[Vladimir Efimtsev]

@andpuxa проверил на тестовом стенде, ситуация также воспроизводится как и у вас. На данный момент взаимодействуем с разаработчиками, по результату обязательно здесь отпишемся.

[Vladimir Efimtsev]

@andpuxa, добрый день.

Данное поведение на коммутаторах вполне нормальное.

Смотрите, как все происходит, для примера возьмем ваши настройки касаемо dhcp:

 

Глобальные:
ip dhcp snooping enable
ip dhcp snooping vlan 10-14
 ip dhcp snooping binding enable
 ip dhcp snooping blocked record enable
ip dhcp snooping broadcast suppress

 

для интерфейса:
ip dhcp snooping binding user-control vlan 10
ip dhcp snooping binding user-control max-user 1
ip dhcp snooping action shutdown recovery 60

Видим, что на порту прописана команда 'ip dhcp snooping binding user-control max-user 1'. Первый клиент получает свой IP-адрес из пула, его трафик успешно форвардится (DL). Второй клиент превысил порог на порту, при этом также получает IP-адрес из пула, но его трафик не форвардится (D). Но спустя какое-то время у него добавляется флаг L, и его трафик также начинает форвардиться. Думаю это вы и имели в виду:

 

Подключено первое устройство:

DHCP Snooping Binding built at Sun Jan  1 03:32:24 2006
        Time Stamp: 12764
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: fc-3f-db-5e-c0-cc
        Client IP: 192.168.3.19 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 600(s)
        Flag: DL

Expired Binding: 0

Подключили вместо него второе:

DHCP Snooping Binding built at Sun Jan  1 03:32:23 2006
        Time Stamp: 12764
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: fc-3f-db-5e-c0-cc
        Client IP: 192.168.3.19 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 600(s)
        Flag: DL
--------------------------------------------------------
DHCP Snooping Binding built at Sun Jan  1 03:36:13 2006
        Time Stamp: 12994
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: 64-31-50-8e-4b-85
        Client IP: 192.168.3.15 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 600(s)
        Flag: D
        

Ко второму устройству добавляется флаг L, после того как исчезает первоначальная запись в таблице биндинга:

DHCP Snooping Binding built at Sun Jan  1 03:38:11 2006
        Time Stamp: 13112
        Ref Count: 1
        VID 10, Port: Ethernet1/0/1
        Client MAC: 64-31-50-8e-4b-85
        Client IP: 192.168.3.15 255.255.255.0
        Gateway: 192.168.3.2
        Lease: 482(s)
        Flag: DL

А исчезает первая запись после определенного времени - это время аренды (lease time) + время на запрос (от 0 до 5 сек).

[andpuxa]

собственно я об этом и писал ранее, ибо подозрение на время лизы сразу и пало, спасибо что подтвердили. Но знаете, как то не вяжется описание функционала с его реалиями, разрешили одному клиенту работать, остальным мимо, было бы хорошо, если бы была настройка, меняющая данное поведение по умолчанию, пока просто поднял время лизы, спасибо

[Vladimir Efimtsev]

@andpuxa как вариант, вы можете создать обращение на support.nag, и мы рассмотрим возможность изменения данного функционала.

Но вообще, как я и говорил ранее, если вам необходимо, чтобы когда кто-то другой садился за рабочее место и подключал туда новое устройство с другим мак-адресом, и чтобы администратор очищал таблицу биндинга, чтобы у нового пользователя появился доступ, вы можете вместо этого использовать "switchport port-security mac-address sticky", т.е. за портом будет закреплен первый изученный мак-адрес на порту, и администратор также может очищать данную запись при необходимости.

[andpuxa]

для начала, отобразите в документации, что привязка мака завязана на время лизы. 

[andpuxa]

здравствуйте ,еще раз )) все то, о чем писалось выше, в принципе работает, но не понятен один момент. Если какой-нибудь мак изучен и забинден через снупинг, допустим на первом порту, перетыкаем устройство в другой порт этого же коммутатора, мак биндится на  новом порту. Это вообще нормально?  Вообще вся это возня со dhcp snooping  для того, что бы на компьютере невозможно было бы сменить Ip адрес в ручную.

И второе, можно ли включать функционал port-sec только в определенном vlan?

Изменено 22 марта, 2023 пользователем andpuxa

[Vladimir Efimtsev]

@andpuxa, добрый день.

Quote

Если какой-нибудь мак изучен и забинден через снупинг, допустим на первом порту, перетыкаем устройство в другой порт этого же коммутатора, мак биндится на  новом порту. Это вообще нормально? 

А что вас смущает?

 

Quote

И второе, можно ли включать функционал port-sec только в определенном vlan?

да, можно на порту:

SNR-S2985G-24T(config-if-ethernet1/0/2)#switchport port-security mac-address aa-aa-aa-aa-aa-aa vlan ?
  <1-4094>  Vlan identifier <1-4094>

[andpuxa]

Имеется в виду , что порт гибрид и привязку по мак сделать только в одном vlan через стики, а в остальных динамика

Изменено 22 марта, 2023 пользователем andpuxa

[andpuxa]

Цитата

А что вас смущает?

меня это не смущает, а вводит в заблуждение, ибо четко не описано и все таки?

[andpuxa]

прошу с пониманием отнестись к таких хитрым конфигам, не моя прихоть, а указание сверху. 

в общем, подведя итог пришел к следующему:

1. порт гибрид, на нем несколько vlan, в  одном телефония (14), в другом юзерсеть(10)

2. динамическая привязка 2 маков на порту через стики.(10,14)

3. запрет возможности менять полученный от dhcp адрес на любой другой из его подсети, с ограничением одного устройства. (10)

4. возможность комбинация port-sec и dhcp-snopping на одном порту?

 

из данных вводных пришел к таким настройкам

 

Interface Ethernet1/0/39
 switchport mode hybrid
 switchport hybrid allowed vlan 14 tag
 switchport hybrid allowed vlan 10 untag
 switchport hybrid native vlan 10
 loopback-detection specified-vlan 10-11;14
 loopback-detection control shutdown
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 ip dhcp snooping binding user-control vlan 10
 ip dhcp snooping binding user-control max-user 1
 ip dhcp snooping action blackhole
!

проверил, вроде все работает, хотелось бы понять не будет ли проблем в комбинации на одном порту port-sec и dhcp snooping binding user-control?

Изменено 24 марта, 2023 пользователем andpuxa

[Vladimir Efimtsev]

@andpuxa, добрый день, понимаю вас. Проверим и обязательно ответим вам позднее.

[Vladimir Efimtsev]

@andpuxa, каких-либо проблем быть не должно при одновременной настройке данных команд на порту. Но сперва отработает функционал Port-security, а затем уже dhcp snooping binding.

[andpuxa]

благодарю, так и надо

[fuzz_wizard]

Подскажите, впервые сталкиваюсь с продукцией snr, на л3 коммутаторе SNR-S3850G-24FX-UPS планируется настроить маршрутизацию между vlan и он будет подключаться к роутеру, как настроить интерфейс, которым коммутатор будет линковаться с роутером? Думал сделать как на цисках через no switchport и задать адрес, но в документации нашел, что создать л3 интерфейс можно только через добавление его в vlan предварительно (коммутаторы не распаковывал, поэтому только по документации могу ориентироваться и так же не хотелось бы городить с вланами мужду роутером и коммутатором)

Изменено 13 ноября, 2023 пользователем fuzz_wizard

[Kozubsky Vladimir]

Добрый день, @fuzz_wizard!
На коммутаторах SNR нельзя прописать IP на порту как на цисках, можно настроить его только на SVI. Межвлановая маршрутизация по умолчанию включена на коммутаторе.

[fuzz_wizard]

А подскажите, можно ли настроить так что бы роутер не знал про вланы, порт в сторону роутера на коммутаторе snr как настроить в таком случае?

[Evgeniy Rychkov]

Цитата

А подскажите, можно ли настроить так что бы роутер не знал про вланы, порт в сторону роутера на коммутаторе snr как настроить в таком случае?

Здравствуйте.

 

В сторону роутера настроить порт как access

[andpuxa]

здравствуйте, есть ли на коммутаторах серии 2985 аналог команды grep, что бы фильтровать вывод. допустим надо посмотреть все порты на предмет shutdown?

[Vladimir Efimtsev]

@andpuxa, здравствуйте.

Есть только стандартные средства:

 

SNR-S2965-8T#sh log b l w | ?
  begin    Begin with the line that matches
  exclude  Exclude lines that match
  include  Include lines that match

 

SNR-S2965-8T#sh log b l w | i administratively
2295 %Jan 02 05:14:30:009 2006 <warnings> MODULE_PORT[zIMI]:%LINK-5-CHANGED: Interface Ethernet1/0/5, changed state to administratively DOWN
SNR-S2965-8T#

[andpuxa]

Спасибо 

[batuy]

а где почитать доку по методам аутентификации, авторизации?

на вики нашел касательно радиуса, а вот касательно локал не нашел.

 

 

Изменено 5 декабря, 2023 пользователем batuy

[Vladimir Efimtsev]

@batuy, здравствуйте. Для каких моделей интересует?

[batuy]

Владимир, для S29 (S2982G, S2995G).

[Vladimir Efimtsev]

Для S2982G:

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2962_SNR-S2982G/[S2982G и S2962] Руководство по настройке.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2962_SNR-S2982G/01-Commands for Basic Switch Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2962_SNR-S2982G/09-Commands for Security Function.pdf

 

Для S2995G:

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/01-Basic Management Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/10-Security Function Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/01-Commands for Basic Switch Configuration.pdf

или

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/10-Commands for Security Function.pdf

[batuy]

Добрый!

а Access-group только in бывают, это прямо гвоздями прибито?

и в нумерованных, да и в других, ACL никаких ремарок нет?

и всякие established интересуют, собственно есть ли какой-либо аналог "access-list 100 permit tcp 10.3.80.0 0.0.0.255 10.10.29.0 0.0.0.255 established"?

Изменено 29 декабря, 2023 пользователем batuy