Перейти к содержимому
Калькуляторы

Примеры настроек коммутаторов SNR

3 minutes ago, Aleksey Sonkin said:

@Nightik20 
ip route 0.0.0.0/0 a.b.c.d

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Друзья.

Просьба не пинать сильно)

2.Как сменить IP адрес железки настроенный с завода?(пока повесил другой на interface vlan 1)
3.Как можно разграничить доступ по vlanам.?

Например с vlan 50 доступны узлы из vlan 10 и 20.

А c vlan 60 доступен только vlan 10.

4.как будет себя вести маршрутизация, если во vlan 50 будет находится межсетевой экран (isa server) с адресами 192.168.10.1(смотрит как раз в коммутатор) и 192.168.50.1(смотрит во внутреннюю сеть).
Соответственно,vlan 50 с адресом 192.168.50.254 на коммутаторе.

Адреса хостов 192.168.50.х

Нужно ли прописывать интерфейс с адресом 192.168.10.254?


Заранее спасибо.
Коммутатор 2995G-24tx.

Изменено пользователем fatherA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте.

Я правильно понимаю, если я хочу поднять приоритет траффика для двух vlan'ов это делается так:

class-map voip
 match vlan range 100 to 101
!
policy-map voip
 class voip
 set cos 6
 exit
!
service-policy input voip vlan 100-101

коммутатор SNR-S2985G-8T

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я делал по аналогии, только service-policy прописывал на порту, где был "источник" этого влана.

Вот только что узнал, что эта команда может применяться глобально. Вопрос, что она делает если включить глобально?

 

Пример 3:

https://shop.nag.ru/article/snr-switch-qos

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 7/11/2019 at 5:38 PM, fatherA said:

2.Как сменить IP адрес железки настроенный с завода?(пока повесил другой на interface vlan 1)

 

Вы все правильно делаете. Или что-то другое имеете ввиду?

 

On 7/11/2019 at 5:38 PM, fatherA said:

3.Как можно разграничить доступ по vlanам.?

Напимер, с помощью VLAN-ACL. Подробнее можете прочитать про технологию в русскоязычном руководстве, глава 62 http://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/[S2985G и S2965] Руководство по настройке.pdf

 

Пример настройки:
 

ip access-list extended vacl_a
  permit ip any-source 192.168.10.0 0.0.0.255
  permit ip any-source 192.168.50.0 0.0.0.255
  deny ip any-source any-destination
  exit
ip access-list extended vacl_b
  permit ip any-source 192.168.10.0 0.0.0.255
  permit ip any-source 192.168.20.0 0.0.0.255
  permit ip any-source 192.168.60.0 0.0.0.255
  deny ip any-source any-destination
  exit


vacl ip access-group vacl_a in vlan 50
vacl ip access-group vacl_b in vlan 60

 

On 7/11/2019 at 5:38 PM, fatherA said:

4.как будет себя вести маршрутизация, если во vlan 50 будет находится межсетевой экран (isa server) с адресами 192.168.10.1(смотрит как раз в коммутатор) и 192.168.50.1(смотрит во внутреннюю сеть).
Соответственно,vlan 50 с адресом 192.168.50.254 на коммутаторе.

Адреса хостов 192.168.50.х

Нужно ли прописывать интерфейс с адресом 192.168.10.254?

 

А сейчас у хостов что прописано шлюзом? 192.168.50.254? Может нарисуете схему сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Evgeny Mirhasanov Спасибо за первые два ответа!
Почитаю про ацесс на виланах.


схему прикладываю.
Вот по примеру организации сети х.х.50.х ,так же еще куча организаций подключена по оптике.Все сейчас в дефолтом влане.
Переделываю схему сети,будем перестраивать всё.
И вот вопросы всплывают:

 

На одном межсетевом(по крайней мере на виндовом ISA или же forefront tmg) нельзя указать несколько основных шлюзов.
И у многих всего один межсетевой и в него приходит интернет,соответственно стоит шлюз на том интерфейсе куда приходит шнурок от провайдера.
Сейчас конечно закупают дионисы,а они вроде как полноценные маршрутизаторы.если там есть возможность применения и распила на vlan ,то тогда можно будет просто на интерфейсы повешать соответствующий влан и трафик должен пойти.Это если я верно понимаю.(тоже вопрос)))
Дак как быть в данной ситуации,будет ли работать данная схема?

на маршрутизаторе все vlan есть.
Будет ли при таком раскладе доступ с х.х.2.х до х.х.х50.х и обратно?


Если нет,подскажите,что изменить,что куда добавить?
 

lan.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ответ дан в ходе личной переписки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем доброго времени суток. Нужна помощь.

Такая ситуация происходит. 

Есть Абонентский свитч  SNR-S2950-24G

 

Абонетские порты настроенны в режиме access

так же включен  ip dhcp snooping action blackhole recovery 300

 

Привязка идет по DHCP по мак-адрессу и ip.

 

Бывает такая ситуация что, когда один из Абонентов - берет кабель отключает из wan порта и кабель откуда поступает инет по DHCP то есть подключает его в один из LAN портов. и происходит кольцо, прилетает куча маков, соотвественно на этом свитче не работает не у одного абонента интернет.  Происходит Петля..

Скажите пожалуйста правильно я настроил функцию от Петли vlanov через loop-detection пример сделал тестово на одном порту пока что.
Будет ли в таком случае работать защита от Петель?

___________

hostname Lenina_
sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia
sysContact support@nag.ru
!
enable password level 15 7 a8bbafe58e25da4c3b6d8b130065c5c8
authentication logging enable
!
username admin privilege 15 password 7 a8bbafe58e25da4c3b6d8b130065c5c8
!
authentication line console login local
!
!
!
clock timezone MSK add 3 0
!
!
no ip http server
!
snmp-server enable
snmp-server securityip disable
snmp-server community rw 7 tGNfFeup6Ks=
snmp-server group DIN-W noauthnopriv read CommunityView write CommunityView notify CommunityView
!
ip dhcp snooping enable
ip dhcp snooping vlan 3053
 ip dhcp snooping binding enable
!
 ip dhcp snooping information enable
 ip dhcp snooping information option subscriber-id format hex
 ip dhcp snooping information option remote-id 192.168.11.124
!
!
!
!
!
!
loopback-detection interval-time 10 1 - сперва добавил это
!
loopback-detection control-recovery timeout 30  - потом добавил это 
!
!
vlan 1;367;3053
!
vlan 100
 name mng
!



На порту прописал так:

Interface Ethernet1/6

 switchport access vlan 3053
loopback-detection specified-vlan 3053  - добавил эту строчку  (3053 - абонентский влан)
loopback-detection control block - и эту строчку
ip dhcp snooping action blackhole recovery 300

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vvksoft добрый день!
Исчерпывающая информация по настройке loopback-detection доступна здесь. Если останутся вопросы - задавайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Aleksey Sonkin Здравствуйте. Нет ли какого-то каталога этих ссылок с исчерпывающих информацей? Со статьями беда какая-то

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@floop база знаний conf_guide

 

в скором времени появится каталог, пока в разработке. Следите за новостями, проанонсим в telegram @snr_switch_news

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Друзья, как вывести настройки switchport для всех интерфейсов или для некоторых?

Для одного это выглядит так:

SNR-S2990X-24FQ(config)#sh switchport interface e1/0/1

Ethernet1/0/1
Type :Universal
Mode :Trunk
Port VID :1
Trunk allowed Vlan: 1-4094

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фэйспалм =)

Спасибо, а ведь я проде так пробовал.

Вывелся список.

 

Подскажите еще по другому вопросу.

При вводе sh arp, я вижу в ARP таблице записи, которых по идее там быть не должно. Как-то можно узнать как эти записи попали в таблицу?

Я так понимаю, задействованные на свитче функции, которым необходима работа с ARP, эту таблицу и наполняют...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@gard например? попробуйте применить 'local-arp enable' (если не используете super vlan / proxy ARP).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такой команды на свитче нет, свитч SNR-S2990X-24FQ, но вот, к примеру:

SNR-S2990X-24FQ(config)#sh arp
ARP Unicast Items: 5, Valid: 5, Matched: 5, Verifying: 0, Incomplete: 0, Failed: 0, None: 0
Ethernet Manager Port ARP Items: 0
Address          Hardware Addr      Interface     Port                  Flag      Age-time(sec)
10.1.118.27     d4-ca-6d-d8-2f-89  Vlan1         Ethernet1/0/1         Dynamic   534
10.1.227.232    00-0f-01-34-11-7e  Vlan1         Ethernet1/0/1         Dynamic   684
10.101.0.103    d8-d3-85-5f-9a-3c  Vlan101       Ethernet1/0/1         Dynamic   1014
10.101.0.104    bc-5f-f4-04-bd-ed  Vlan101       Ethernet1/0/6         Dynamic   1044
10.101.0.200    cc-2d-e0-6e-8f-cb  Vlan101       Ethernet1/0/1         Dynamic   1199

Первый хост - абонент, который к свитчу никакого отношения иметь не должен.

С остальными хостами свитч общается по долгу службы.

М.б. первый хост попал в таблицу в следствие работы dhcp snooping...

Хотя, в принципе, лишние хосты жить не мешают, просто подозрительно..

Изменено пользователем gard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@gard вероятно из-за DHCP Snooping, более точно можно сказать только по конфигу. Но учитывая таблицу ARP я бы не беспокоился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последую вашему совету =)

Ну и, может, отдебажу работу dhcp snooping.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть свич Cisco 2950–24p, на котором поднят транк до оператора и через него ходят несколько интернет вланов от этого оператора. Приобрёл Snr-s2995g-24tx на замену циско. Кроме интернета нужно организовать через этот свич отдельный эзернет транспорт между моими свичами через того же оператора. Подскажите пожалуйста как это оптимально организовать. На стороне оператора подключён к Huawei роутеру.

Изменено пользователем alish13

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SNR-S2990X-24FQ(config)#sh arp
ARP Unicast Items: 5, Valid: 5, Matched: 5, Verifying: 0, Incomplete: 0, Failed: 0, None: 0
Ethernet Manager Port ARP Items: 0
Address          Hardware Addr      Interface     Port                  Flag      Age-time(sec)
10.1.118.27     d4-ca-6d-d8-2f-89  Vlan1         Ethernet1/0/1         Dynamic   534
10.1.227.232    00-0f-01-34-11-7e  Vlan1         Ethernet1/0/1         Dynamic   684
10.101.0.103    d8-d3-85-5f-9a-3c  Vlan101       Ethernet1/0/1         Dynamic   1014
10.101.0.104    bc-5f-f4-04-bd-ed  Vlan101       Ethernet1/0/6         Dynamic   1044
10.101.0.200    cc-2d-e0-6e-8f-cb  Vlan101       Ethernet1/0/1         Dynamic   1199

 

А как такую таблицу получить на SNR-S2985G-24T

SNR-S2985G-24T_RUDNIK_1#sh arp
ARP Unicast Items: 1, Valid: 1, Matched: 1, Verifying: 0, Incomplete: 0, Failed: 0, None: 0
Address          Hardware Addr      Interface     Port                  Flag      Age-time(sec)
10.3.0.1         b8-69-f4-52-c7-39  Vlan1         Ethernet1/0/4         Dynamic   1199     

У меня показывает только свой vlan и свой IP+MAC

Изменено пользователем VecH

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alish13 как я понимаю речь о QinQ - настройка функционала - здесь.

 

@VecH что вы хотите здесь увидеть? Какие ARP-записи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спрошу, пока вспомнил.

Подскажите, на SNR как-то можно включить контексто-зависимое поведение "истории команд"?

На Орионе, если скажем перейти в режим конфигурации интерфейса, по щелчку стрелкой вверх, будут доступны ранее введенные команды именно в этом режиме. В SNR по щелчку вверх выходят все команды, без зависимости от контекста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, Aleksey Sonkin сказал:

@alish13 как я понимаю речь о QinQ - настройка функционала - здесь.

 

@VecH что вы хотите здесь увидеть? Какие ARP-записи?

IP + MAC станций во всех VLAN-ах

но почему то вижу только себя (vlan1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.