Jump to content
Калькуляторы

Примеры настроек коммутаторов SNR

18 hours ago, Sacrament said:

 loopback-detection specified-vlan 1-4094
 

С такой конструкцией поострожнее! Не глядя переведете в режим транка порт и сыпанет детекшен по всем виланам враз. Наступал на эти грабли лично. Лучше укажите конкретные виланы которые есть на порту.

Share this post


Link to post
Share on other sites
18 минут назад, ShyLion сказал:

С такой конструкцией поострожнее! Не глядя переведете в режим транка порт и сыпанет детекшен по всем виланам враз. Наступал на эти грабли лично. Лучше укажите конкретные виланы которые есть на порту.

Хорошо, спасибо.

Share this post


Link to post
Share on other sites

как включить привязку диапазона ip адресов  к порту + один мак к порту одновременно?

прошел по всем веткам решения не увидел.

Share this post


Link to post
Share on other sites

@lost_uz, можно воспользоваться MAC-IP ACL, например:

mac-ip-access-list extended <ACL_NAME>
  permit host-source-mac <MAC> any-destination-mac ip <IP> <IP_WILDCARD_MASK> any-destination
  deny any-source-mac any-destination-mac ip any-source any-destination
!
Interface <ifname>
 mac-ip access-group <ACL_NAME> in

 

Share this post


Link to post
Share on other sites


hmm. How to configure and block the rings? that it was played with the function loopback no use.

Share this post


Link to post
Share on other sites

подскажите как смотреть логи на SNR-S2990-16X? может я туплю?

#sh logging ?
  executed-commands  Command that user input

в конфиге тоже

(config)#logging ?
  executed-commands  Command that user input

  SoftWare Package Version 7.5.3.0(R0016.0034)
  BootRom Version 7.4.6
  HardWare Version 1.0.1
 

Share this post


Link to post
Share on other sites
1 час назад, Victor Tkachenko сказал:

@dima89, необходимая информация есть здесь.

спасибо!

Share this post


Link to post
Share on other sites

Доброго времени суток..Можете пожалуйста объяснить или указать где читать про настройку QOS?

В данный момент абонент пользуется PPPOE соединением, но при этом присутствуют ещё и локальные ресурсы. Если же забить локальную сеть то интернет который проходит через PPPOE начинает жутко тормозить..Как поставить приоритет трафика на PPPOE? Заранее спасибо.

Share this post


Link to post
Share on other sites

@Kroys, доброго!

Трафик PPPoE сперва необходимо метить некоторым CoS, чтобы передавать в приоритетную очередь.

Руководство по конфигурации QoS есть здесь (для S2990G).

Share this post


Link to post
Share on other sites

Подскажите, возможно ли как-то ограничить inter-vlan маршрутизацию, кроме как через access-list? В частности, ограничить доступ к влану управления. Думал про route-map, но не могу сообразить, можно ли его тут применить.

Share this post


Link to post
Share on other sites
12 часов назад, televid сказал:

Подскажите, возможно ли как-то ограничить inter-vlan маршрутизацию, кроме как через access-list? В частности, ограничить доступ к влану управления. Думал про route-map, но не могу сообразить, можно ли его тут применить.

Добрый день.

На какой модели коммутаторов?

Share this post


Link to post
Share on other sites
В 22.08.2018 в 14:03, televid сказал:

SNR-2995G-24FX

Route-map получится применить только на принимаемые префиксы по bgp/ospf. Для фильтра анонсируемых префиксов можно использовать distribute-list.

Если маршрутизация до VLAN управления статическая, лучше применить VACL. Также есть возможность добавить ACL на аутентификацию на коммутаторе:

authentication ip access-class {acl_name} in telnet
authentication ip access-class {acl_name} in web
authentication ip access-class {acl_name} in ssh

 

Share this post


Link to post
Share on other sites
8 часов назад, Ivan Tarasenko сказал:

Route-map получится применить только на принимаемые префиксы по bgp/ospf. Для фильтра анонсируемых префиксов можно использовать distribute-list.

Если маршрутизация до VLAN управления статическая, лучше применить VACL. Также есть возможность добавить ACL на аутентификацию на коммутаторе:


authentication ip access-class {acl_name} in telnet
authentication ip access-class {acl_name} in web
authentication ip access-class {acl_name} in ssh

 

Понятно, спасибо. Аутентификацию добавил. А extended access list на интерфейс влана назначить нельзя? Например, такой (запрет доступа из подсети 172.16.0.0/12 в подсеть 192.168.16.0/22):

ip access-list extended mgmt
  deny ip 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny tcp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny udp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  exit
!

На ethernet-интерфейс такой access-list назначить можно, а на интерфейс влан нет, у него нет опции ip access-group. Если, например, у меня порты в транке, и на них есть этот влан, то, получается, надо просто назначить всем этим портам этот access-list, вроде такого?

firewall enable
interface ethernet 1/0/1-28
 ip access-group mgmt in
!

Какие минусы могут быть у такого решения? Например, может ли это негативно сказаться на производительности/пропускной способности, ведь теперь весь трафик, проходящий через эти порты, будет проходить через файерволл?

 

Если делать через VACL, то всё равно есть доступ к влану:

firewall enable
vacl ip access-group mgmt in vlan 4000

Пример конфига:

 

Скрытый текст

hostname SNR-S2995G-24FX
authentication logging enable
!
authentication line console login local
authentication ip access-class mgmt_perm in telnet
authentication ip access-class mgmt_perm in ssh
authentication ip access-class mgmt_perm in web
!
Interface Ethernet0
 ip address 192.168.88.3 255.255.255.0
!
vlan 1;10-34 
!
vlan 4000
 name management
!
ip access-list standard mgmt_perm
  permit 192.168.16.0 0.0.3.255
  exit
!
ip access-list extended mgmt
  deny ip 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny tcp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny udp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  exit
!
vacl ip access-group mgmt in vlan 4000
!
#порты коммутаторов доступа
Interface Ethernet1/0/1
 switchport mode trunk
 switchport trunk allowed vlan 11;4000 
 switchport trunk native vlan 11
!
Interface Ethernet1/0/2
 switchport mode trunk
 switchport trunk allowed vlan 12;4000 
 switchport trunk native vlan 12
!
Interface Ethernet1/0/3
 switchport mode trunk
 switchport trunk allowed vlan 13;4000 
 switchport trunk native vlan 13
!
Interface Ethernet1/0/4
 switchport mode trunk
 switchport trunk allowed vlan 14;4000 
 switchport trunk native vlan 14
!
Interface Ethernet1/0/5
 switchport mode trunk
 switchport trunk allowed vlan 15;4000 
 switchport trunk native vlan 15
!
Interface Ethernet1/0/6
 switchport mode trunk
 switchport trunk allowed vlan 16;4000 
 switchport trunk native vlan 16
!
Interface Ethernet1/0/7
 switchport mode trunk
 switchport trunk allowed vlan 17;4000 
 switchport trunk native vlan 17
!
Interface Ethernet1/0/8
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
 switchport trunk native vlan 18
!         
Interface Ethernet1/0/9
 switchport mode trunk
 switchport trunk allowed vlan 19;4000 
 switchport trunk native vlan 19
!
Interface Ethernet1/0/10
 switchport mode trunk
 switchport trunk allowed vlan 20;4000 
 switchport trunk native vlan 20
!
Interface Ethernet1/0/11
 switchport mode trunk
 switchport trunk allowed vlan 21;4000 
 switchport trunk native vlan 21
!
Interface Ethernet1/0/12
 switchport mode trunk
 switchport trunk allowed vlan 22;4000 
 switchport trunk native vlan 22
!
Interface Ethernet1/0/13
 switchport mode trunk
 switchport trunk allowed vlan 23;4000 
 switchport trunk native vlan 23
!
Interface Ethernet1/0/14
 switchport mode trunk
 switchport trunk allowed vlan 24;4000 
 switchport trunk native vlan 24
!
Interface Ethernet1/0/15
 switchport mode trunk
 switchport trunk allowed vlan 25;4000 
 switchport trunk native vlan 25
!
Interface Ethernet1/0/16
 switchport mode trunk
 switchport trunk allowed vlan 26;4000 
 switchport trunk native vlan 26
!
Interface Ethernet1/0/17
 switchport mode trunk
 switchport trunk allowed vlan 27;4000 
 switchport trunk native vlan 27
!
Interface Ethernet1/0/18
 switchport mode trunk
 switchport trunk allowed vlan 28;4000 
 switchport trunk native vlan 28
!
Interface Ethernet1/0/19
 switchport mode trunk
 switchport trunk allowed vlan 29;4000 
 switchport trunk native vlan 29
!
Interface Ethernet1/0/20
 switchport mode trunk
 switchport trunk allowed vlan 30;4000 
 switchport trunk native vlan 30
!
Interface Ethernet1/0/21
 switchport mode trunk
 switchport trunk allowed vlan 31;4000 
 switchport trunk native vlan 31
!
Interface Ethernet1/0/22
 switchport mode trunk
 switchport trunk allowed vlan 32;4000 
 switchport trunk native vlan 32
!
Interface Ethernet1/0/23
 switchport mode trunk
 switchport trunk allowed vlan 33;4000 
 switchport trunk native vlan 33
!
Interface Ethernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 34;4000 
 switchport trunk native vlan 34
!
#аплинк к ядру
Interface Ethernet1/0/25
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
Interface Ethernet1/0/26
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
Interface Ethernet1/0/27
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
Interface Ethernet1/0/28
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
#подсеть ядра
interface Vlan10
 ip address 172.16.0.2 255.255.255.0
!         
#подсети доступа
interface Vlan11
 ip address 172.16.1.1 255.255.255.0
!
interface Vlan12
 ip address 172.16.2.1 255.255.255.0
!
interface Vlan13
 ip address 172.16.3.1 255.255.255.0
!
interface Vlan14
 ip address 172.16.4.1 255.255.255.0
!
interface Vlan15
 ip address 172.16.5.1 255.255.255.0
!
interface Vlan16
 ip address 172.16.6.1 255.255.255.0
!
interface Vlan17
 ip address 172.16.7.1 255.255.255.0
!
interface Vlan18
 ip address 172.16.8.1 255.255.255.0
!
interface Vlan19
 ip address 172.16.9.1 255.255.255.0
!
interface Vlan20
 ip address 172.16.10.1 255.255.255.0
!
interface Vlan21
 ip address 172.16.11.1 255.255.255.0
!         
interface Vlan22
 ip address 172.16.12.1 255.255.255.0
!
interface Vlan23
 ip address 172.16.13.1 255.255.255.0
!
interface Vlan24
 ip address 172.16.14.1 255.255.255.0
!
interface Vlan25
 ip address 172.16.15.1 255.255.255.0
!
interface Vlan26
 ip address 172.16.16.1 255.255.255.0
!
interface Vlan27
 ip address 172.16.17.1 255.255.255.0
!
interface Vlan28
 ip address 172.16.18.1 255.255.255.0
!
interface Vlan29
 ip address 172.16.19.1 255.255.255.0
!
interface Vlan30
 ip address 172.16.20.1 255.255.255.0
!
interface Vlan31
 ip address 172.16.21.1 255.255.255.0
!
interface Vlan32
 ip address 172.16.22.1 255.255.255.0
!         
interface Vlan33
 ip address 172.16.23.1 255.255.255.0
!
interface Vlan34
 ip address 172.16.24.1 255.255.255.0
!
#подсеть управления
interface Vlan4000
 ip address 192.168.16.4 255.255.252.0
!
router ospf
 ospf router-id 192.168.16.4
 network 172.16.0.0/24 area 0.0.0.0
 redistribute connected
!
sntp server 192.168.16.1
!
no login
!
captive-portal
!
end

 

При этом клиент с адресом, например, 172.16.1.2 всё равно может получить доступ к влану 4000 через 172.16.1.1. В 4000-м влане также и управление коммутаторами доступа.

Edited by televid

Share this post


Link to post
Share on other sites
В 24.08.2018 в 18:22, televid сказал:

Если, например, у меня порты в транке, и на них есть этот влан, то, получается, надо просто назначить всем этим портам этот access-list, вроде такого?

Да, именно так. В данном случае нужно добавить либо VACL на все vlan доступа, либо на порты доступа. ACL на интерфейс добавить нельзя.

ACL - аппаратная функция, на производительности или пропускной способности это никак не скажется.

Share this post


Link to post
Share on other sites

Добрый день!

Нужно настроить qinq на коммутаторе SNR-S2950-24G SoftWare Version 7.0.3.0(R0013.0002)
По мануалу на сайте это сделать не получается.
Задача простая:

 

Interface Ethernet1/1
switchport access vlan 2301
!
Interface Ethernet1/2
switchport access vlan 2302

 

Нужно запаковать vlan 2301-2302 в vlan 2300 и отдать транком в et 1/24.
Подскажите, пожалуйста, набор команд для выполнения задачи.

Share this post


Link to post
Share on other sites

@p0weruser, добрый день.

Вам ответили в обращении, оставленном вами в support.nag.ru: на коммутаторе SNR-S2950-24G отсутствует поддержка QinQ. 

Share this post


Link to post
Share on other sites

добрый день 2970g-24s как включить 100мб на порту. медиаконветор загорается только на 1000

Share this post


Link to post
Share on other sites
4 часа назад, hukuta90 сказал:

добрый день 2970g-24s как включить 100мб на порту. медиаконветор загорается только на 1000

Добрый день.

conf
interface Gi 0/1
speed 100
!

 

Share this post


Link to post
Share on other sites
15 минут назад, Ivan Tarasenko сказал:

Добрый день.


conf
interface Gi 0/1
speed 100
!

 

Спасибо, попробуем 

Share this post


Link to post
Share on other sites

Здравствуйте. Коммутатор SNR 2985G 24T, Как настроить VLAN. Впервые пытаюсь настроить оборудование от НАГ.

 

Нужно нетегированный трафик из 3 подсетей "пустить во Vlan-ы" чтобы "отдать" его виртуальным хостам по разным VLAN.

Или подскажите, какие режимы VLAN у SNR соответствуют

Untagget

Tagget

Notmember  по аналогии с DLink/

 

 

Share this post


Link to post
Share on other sites

@gserg, здравствуйте!

Руководство есть здесь.

 

Для начала создаете нужные vlan:

conf
 vlan 101-103

Для порта с трафиком без тега:

conf
 interface ethernet 1/0/1
  switchport mode access
  switchport access vlan 101

Для порта с тегированным трафиком:

conf
 interface ethernet 1/0/10
  switchport mode trunk
  switchport trunk allowed vlan 101-103

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now