Перейти к содержимому
Калькуляторы

Примеры настроек коммутаторов SNR

@Sacrament, нет, loopback-detection будет обработан CPU раньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 hours ago, Sacrament said:

 loopback-detection specified-vlan 1-4094
 

С такой конструкцией поострожнее! Не глядя переведете в режим транка порт и сыпанет детекшен по всем виланам враз. Наступал на эти грабли лично. Лучше укажите конкретные виланы которые есть на порту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, ShyLion сказал:

С такой конструкцией поострожнее! Не глядя переведете в режим транка порт и сыпанет детекшен по всем виланам враз. Наступал на эти грабли лично. Лучше укажите конкретные виланы которые есть на порту.

Хорошо, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как включить привязку диапазона ip адресов  к порту + один мак к порту одновременно?

прошел по всем веткам решения не увидел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@lost_uz, можно воспользоваться MAC-IP ACL, например:

mac-ip-access-list extended <ACL_NAME>
  permit host-source-mac <MAC> any-destination-mac ip <IP> <IP_WILDCARD_MASK> any-destination
  deny any-source-mac any-destination-mac ip any-source any-destination
!
Interface <ifname>
 mac-ip access-group <ACL_NAME> in

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах


hmm. How to configure and block the rings? that it was played with the function loopback no use.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@JenniferT you can simply enable spanning-tree on every switch in the ring, so it'll block redundant links.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите как смотреть логи на SNR-S2990-16X? может я туплю?

#sh logging ?
  executed-commands  Command that user input

в конфиге тоже

(config)#logging ?
  executed-commands  Command that user input

  SoftWare Package Version 7.5.3.0(R0016.0034)
  BootRom Version 7.4.6
  HardWare Version 1.0.1
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@dima89, необходимая информация есть здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Victor Tkachenko сказал:

@dima89, необходимая информация есть здесь.

спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток..Можете пожалуйста объяснить или указать где читать про настройку QOS?

В данный момент абонент пользуется PPPOE соединением, но при этом присутствуют ещё и локальные ресурсы. Если же забить локальную сеть то интернет который проходит через PPPOE начинает жутко тормозить..Как поставить приоритет трафика на PPPOE? Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Kroys, доброго!

Трафик PPPoE сперва необходимо метить некоторым CoS, чтобы передавать в приоритетную очередь.

Руководство по конфигурации QoS есть здесь (для S2990G).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, возможно ли как-то ограничить inter-vlan маршрутизацию, кроме как через access-list? В частности, ограничить доступ к влану управления. Думал про route-map, но не могу сообразить, можно ли его тут применить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, televid сказал:

Подскажите, возможно ли как-то ограничить inter-vlan маршрутизацию, кроме как через access-list? В частности, ограничить доступ к влану управления. Думал про route-map, но не могу сообразить, можно ли его тут применить.

Добрый день.

На какой модели коммутаторов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.08.2018 в 14:03, televid сказал:

SNR-2995G-24FX

Route-map получится применить только на принимаемые префиксы по bgp/ospf. Для фильтра анонсируемых префиксов можно использовать distribute-list.

Если маршрутизация до VLAN управления статическая, лучше применить VACL. Также есть возможность добавить ACL на аутентификацию на коммутаторе:

authentication ip access-class {acl_name} in telnet
authentication ip access-class {acl_name} in web
authentication ip access-class {acl_name} in ssh

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, Ivan Tarasenko сказал:

Route-map получится применить только на принимаемые префиксы по bgp/ospf. Для фильтра анонсируемых префиксов можно использовать distribute-list.

Если маршрутизация до VLAN управления статическая, лучше применить VACL. Также есть возможность добавить ACL на аутентификацию на коммутаторе:


authentication ip access-class {acl_name} in telnet
authentication ip access-class {acl_name} in web
authentication ip access-class {acl_name} in ssh

 

Понятно, спасибо. Аутентификацию добавил. А extended access list на интерфейс влана назначить нельзя? Например, такой (запрет доступа из подсети 172.16.0.0/12 в подсеть 192.168.16.0/22):

ip access-list extended mgmt
  deny ip 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny tcp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny udp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  exit
!

На ethernet-интерфейс такой access-list назначить можно, а на интерфейс влан нет, у него нет опции ip access-group. Если, например, у меня порты в транке, и на них есть этот влан, то, получается, надо просто назначить всем этим портам этот access-list, вроде такого?

firewall enable
interface ethernet 1/0/1-28
 ip access-group mgmt in
!

Какие минусы могут быть у такого решения? Например, может ли это негативно сказаться на производительности/пропускной способности, ведь теперь весь трафик, проходящий через эти порты, будет проходить через файерволл?

 

Если делать через VACL, то всё равно есть доступ к влану:

firewall enable
vacl ip access-group mgmt in vlan 4000

Пример конфига:

 

Скрытый текст

hostname SNR-S2995G-24FX
authentication logging enable
!
authentication line console login local
authentication ip access-class mgmt_perm in telnet
authentication ip access-class mgmt_perm in ssh
authentication ip access-class mgmt_perm in web
!
Interface Ethernet0
 ip address 192.168.88.3 255.255.255.0
!
vlan 1;10-34 
!
vlan 4000
 name management
!
ip access-list standard mgmt_perm
  permit 192.168.16.0 0.0.3.255
  exit
!
ip access-list extended mgmt
  deny ip 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny tcp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  deny udp 172.16.0.0 0.15.255.255 192.168.16.0 0.0.3.255
  exit
!
vacl ip access-group mgmt in vlan 4000
!
#порты коммутаторов доступа
Interface Ethernet1/0/1
 switchport mode trunk
 switchport trunk allowed vlan 11;4000 
 switchport trunk native vlan 11
!
Interface Ethernet1/0/2
 switchport mode trunk
 switchport trunk allowed vlan 12;4000 
 switchport trunk native vlan 12
!
Interface Ethernet1/0/3
 switchport mode trunk
 switchport trunk allowed vlan 13;4000 
 switchport trunk native vlan 13
!
Interface Ethernet1/0/4
 switchport mode trunk
 switchport trunk allowed vlan 14;4000 
 switchport trunk native vlan 14
!
Interface Ethernet1/0/5
 switchport mode trunk
 switchport trunk allowed vlan 15;4000 
 switchport trunk native vlan 15
!
Interface Ethernet1/0/6
 switchport mode trunk
 switchport trunk allowed vlan 16;4000 
 switchport trunk native vlan 16
!
Interface Ethernet1/0/7
 switchport mode trunk
 switchport trunk allowed vlan 17;4000 
 switchport trunk native vlan 17
!
Interface Ethernet1/0/8
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
 switchport trunk native vlan 18
!         
Interface Ethernet1/0/9
 switchport mode trunk
 switchport trunk allowed vlan 19;4000 
 switchport trunk native vlan 19
!
Interface Ethernet1/0/10
 switchport mode trunk
 switchport trunk allowed vlan 20;4000 
 switchport trunk native vlan 20
!
Interface Ethernet1/0/11
 switchport mode trunk
 switchport trunk allowed vlan 21;4000 
 switchport trunk native vlan 21
!
Interface Ethernet1/0/12
 switchport mode trunk
 switchport trunk allowed vlan 22;4000 
 switchport trunk native vlan 22
!
Interface Ethernet1/0/13
 switchport mode trunk
 switchport trunk allowed vlan 23;4000 
 switchport trunk native vlan 23
!
Interface Ethernet1/0/14
 switchport mode trunk
 switchport trunk allowed vlan 24;4000 
 switchport trunk native vlan 24
!
Interface Ethernet1/0/15
 switchport mode trunk
 switchport trunk allowed vlan 25;4000 
 switchport trunk native vlan 25
!
Interface Ethernet1/0/16
 switchport mode trunk
 switchport trunk allowed vlan 26;4000 
 switchport trunk native vlan 26
!
Interface Ethernet1/0/17
 switchport mode trunk
 switchport trunk allowed vlan 27;4000 
 switchport trunk native vlan 27
!
Interface Ethernet1/0/18
 switchport mode trunk
 switchport trunk allowed vlan 28;4000 
 switchport trunk native vlan 28
!
Interface Ethernet1/0/19
 switchport mode trunk
 switchport trunk allowed vlan 29;4000 
 switchport trunk native vlan 29
!
Interface Ethernet1/0/20
 switchport mode trunk
 switchport trunk allowed vlan 30;4000 
 switchport trunk native vlan 30
!
Interface Ethernet1/0/21
 switchport mode trunk
 switchport trunk allowed vlan 31;4000 
 switchport trunk native vlan 31
!
Interface Ethernet1/0/22
 switchport mode trunk
 switchport trunk allowed vlan 32;4000 
 switchport trunk native vlan 32
!
Interface Ethernet1/0/23
 switchport mode trunk
 switchport trunk allowed vlan 33;4000 
 switchport trunk native vlan 33
!
Interface Ethernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 34;4000 
 switchport trunk native vlan 34
!
#аплинк к ядру
Interface Ethernet1/0/25
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
Interface Ethernet1/0/26
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
Interface Ethernet1/0/27
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
Interface Ethernet1/0/28
 switchport mode trunk
 switchport trunk allowed vlan 10;4000 
!
#подсеть ядра
interface Vlan10
 ip address 172.16.0.2 255.255.255.0
!         
#подсети доступа
interface Vlan11
 ip address 172.16.1.1 255.255.255.0
!
interface Vlan12
 ip address 172.16.2.1 255.255.255.0
!
interface Vlan13
 ip address 172.16.3.1 255.255.255.0
!
interface Vlan14
 ip address 172.16.4.1 255.255.255.0
!
interface Vlan15
 ip address 172.16.5.1 255.255.255.0
!
interface Vlan16
 ip address 172.16.6.1 255.255.255.0
!
interface Vlan17
 ip address 172.16.7.1 255.255.255.0
!
interface Vlan18
 ip address 172.16.8.1 255.255.255.0
!
interface Vlan19
 ip address 172.16.9.1 255.255.255.0
!
interface Vlan20
 ip address 172.16.10.1 255.255.255.0
!
interface Vlan21
 ip address 172.16.11.1 255.255.255.0
!         
interface Vlan22
 ip address 172.16.12.1 255.255.255.0
!
interface Vlan23
 ip address 172.16.13.1 255.255.255.0
!
interface Vlan24
 ip address 172.16.14.1 255.255.255.0
!
interface Vlan25
 ip address 172.16.15.1 255.255.255.0
!
interface Vlan26
 ip address 172.16.16.1 255.255.255.0
!
interface Vlan27
 ip address 172.16.17.1 255.255.255.0
!
interface Vlan28
 ip address 172.16.18.1 255.255.255.0
!
interface Vlan29
 ip address 172.16.19.1 255.255.255.0
!
interface Vlan30
 ip address 172.16.20.1 255.255.255.0
!
interface Vlan31
 ip address 172.16.21.1 255.255.255.0
!
interface Vlan32
 ip address 172.16.22.1 255.255.255.0
!         
interface Vlan33
 ip address 172.16.23.1 255.255.255.0
!
interface Vlan34
 ip address 172.16.24.1 255.255.255.0
!
#подсеть управления
interface Vlan4000
 ip address 192.168.16.4 255.255.252.0
!
router ospf
 ospf router-id 192.168.16.4
 network 172.16.0.0/24 area 0.0.0.0
 redistribute connected
!
sntp server 192.168.16.1
!
no login
!
captive-portal
!
end

 

При этом клиент с адресом, например, 172.16.1.2 всё равно может получить доступ к влану 4000 через 172.16.1.1. В 4000-м влане также и управление коммутаторами доступа.

Изменено пользователем televid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.08.2018 в 18:22, televid сказал:

Если, например, у меня порты в транке, и на них есть этот влан, то, получается, надо просто назначить всем этим портам этот access-list, вроде такого?

Да, именно так. В данном случае нужно добавить либо VACL на все vlan доступа, либо на порты доступа. ACL на интерфейс добавить нельзя.

ACL - аппаратная функция, на производительности или пропускной способности это никак не скажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Нужно настроить qinq на коммутаторе SNR-S2950-24G SoftWare Version 7.0.3.0(R0013.0002)
По мануалу на сайте это сделать не получается.
Задача простая:

 

Interface Ethernet1/1
switchport access vlan 2301
!
Interface Ethernet1/2
switchport access vlan 2302

 

Нужно запаковать vlan 2301-2302 в vlan 2300 и отдать транком в et 1/24.
Подскажите, пожалуйста, набор команд для выполнения задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@p0weruser, добрый день.

Вам ответили в обращении, оставленном вами в support.nag.ru: на коммутаторе SNR-S2950-24G отсутствует поддержка QinQ. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

добрый день 2970g-24s как включить 100мб на порту. медиаконветор загорается только на 1000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, hukuta90 сказал:

добрый день 2970g-24s как включить 100мб на порту. медиаконветор загорается только на 1000

Добрый день.

conf
interface Gi 0/1
speed 100
!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, Ivan Tarasenko сказал:

Добрый день.


conf
interface Gi 0/1
speed 100
!

 

Спасибо, попробуем 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте. Коммутатор SNR 2985G 24T, Как настроить VLAN. Впервые пытаюсь настроить оборудование от НАГ.

 

Нужно нетегированный трафик из 3 подсетей "пустить во Vlan-ы" чтобы "отдать" его виртуальным хостам по разным VLAN.

Или подскажите, какие режимы VLAN у SNR соответствуют

Untagget

Tagget

Notmember  по аналогии с DLink/

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@gserg, здравствуйте!

Руководство есть здесь.

 

Для начала создаете нужные vlan:

conf
 vlan 101-103

Для порта с трафиком без тега:

conf
 interface ethernet 1/0/1
  switchport mode access
  switchport access vlan 101

Для порта с тегированным трафиком:

conf
 interface ethernet 1/0/10
  switchport mode trunk
  switchport trunk allowed vlan 101-103

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.