[Aleksey Sonkin]

@VecH данных записей на коммутаторе быть не должно.

[gard]

On 3/30/2020 at 12:51 PM, Aleksey Sonkin said:

@gard нет, нельзя.

Жаль, но я обязан был спросить.

[tarantinodima]

Здравствуйте,  подскажите пожалуйста, как мне сделать доступным управление коммутатором только через vlan 99?

 

 

SNR-S2995G-12FX(config)#show running-config
!!
switch convert mode stand-alone
!!
!
service password-encryption
!
hostname SNR-S2995G-12FX
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
authentication logging enable
!
username ?????? privilege 15 password 7 ??????????????????????
username ??????? privilege 15 password 7 ??????????????????????
!
authentication line console login local
!
!
!
!
!
ssh-server enable
!
info-center source debug level 8 prefix on channel 0
info-center source debug level 8 prefix on channel 1
no telnet-server enable
!
service dhcp
!
ip dhcp pool 5
 network-address 192.168.5.0 255.255.255.0
 default-router 192.168.5.1
 dns-server 8.8.8.8
!
ip dhcp pool 6
 network-address 192.168.6.0 255.255.255.0
 default-router 192.168.6.1
 dns-server 8.8.8.8
!
!
!
!
!
!
Interface Ethernet0
!
!
!
vlan 1;5-6;254
!
vlan 99
 name menegment
!
ip access-list extended ACL_users
  deny tcp any-source any-destination d-port 22
  deny tcp any-source any-destination d-port 80
  exit
!
Interface Ethernet1/0/1
 switchport mode trunk
 switchport trunk allowed vlan 5-6
!
Interface Ethernet1/0/2
!
Interface Ethernet1/0/3
 switchport access vlan 254
!
Interface Ethernet1/0/4
!
Interface Ethernet1/0/5
!
Interface Ethernet1/0/6
!
Interface Ethernet1/0/7
!
Interface Ethernet1/0/8
!
Interface Ethernet1/0/9
!
Interface Ethernet1/0/10
!
Interface Ethernet1/0/11
!
Interface Ethernet1/0/12
!
Interface Ethernet1/0/13
!
Interface Ethernet1/0/14
!
Interface Ethernet1/0/15
!
Interface Ethernet1/0/16
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan5
 ip address 192.168.5.1 255.255.255.0
!
interface Vlan6
 ip address 192.168.6.1 255.255.255.0
!
interface Vlan99
 ip address 192.168.99.1 255.255.255.0
!
interface Vlan254
 ip address 192.168.254.2 255.255.255.252
!
interface Loopback1
 ip address 192.168.100.1 255.255.255.255
!
router ospf 1
 network 192.168.5.0 0.0.0.255 area 1
 network 192.168.6.0 0.0.0.255 area 1
 network 192.168.254.0 0.0.0.3 area 1
!
ip route 0.0.0.0/0 192.168.254.1
!
!
no login
!
captive-portal
!
end
 

[Aleksey Sonkin]

@tarantinodima можно воспользоваться authentication ip access-class

[gard]

Здравствуйте!

Подскажите пожалуйста по части настройки мультикаста на SNR.

Имеется строка настройки:

ip igmp snooping vlan 99 limit group 256 source 256

Смотрю текущие группы:

IGMP Snooping Connect Group Membership
Note:*-All Source, (S)- Include Source, [S]-Exclude Source
Groups          Sources             Ports               Exptime  SrcMac              System Level
224.0.2.1       *                   Ethernet1/0/1       00:04:05 00:1A:79:0A:B6:2D   V2
                                    Ethernet1/0/1       00:04:05 00:1A:79:0E:DA:A8   V2
                                    Ethernet1/0/1       00:04:05 00:1A:79:11:3B:14   V2
                                    Ethernet1/0/1       00:04:05 C4:6E:1F:FD:B0:17   V2
                                    Ethernet1/0/1       00:04:05 00:1A:79:24:61:F1   V2
                                    Ethernet1/0/1       00:04:05 14:CC:20:E6:C6:97   V2
                                    Ethernet1/0/3       00:04:02 00:1A:79:24:33:3D   V2
                                    Ethernet1/0/5       00:04:05 00:1A:79:24:64:0B   V2
224.0.2.2       *                   Ethernet1/0/1       00:04:06 00:1A:79:0C:09:AC   V2
                                    Ethernet1/0/1       00:04:06 00:1A:79:05:EE:BF   V2
                                    Ethernet1/0/1       00:04:06 00:1A:79:0F:92:B6   V2
                                    Ethernet1/0/1       00:04:06 00:1A:79:0E:88:D7   V2
                                    Ethernet1/0/1       00:04:06 00:1A:79:0A:3A:7C   V2
                                    Ethernet1/0/1       00:04:06 00:1A:79:23:8C:98   V2

Относительно вышеприведенной настройки этот вывод считается как две группы или как 14?

[Aleksey Sonkin]

@gard как две.

[gard]

Спасибо!

[dvv2000]

Приветствую форумчане!

Как начинающий провайдер столкнулись с периодическими тормозами у клиентов (не всех).

Кто как защищает коммутаторы SNR от проблем c падением скорости?

Почитал:

https://shop.nag.ru/article/snr-switch-storm

https://forum.nag.ru/index.php?/topic/141721-snr-loopback-detection/

 

Хочется посмотреть на конкретные примеры)))

[Pinkbyte]

В глобальной секции конфигурации:

loopback-detection interval-time 60 30
loopback-detection control-recovery timeout 120

В конфигурации каждого интерфейса:

 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown

 

[dvv2000]

1 hour ago, Pinkbyte said:

В глобальной секции конфигурации:

loopback-detection interval-time 60 30
loopback-detection control-recovery timeout 120

В конфигурации каждого интерфейса:

 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown

 

А в этом случае это будет работать?

[Pinkbyte]

Насчет модели S2950-24G ничего не могу сказать, у нас в эксплуатации только S2990-16X. Или я неправильно понял вопрос?

[VecH]

В 30.09.2020 в 17:55, Pinkbyte сказал:

В глобальной секции конфигурации:

loopback-detection interval-time 60 30
loopback-detection control-recovery timeout 120

В конфигурации каждого интерфейса:

 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown

 

на Uplink/Downlink интерфейсах тоже это включать?

[Pinkbyte]

3 hours ago, VecH said:

на Uplink/Downlink интерфейсах тоже это включать?

На Uplink-интерфейсах(и вообще между коммутаторами, там где нет конечных пользователей) лучше RSTP/MSTP

[waspagv]

Добрый день!

 

Подскажите, как фильтровать принимаемые анонсы OSPF на моделях 2990 и 2995? Конкретно, нужно принимать только default (0.0.0.0/0), а все остальные отбрасывать. Видимо, это делается опцией filter-policy в конфигурации router ospf. Но как должен выглядеть соответствующий acl/route-map?

[Aleksey Sonkin]

@waspagv добрый день!

!

router ospf 

 filter-policy route-map ospf-filter

!

ip prefix-list any seq 5 permit any

ip prefix-list default seq 6 permit 0.0.0.0/0

!

route-map ospf-filter permit 10

 match ip address prefix-list default

!

route-map ospf-filter deny 20

 match ip address prefix-list any

!

[waspagv]

@Aleksey Sonkin Спасибо! Так заработало.

[Zynaps]

В 26.11.2020 в 13:09, waspagv сказал:

Добрый день!

 

Подскажите, как фильтровать принимаемые анонсы OSPF на моделях 2990 и 2995? Конкретно, нужно принимать только default (0.0.0.0/0), а все остальные отбрасывать. Видимо, это делается опцией filter-policy в конфигурации router ospf. Но как должен выглядеть соответствующий acl/route-map?

Добрый день.

В наличии свитч:

 

  SNR-S2990G-24FX Device, Compiled on Dec 22 20:35:06 2020
  SoftWare Version 7.0.3.5(R0102.0312)
  BootRom Version 7.1.41
  HardWare Version 1.0.1

В конфигурации отсутствует возможность настроить "route-map". Ну, или я не нашёл, как.

При этом, в конфигурации OSPF можно настроить работу с route-map:

!

router ospf 10
 filter-policy route-map ospf-filter
!

 

Подскажите пожалуйста, как настроить фильтры в данном случае?

[Artem Ryabukhin]

16 часов назад, Zynaps сказал:

Подскажите пожалуйста, как настроить фильтры в данном случае?

Добрый день!

Для фильтрации маршрутов на коммутаторе S2990G-24FX вы можете использовать access-list:

access-list 100 permit ip host-source 0.0.0.0 any-destination
access-list 100 permit ospf host-source 0.0.0.0 any-destination
access-list 100 deny ospf any-source any-destination

!

router ospf 1

filter-policy 100
 

[Zynaps]

В 17.03.2021 в 12:53, Artem Ryabukhin сказал:

Для фильтрации маршрутов на коммутаторе S2990G-24FX вы можете использовать access-list:

 

Работает, спасибо!

[waspagv]

Создание class-map

 

Имеем SNR-S300X-24FQ. На нем реализуем механизм qinq с помощью class-map и policy-map. Класс определяется следующим образом:

class-map client-service
 match vlan 7 33 35 90 1000 1106 1110 1438
!

т.е. перечисляются виланы клиента, которые нужно завернуть во второй тэг. Заметил, что после match vlan можно указать не более 8 виланов, либо один range. А как быть, если у клиента более 8 виланов, и они не образуют непрерывной последовательности "от и до"?

[Aleksey Sonkin]

@waspagv Тогда можно использовать несколько class-map, по сути разницы кроме удобства нет. Ограничение в 8 VLAN на 1 class-map - аппаратное.

[waspagv]

6 минут назад, Aleksey Sonkin сказал:

@waspagv Тогда можно использовать несколько class-map, по сути разницы кроме удобства нет. Ограничение в 8 VLAN на 1 class-map - аппаратное.

Например, я сделаю так:

class-map client-service-1
 match vlan 7 33 35 90 1000 1106 1110 1438
!
class-map client-service-2
 match vlan 1122 3335 3410 
!

Как в таком случае будет выглядеть policy-map? В данный момент так:

policy-map RTS-tran
 class client-service
 add s-vid 511
 exit
!

 

[Aleksey Sonkin]

@waspagv 

policy-map RTS-tran
 class client-service-1
 add s-vid 511
 class client-service-2
 add s-vid 511
 exit
!

[waspagv]

После нескольких попыток сумел добиться такого с помощью insert-before:

policy-map RTS-tran
 class client-service-1
 add s-vid 511
 exit
 class client-service-2
 add s-vid 511
 exit
!

Пошел проверять.

[Aleksey Sonkin]

@waspagv разницы в порядке правил нет, так что insert-before излишен