Jump to content

Примеры настроек коммутаторов SNR

SNR
 Share

Recommended Posts

Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@andpuxa проверил на тестовом стенде, ситуация также воспроизводится как и у вас. На данный момент взаимодействуем с разаработчиками, по результату обязательно здесь отпишемся.

  • 3 weeks later...
  • Replies 477
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@andpuxa, добрый день.

Данное поведение на коммутаторах вполне нормальное.

Смотрите, как все происходит, для примера возьмем ваши настройки касаемо dhcp:

 

Глобальные:
ip dhcp snooping enable
ip dhcp snooping vlan 10-14
 ip dhcp snooping binding enable
 ip dhcp snooping blocked record enable
ip dhcp snooping broadcast suppress

 

для интерфейса:
ip dhcp snooping binding user-control vlan 10
ip dhcp snooping binding user-control max-user 1
ip dhcp snooping action shutdown recovery 60


Видим, что на порту прописана команда 'ip dhcp snooping binding user-control max-user 1'. Первый клиент получает свой IP-адрес из пула, его трафик успешно форвардится (DL). Второй клиент превысил порог на порту, при этом также получает IP-адрес из пула, но его трафик не форвардится (D). Но спустя какое-то время у него добавляется флаг L, и его трафик также начинает форвардиться. Думаю это вы и имели в виду:

 

Подключено первое устройство:

DHCP Snooping Binding built at Sun Jan  1 03:32:24 2006
        Time Stamp: 12764
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: fc-3f-db-5e-c0-cc
        Client IP: 192.168.3.19 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 600(s)
        Flag: DL

Expired Binding: 0


Подключили вместо него второе:

DHCP Snooping Binding built at Sun Jan  1 03:32:23 2006
        Time Stamp: 12764
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: fc-3f-db-5e-c0-cc
        Client IP: 192.168.3.19 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 600(s)
        Flag: DL
--------------------------------------------------------
DHCP Snooping Binding built at Sun Jan  1 03:36:13 2006
        Time Stamp: 12994
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: 64-31-50-8e-4b-85
        Client IP: 192.168.3.15 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 600(s)
        Flag: D
        

Ко второму устройству добавляется флаг L, после того как исчезает первоначальная запись в таблице биндинга:

DHCP Snooping Binding built at Sun Jan  1 03:38:11 2006
        Time Stamp: 13112
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: 64-31-50-8e-4b-85
        Client IP: 192.168.3.15 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 482(s)
        Flag: DL


А исчезает первая запись после определенного времени - это время аренды (lease time) + время на запрос (от 0 до 5 сек).

andpuxa

andpuxa

Posted
Posted

собственно я об этом и писал ранее, ибо подозрение на время лизы сразу и пало, спасибо что подтвердили. Но знаете, как то не вяжется описание функционала с его реалиями, разрешили одному клиенту работать, остальным мимо, было бы хорошо, если бы была настройка, меняющая данное поведение по умолчанию, пока просто поднял время лизы, спасибо

Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@andpuxa как вариант, вы можете создать обращение на support.nag, и мы рассмотрим возможность изменения данного функционала.

Но вообще, как я и говорил ранее, если вам необходимо, чтобы когда кто-то другой садился за рабочее место и подключал туда новое устройство с другим мак-адресом, и чтобы администратор очищал таблицу биндинга, чтобы у нового пользователя появился доступ, вы можете вместо этого использовать "switchport port-security mac-address sticky", т.е. за портом будет закреплен первый изученный мак-адрес на порту, и администратор также может очищать данную запись при необходимости.

  • 3 months later...
andpuxa

andpuxa

Posted
Posted (edited)

здравствуйте ,еще раз )) все то, о чем писалось выше, в принципе работает, но не понятен один момент. Если какой-нибудь мак изучен и забинден через снупинг, допустим на первом порту, перетыкаем устройство в другой порт этого же коммутатора, мак биндится на  новом порту. Это вообще нормально?  Вообще вся это возня со dhcp snooping  для того, что бы на компьютере невозможно было бы сменить Ip адрес в ручную.

И второе, можно ли включать функционал port-sec только в определенном vlan?

Edited by andpuxa
Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@andpuxa, добрый день.

Quote

Если какой-нибудь мак изучен и забинден через снупинг, допустим на первом порту, перетыкаем устройство в другой порт этого же коммутатора, мак биндится на  новом порту. Это вообще нормально? 

А что вас смущает?

 

Quote

И второе, можно ли включать функционал port-sec только в определенном vlan?

да, можно на порту:

SNR-S2985G-24T(config-if-ethernet1/0/2)#switchport port-security mac-address aa-aa-aa-aa-aa-aa vlan ?
  <1-4094>  Vlan identifier <1-4094>

andpuxa

andpuxa

Posted
Posted (edited)

Имеется в виду , что порт гибрид и привязку по мак сделать только в одном vlan через стики, а в остальных динамика

Edited by andpuxa
andpuxa

andpuxa

Posted
Posted (edited)

прошу с пониманием отнестись к таких хитрым конфигам, не моя прихоть, а указание сверху. 

в общем, подведя итог пришел к следующему:

1. порт гибрид, на нем несколько vlan, в  одном телефония (14), в другом юзерсеть(10)

2. динамическая привязка 2 маков на порту через стики.(10,14)

3. запрет возможности менять полученный от dhcp адрес на любой другой из его подсети, с ограничением одного устройства. (10)

4. возможность комбинация port-sec и dhcp-snopping на одном порту?

 

из данных вводных пришел к таким настройкам

 

Interface Ethernet1/0/39
 switchport mode hybrid
 switchport hybrid allowed vlan 14 tag
 switchport hybrid allowed vlan 10 untag
 switchport hybrid native vlan 10
 loopback-detection specified-vlan 10-11;14
 loopback-detection control shutdown
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 ip dhcp snooping binding user-control vlan 10
 ip dhcp snooping binding user-control max-user 1
 ip dhcp snooping action blackhole
!

проверил, вроде все работает, хотелось бы понять не будет ли проблем в комбинации на одном порту port-sec и dhcp snooping binding user-control?

Edited by andpuxa
  • 7 months later...
fuzz_wizard

fuzz_wizard

Posted
Posted (edited)

Подскажите, впервые сталкиваюсь с продукцией snr, на л3 коммутаторе SNR-S3850G-24FX-UPS планируется настроить маршрутизацию между vlan и он будет подключаться к роутеру, как настроить интерфейс, которым коммутатор будет линковаться с роутером? Думал сделать как на цисках через no switchport и задать адрес, но в документации нашел, что создать л3 интерфейс можно только через добавление его в vlan предварительно (коммутаторы не распаковывал, поэтому только по документации могу ориентироваться и так же не хотелось бы городить с вланами мужду роутером и коммутатором)

Edited by fuzz_wizard
Evgeniy Rychkov

Evgeniy Rychkov

Posted
Posted
Цитата

А подскажите, можно ли настроить так что бы роутер не знал про вланы, порт в сторону роутера на коммутаторе snr как настроить в таком случае?

Здравствуйте.

 

В сторону роутера настроить порт как access

andpuxa

andpuxa

Posted
Posted

здравствуйте, есть ли на коммутаторах серии 2985 аналог команды grep, что бы фильтровать вывод. допустим надо посмотреть все порты на предмет shutdown?

Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@andpuxa, здравствуйте.

Есть только стандартные средства:

 

SNR-S2965-8T#sh log b l w | ?
  begin    Begin with the line that matches
  exclude  Exclude lines that match
  include  Include lines that match

 

SNR-S2965-8T#sh log b l w | i administratively
2295 %Jan 02 05:14:30:009 2006 <warnings> MODULE_PORT[zIMI]:%LINK-5-CHANGED: Interface Ethernet1/0/5, changed state to administratively DOWN
SNR-S2965-8T#

  • 2 weeks later...
batuy

batuy

Posted
Posted (edited)

а где почитать доку по методам аутентификации, авторизации?

на вики нашел касательно радиуса, а вот касательно локал не нашел.

 

 

Edited by batuy
Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

Для S2982G:

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2962_SNR-S2982G/[S2982G и S2962] Руководство по настройке.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2962_SNR-S2982G/01-Commands for Basic Switch Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2962_SNR-S2982G/09-Commands for Security Function.pdf

 

Для S2995G:

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/01-Basic Management Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/10-Security Function Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/01-Commands for Basic Switch Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/10-Commands for Security Function.pdf

  • 4 weeks later...
batuy

batuy

Posted
Posted (edited)

Добрый!

а Access-group только in бывают, это прямо гвоздями прибито?

и в нумерованных, да и в других, ACL никаких ремарок нет?

и всякие established интересуют, собственно есть ли какой-либо аналог "access-list 100 permit tcp 10.3.80.0 0.0.0.255 10.10.29.0 0.0.0.255 established"?

Edited by batuy

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.