Vladimir Efimtsev Опубликовано 25 ноября, 2022 · Жалоба @andpuxa проверил на тестовом стенде, ситуация также воспроизводится как и у вас. На данный момент взаимодействуем с разаработчиками, по результату обязательно здесь отпишемся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 14 декабря, 2022 · Жалоба @andpuxa, добрый день. Данное поведение на коммутаторах вполне нормальное. Смотрите, как все происходит, для примера возьмем ваши настройки касаемо dhcp: Глобальные: ip dhcp snooping enable ip dhcp snooping vlan 10-14 ip dhcp snooping binding enable ip dhcp snooping blocked record enable ip dhcp snooping broadcast suppress для интерфейса: ip dhcp snooping binding user-control vlan 10 ip dhcp snooping binding user-control max-user 1 ip dhcp snooping action shutdown recovery 60 Видим, что на порту прописана команда 'ip dhcp snooping binding user-control max-user 1'. Первый клиент получает свой IP-адрес из пула, его трафик успешно форвардится (DL). Второй клиент превысил порог на порту, при этом также получает IP-адрес из пула, но его трафик не форвардится (D). Но спустя какое-то время у него добавляется флаг L, и его трафик также начинает форвардиться. Думаю это вы и имели в виду: Подключено первое устройство: DHCP Snooping Binding built at Sun Jan 1 03:32:24 2006 Time Stamp: 12764 Ref Count: 1 VID 10, Port: Ethernet1/0/1 Client MAC: fc-3f-db-5e-c0-cc Client IP: 192.168.3.19 255.255.255.0 Gateway: 192.168.3.2 Lease: 600(s) Flag: DL Expired Binding: 0 Подключили вместо него второе: DHCP Snooping Binding built at Sun Jan 1 03:32:23 2006 Time Stamp: 12764 Ref Count: 1 VID 10, Port: Ethernet1/0/1 Client MAC: fc-3f-db-5e-c0-cc Client IP: 192.168.3.19 255.255.255.0 Gateway: 192.168.3.2 Lease: 600(s) Flag: DL -------------------------------------------------------- DHCP Snooping Binding built at Sun Jan 1 03:36:13 2006 Time Stamp: 12994 Ref Count: 1 VID 10, Port: Ethernet1/0/1 Client MAC: 64-31-50-8e-4b-85 Client IP: 192.168.3.15 255.255.255.0 Gateway: 192.168.3.2 Lease: 600(s) Flag: D Ко второму устройству добавляется флаг L, после того как исчезает первоначальная запись в таблице биндинга: DHCP Snooping Binding built at Sun Jan 1 03:38:11 2006 Time Stamp: 13112 Ref Count: 1 VID 10, Port: Ethernet1/0/1 Client MAC: 64-31-50-8e-4b-85 Client IP: 192.168.3.15 255.255.255.0 Gateway: 192.168.3.2 Lease: 482(s) Flag: DL А исчезает первая запись после определенного времени - это время аренды (lease time) + время на запрос (от 0 до 5 сек). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 14 декабря, 2022 · Жалоба собственно я об этом и писал ранее, ибо подозрение на время лизы сразу и пало, спасибо что подтвердили. Но знаете, как то не вяжется описание функционала с его реалиями, разрешили одному клиенту работать, остальным мимо, было бы хорошо, если бы была настройка, меняющая данное поведение по умолчанию, пока просто поднял время лизы, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 14 декабря, 2022 · Жалоба @andpuxa как вариант, вы можете создать обращение на support.nag, и мы рассмотрим возможность изменения данного функционала. Но вообще, как я и говорил ранее, если вам необходимо, чтобы когда кто-то другой садился за рабочее место и подключал туда новое устройство с другим мак-адресом, и чтобы администратор очищал таблицу биндинга, чтобы у нового пользователя появился доступ, вы можете вместо этого использовать "switchport port-security mac-address sticky", т.е. за портом будет закреплен первый изученный мак-адрес на порту, и администратор также может очищать данную запись при необходимости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 15 декабря, 2022 · Жалоба для начала, отобразите в документации, что привязка мака завязана на время лизы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 22 марта, 2023 (изменено) · Жалоба здравствуйте ,еще раз )) все то, о чем писалось выше, в принципе работает, но не понятен один момент. Если какой-нибудь мак изучен и забинден через снупинг, допустим на первом порту, перетыкаем устройство в другой порт этого же коммутатора, мак биндится на новом порту. Это вообще нормально? Вообще вся это возня со dhcp snooping для того, что бы на компьютере невозможно было бы сменить Ip адрес в ручную. И второе, можно ли включать функционал port-sec только в определенном vlan? Изменено 22 марта, 2023 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 22 марта, 2023 · Жалоба @andpuxa, добрый день. Quote Если какой-нибудь мак изучен и забинден через снупинг, допустим на первом порту, перетыкаем устройство в другой порт этого же коммутатора, мак биндится на новом порту. Это вообще нормально? А что вас смущает? Quote И второе, можно ли включать функционал port-sec только в определенном vlan? да, можно на порту: SNR-S2985G-24T(config-if-ethernet1/0/2)#switchport port-security mac-address aa-aa-aa-aa-aa-aa vlan ? <1-4094> Vlan identifier <1-4094> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 22 марта, 2023 (изменено) · Жалоба Имеется в виду , что порт гибрид и привязку по мак сделать только в одном vlan через стики, а в остальных динамика Изменено 22 марта, 2023 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 22 марта, 2023 · Жалоба Цитата А что вас смущает? меня это не смущает, а вводит в заблуждение, ибо четко не описано и все таки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 24 марта, 2023 (изменено) · Жалоба прошу с пониманием отнестись к таких хитрым конфигам, не моя прихоть, а указание сверху. в общем, подведя итог пришел к следующему: 1. порт гибрид, на нем несколько vlan, в одном телефония (14), в другом юзерсеть(10) 2. динамическая привязка 2 маков на порту через стики.(10,14) 3. запрет возможности менять полученный от dhcp адрес на любой другой из его подсети, с ограничением одного устройства. (10) 4. возможность комбинация port-sec и dhcp-snopping на одном порту? из данных вводных пришел к таким настройкам Interface Ethernet1/0/39 switchport mode hybrid switchport hybrid allowed vlan 14 tag switchport hybrid allowed vlan 10 untag switchport hybrid native vlan 10 loopback-detection specified-vlan 10-11;14 loopback-detection control shutdown switchport port-security switchport port-security maximum 2 switchport port-security mac-address sticky ip dhcp snooping binding user-control vlan 10 ip dhcp snooping binding user-control max-user 1 ip dhcp snooping action blackhole ! проверил, вроде все работает, хотелось бы понять не будет ли проблем в комбинации на одном порту port-sec и dhcp snooping binding user-control? Изменено 24 марта, 2023 пользователем andpuxa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 24 марта, 2023 · Жалоба @andpuxa, добрый день, понимаю вас. Проверим и обязательно ответим вам позднее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 29 марта, 2023 · Жалоба @andpuxa, каких-либо проблем быть не должно при одновременной настройке данных команд на порту. Но сперва отработает функционал Port-security, а затем уже dhcp snooping binding. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 29 марта, 2023 · Жалоба благодарю, так и надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fuzz_wizard Опубликовано 13 ноября, 2023 (изменено) · Жалоба Подскажите, впервые сталкиваюсь с продукцией snr, на л3 коммутаторе SNR-S3850G-24FX-UPS планируется настроить маршрутизацию между vlan и он будет подключаться к роутеру, как настроить интерфейс, которым коммутатор будет линковаться с роутером? Думал сделать как на цисках через no switchport и задать адрес, но в документации нашел, что создать л3 интерфейс можно только через добавление его в vlan предварительно (коммутаторы не распаковывал, поэтому только по документации могу ориентироваться и так же не хотелось бы городить с вланами мужду роутером и коммутатором) Изменено 13 ноября, 2023 пользователем fuzz_wizard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 14 ноября, 2023 · Жалоба Добрый день, @fuzz_wizard! На коммутаторах SNR нельзя прописать IP на порту как на цисках, можно настроить его только на SVI. Межвлановая маршрутизация по умолчанию включена на коммутаторе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fuzz_wizard Опубликовано 16 ноября, 2023 · Жалоба А подскажите, можно ли настроить так что бы роутер не знал про вланы, порт в сторону роутера на коммутаторе snr как настроить в таком случае? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeniy Rychkov Опубликовано 16 ноября, 2023 · Жалоба Цитата А подскажите, можно ли настроить так что бы роутер не знал про вланы, порт в сторону роутера на коммутаторе snr как настроить в таком случае? Здравствуйте. В сторону роутера настроить порт как access Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 24 ноября, 2023 · Жалоба здравствуйте, есть ли на коммутаторах серии 2985 аналог команды grep, что бы фильтровать вывод. допустим надо посмотреть все порты на предмет shutdown? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 24 ноября, 2023 · Жалоба @andpuxa, здравствуйте. Есть только стандартные средства: SNR-S2965-8T#sh log b l w | ? begin Begin with the line that matches exclude Exclude lines that match include Include lines that match SNR-S2965-8T#sh log b l w | i administratively 2295 %Jan 02 05:14:30:009 2006 <warnings> MODULE_PORT[zIMI]:%LINK-5-CHANGED: Interface Ethernet1/0/5, changed state to administratively DOWN SNR-S2965-8T# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 24 ноября, 2023 · Жалоба Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 5 декабря, 2023 (изменено) · Жалоба а где почитать доку по методам аутентификации, авторизации? на вики нашел касательно радиуса, а вот касательно локал не нашел. Изменено 5 декабря, 2023 пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 5 декабря, 2023 · Жалоба @batuy, здравствуйте. Для каких моделей интересует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 5 декабря, 2023 · Жалоба Владимир, для S29 (S2982G, S2995G). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 5 декабря, 2023 · Жалоба Для S2982G: https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2962_SNR-S2982G/[S2982G и S2962] Руководство по настройке.pdf или https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2962_SNR-S2982G/01-Commands for Basic Switch Configuration.pdf или https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2962_SNR-S2982G/09-Commands for Security Function.pdf Для S2995G: https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/01-Basic Management Configuration.pdf или https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/10-Security Function Configuration.pdf или https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/01-Commands for Basic Switch Configuration.pdf или https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/10-Commands for Security Function.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 29 декабря, 2023 (изменено) · Жалоба Добрый! а Access-group только in бывают, это прямо гвоздями прибито? и в нумерованных, да и в других, ACL никаких ремарок нет? и всякие established интересуют, собственно есть ли какой-либо аналог "access-list 100 permit tcp 10.3.80.0 0.0.0.255 10.10.29.0 0.0.0.255 established"? Изменено 29 декабря, 2023 пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...