchport access vlan 5
 switchport association multicast-vlan 2

 

Share this post


Link to post
Share on other sites

из за того что в роутерах Keenetic (новые с белым WEB интерфейсом) нельзя задать VLAN 2 (он там используется в служебных целях) я сейчас лажу по всей цепочке коммутаторов и меняю vlanid 2 на 20

 

дальше уже буду изучать как использовать MVR

Share this post


Link to post
Share on other sites

 

2 часа назад, lost_uz сказал:

ясно. спасибо. выходит что  switchport discard packet untag будет просто отрезать все приходящие пакеты на аплинк портах? 

Все нетегированные кадры будут заблокированы. А учитывая что в Вашем примере порт в режиме access, тегированные кадры (кроме указанного vid в access) будут отброшены в любом случае.

2 часа назад, lost_uz сказал:

а может ли 1й влан прилетать с абонентского порта даже если он в ацессе сидит в 682 или 421 влане? или ацесс не допускает уже такого?

Уточните вопрос, пожалуйста, не совсем понял.

Share this post


Link to post
Share on other sites

Здравствуйте! Не могу найти как прописать шлюз на этой железке 

 

SNR-S2980G-8T(config)#ip default-gateway 192.168.100.1
                          ^
% Invalid input detected at '^' marker.

SNR-S2980G-8T(config)#
 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now