Jump to content
Калькуляторы

Примеры настроек коммутаторов SNR

Друзья.

Просьба не пинать сильно)

2.Как сменить IP адрес железки настроенный с завода?(пока повесил другой на interface vlan 1)
3.Как можно разграничить доступ по vlanам.?

Например с vlan 50 доступны узлы из vlan 10 и 20.

А c vlan 60 доступен только vlan 10.

4.как будет себя вести маршрутизация, если во vlan 50 будет находится межсетевой экран (isa server) с адресами 192.168.10.1(смотрит как раз в коммутатор) и 192.168.50.1(смотрит во внутреннюю сеть).
Соответственно,vlan 50 с адресом 192.168.50.254 на коммутаторе.

Адреса хостов 192.168.50.х

Нужно ли прописывать интерфейс с адресом 192.168.10.254?


Заранее спасибо.
Коммутатор 2995G-24tx.

Edited by fatherA

Share this post


Link to post
Share on other sites

Здравствуйте.

Я правильно понимаю, если я хочу поднять приоритет траффика для двух vlan'ов это делается так:

class-map voip
 match vlan range 100 to 101
!
policy-map voip
 class voip
 set cos 6
 exit
!
service-policy input voip vlan 100-101

коммутатор SNR-S2985G-8T

Share this post


Link to post
Share on other sites

Я делал по аналогии, только service-policy прописывал на порту, где был "источник" этого влана.

Вот только что узнал, что эта команда может применяться глобально. Вопрос, что она делает если включить глобально?

 

Пример 3:

https://shop.nag.ru/article/snr-switch-qos

 

Share this post


Link to post
Share on other sites
On 7/11/2019 at 5:38 PM, fatherA said:

2.Как сменить IP адрес железки настроенный с завода?(пока повесил другой на interface vlan 1)

 

Вы все правильно делаете. Или что-то другое имеете ввиду?

 

On 7/11/2019 at 5:38 PM, fatherA said:

3.Как можно разграничить доступ по vlanам.?

Напимер, с помощью VLAN-ACL. Подробнее можете прочитать про технологию в русскоязычном руководстве, глава 62 http://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/[S2985G и S2965] Руководство по настройке.pdf

 

Пример настройки:
 

ip access-list extended vacl_a
  permit ip any-source 192.168.10.0 0.0.0.255
  permit ip any-source 192.168.50.0 0.0.0.255
  deny ip any-source any-destination
  exit
ip access-list extended vacl_b
  permit ip any-source 192.168.10.0 0.0.0.255
  permit ip any-source 192.168.20.0 0.0.0.255
  permit ip any-source 192.168.60.0 0.0.0.255
  deny ip any-source any-destination
  exit


vacl ip access-group vacl_a in vlan 50
vacl ip access-group vacl_b in vlan 60

 

On 7/11/2019 at 5:38 PM, fatherA said:

4.как будет себя вести маршрутизация, если во vlan 50 будет находится межсетевой экран (isa server) с адресами 192.168.10.1(смотрит как раз в коммутатор) и 192.168.50.1(смотрит во внутреннюю сеть).
Соответственно,vlan 50 с адресом 192.168.50.254 на коммутаторе.

Адреса хостов 192.168.50.х

Нужно ли прописывать интерфейс с адресом 192.168.10.254?

 

А сейчас у хостов что прописано шлюзом? 192.168.50.254? Может нарисуете схему сети?

Share this post


Link to post
Share on other sites

@Evgeny Mirhasanov Спасибо за первые два ответа!
Почитаю про ацесс на виланах.


схему прикладываю.
Вот по примеру организации сети х.х.50.х ,так же еще куча организаций подключена по оптике.Все сейчас в дефолтом влане.
Переделываю схему сети,будем перестраивать всё.
И вот вопросы всплывают:

 

На одном межсетевом(по крайней мере на виндовом ISA или же forefront tmg) нельзя указать несколько основных шлюзов.
И у многих всего один межсетевой и в него приходит интернет,соответственно стоит шлюз на том интерфейсе куда приходит шнурок от провайдера.
Сейчас конечно закупают дионисы,а они вроде как полноценные маршрутизаторы.если там есть возможность применения и распила на vlan ,то тогда можно будет просто на интерфейсы повешать соответствующий влан и трафик должен пойти.Это если я верно понимаю.(тоже вопрос)))
Дак как быть в данной ситуации,будет ли работать данная схема?

на маршрутизаторе все vlan есть.
Будет ли при таком раскладе доступ с х.х.2.х до х.х.х50.х и обратно?


Если нет,подскажите,что изменить,что куда добавить?
 

lan.jpg

Share this post


Link to post
Share on other sites

Всем доброго времени суток. Нужна помощь.

Такая ситуация происходит. 

Есть Абонентский свитч  SNR-S2950-24G

 

Абонетские порты настроенны в режиме access

так же включен  ip dhcp snooping action blackhole recovery 300

 

Привязка идет по DHCP по мак-адрессу и ip.

 

Бывает такая ситуация что, когда один из Абонентов - берет кабель отключает из wan порта и кабель откуда поступает инет по DHCP то есть подключает его в один из LAN портов. и происходит кольцо, прилетает куча маков, соотвественно на этом свитче не работает не у одного абонента интернет.  Происходит Петля..

Скажите пожалуйста правильно я настроил функцию от Петли vlanov через loop-detection пример сделал тестово на одном порту пока что.
Будет ли в таком случае работать защита от Петель?

___________

hostname Lenina_
sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia
sysContact support@nag.ru
!
enable password level 15 7 a8bbafe58e25da4c3b6d8b130065c5c8
authentication logging enable
!
username admin privilege 15 password 7 a8bbafe58e25da4c3b6d8b130065c5c8
!
authentication line console login local
!
!
!
clock timezone MSK add 3 0
!
!
no ip http server
!
snmp-server enable
snmp-server securityip disable
snmp-server community rw 7 tGNfFeup6Ks=
snmp-server group DIN-W noauthnopriv read CommunityView write CommunityView notify CommunityView
!
ip dhcp snooping enable
ip dhcp snooping vlan 3053
 ip dhcp snooping binding enable
!
 ip dhcp snooping information enable
 ip dhcp snooping information option subscriber-id format hex
 ip dhcp snooping information option remote-id 192.168.11.124
!
!
!
!
!
!
loopback-detection interval-time 10 1 - сперва добавил это
!
loopback-detection control-recovery timeout 30  - потом добавил это 
!
!
vlan 1;367;3053
!
vlan 100
 name mng
!



На порту прописал так:

Interface Ethernet1/6

 switchport access vlan 3053
loopback-detection specified-vlan 3053  - добавил эту строчку  (3053 - абонентский влан)
loopback-detection control block - и эту строчку
ip dhcp snooping action blackhole recovery 300

 

Share this post


Link to post
Share on other sites

@vvksoft добрый день!
Исчерпывающая информация по настройке loopback-detection доступна здесь. Если останутся вопросы - задавайте.

Share this post


Link to post
Share on other sites

@Aleksey Sonkin Здравствуйте. Нет ли какого-то каталога этих ссылок с исчерпывающих информацей? Со статьями беда какая-то

Share this post


Link to post
Share on other sites

Друзья, как вывести настройки switchport для всех интерфейсов или для некоторых?

Для одного это выглядит так:

SNR-S2990X-24FQ(config)#sh switchport interface e1/0/1

Ethernet1/0/1
Type :Universal
Mode :Trunk
Port VID :1
Trunk allowed Vlan: 1-4094

 

Share this post


Link to post
Share on other sites

Фэйспалм =)

Спасибо, а ведь я проде так пробовал.

Вывелся список.

 

Подскажите еще по другому вопросу.

При вводе sh arp, я вижу в ARP таблице записи, которых по идее там быть не должно. Как-то можно узнать как эти записи попали в таблицу?

Я так понимаю, задействованные на свитче функции, которым необходима работа с ARP, эту таблицу и наполняют...

Share this post


Link to post
Share on other sites

@gard например? попробуйте применить 'local-arp enable' (если не используете super vlan / proxy ARP).

Share this post


Link to post
Share on other sites

Такой команды на свитче нет, свитч SNR-S2990X-24FQ, но вот, к примеру:

SNR-S2990X-24FQ(config)#sh arp
ARP Unicast Items: 5, Valid: 5, Matched: 5, Verifying: 0, Incomplete: 0, Failed: 0, None: 0
Ethernet Manager Port ARP Items: 0
Address          Hardware Addr      Interface     Port                  Flag      Age-time(sec)
10.1.118.27     d4-ca-6d-d8-2f-89  Vlan1         Ethernet1/0/1         Dynamic   534
10.1.227.232    00-0f-01-34-11-7e  Vlan1         Ethernet1/0/1         Dynamic   684
10.101.0.103    d8-d3-85-5f-9a-3c  Vlan101       Ethernet1/0/1         Dynamic   1014
10.101.0.104    bc-5f-f4-04-bd-ed  Vlan101       Ethernet1/0/6         Dynamic   1044
10.101.0.200    cc-2d-e0-6e-8f-cb  Vlan101       Ethernet1/0/1         Dynamic   1199

Первый хост - абонент, который к свитчу никакого отношения иметь не должен.

С остальными хостами свитч общается по долгу службы.

М.б. первый хост попал в таблицу в следствие работы dhcp snooping...

Хотя, в принципе, лишние хосты жить не мешают, просто подозрительно..

Edited by gard

Share this post


Link to post
Share on other sites

@gard вероятно из-за DHCP Snooping, более точно можно сказать только по конфигу. Но учитывая таблицу ARP я бы не беспокоился.

Share this post


Link to post
Share on other sites

Последую вашему совету =)

Ну и, может, отдебажу работу dhcp snooping.

Спасибо.

Share this post


Link to post
Share on other sites

Есть свич Cisco 2950–24p, на котором поднят транк до оператора и через него ходят несколько интернет вланов от этого оператора. Приобрёл Snr-s2995g-24tx на замену циско. Кроме интернета нужно организовать через этот свич отдельный эзернет транспорт между моими свичами через того же оператора. Подскажите пожалуйста как это оптимально организовать. На стороне оператора подключён к Huawei роутеру.

Edited by alish13

Share this post


Link to post
Share on other sites
SNR-S2990X-24FQ(config)#sh arp
ARP Unicast Items: 5, Valid: 5, Matched: 5, Verifying: 0, Incomplete: 0, Failed: 0, None: 0
Ethernet Manager Port ARP Items: 0
Address          Hardware Addr      Interface     Port                  Flag      Age-time(sec)
10.1.118.27     d4-ca-6d-d8-2f-89  Vlan1         Ethernet1/0/1         Dynamic   534
10.1.227.232    00-0f-01-34-11-7e  Vlan1         Ethernet1/0/1         Dynamic   684
10.101.0.103    d8-d3-85-5f-9a-3c  Vlan101       Ethernet1/0/1         Dynamic   1014
10.101.0.104    bc-5f-f4-04-bd-ed  Vlan101       Ethernet1/0/6         Dynamic   1044
10.101.0.200    cc-2d-e0-6e-8f-cb  Vlan101       Ethernet1/0/1         Dynamic   1199

 

А как такую таблицу получить на SNR-S2985G-24T

SNR-S2985G-24T_RUDNIK_1#sh arp
ARP Unicast Items: 1, Valid: 1, Matched: 1, Verifying: 0, Incomplete: 0, Failed: 0, None: 0
Address          Hardware Addr      Interface     Port                  Flag      Age-time(sec)
10.3.0.1         b8-69-f4-52-c7-39  Vlan1         Ethernet1/0/4         Dynamic   1199     

У меня показывает только свой vlan и свой IP+MAC

Edited by VecH

Share this post


Link to post
Share on other sites

Спрошу, пока вспомнил.

Подскажите, на SNR как-то можно включить контексто-зависимое поведение "истории команд"?

На Орионе, если скажем перейти в режим конфигурации интерфейса, по щелчку стрелкой вверх, будут доступны ранее введенные команды именно в этом режиме. В SNR по щелчку вверх выходят все команды, без зависимости от контекста.

Share this post


Link to post
Share on other sites
22 часа назад, Aleksey Sonkin сказал:

@alish13 как я понимаю речь о QinQ - настройка функционала - здесь.

 

@VecH что вы хотите здесь увидеть? Какие ARP-записи?

IP + MAC станций во всех VLAN-ах

но почему то вижу только себя (vlan1)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now