Jump to content
Калькуляторы

Примеры настроек коммутаторов SNR

Цитата

Ознакомтесь, пожалуйста, с документацией

ознакомился. собственно в вашей вики перевод ровно того же самого, не понял зачем мне эти доки было кидать, ну не суть.

так и не нашел ответа на вопрос:

какое правило применяется по умолчанию если трафик не попал ни под одно из существующих?

как и в вашей вики есть упоминание такого правила, но что оно такое написать забыли

Цитата

1.1.3 Access-list Action and Global Default Action
There are two access-list actions and default actions: “permit” or “deny”. The
following rules apply:
 An access-list can consist of several rules. Filtering of packets compares packet
conditions to the rules, from the first rule to the first matched rule; the rest of the rules
will not be processed. Global default action applies only to IP packets in the incoming
direction on the ports.
 Global default action applies only when packet flirter is enabled on a port and no ACL
is bound to that port, or no binding ACL matches

еще есть упоминание о возможности конфигурирования дефолтного действия, но опять забыли написать как

Цитата

2. Configuring the packet filtering function
(1) Enable global packet filtering function
(2) Configure default action

2. Configuring packet filtering function
(1) Enable global packet filtering function
Command Explanation
Global Mode
firewall enable Enables global packet filtering function.
firewall disable Disables global packet filtering function.
3. Configuring time range function

и где пункт 2 (2) "Configure default action"?

Share this post


Link to post
Share on other sites

Quote

какое правило применяется по умолчанию если трафик не попал ни под одно из существующих?

Если вы про свой пример, который показывали ранее, там у вас в конце явно прописано "deny any any". Трафик, который не попал ни под одно правило, попадет под это последнее правило, т.е. будет отброшен.

Если не указывать явно это последнее правило, то по умолчанию используется неявный implicit permit (все что не запрещено - разрешено).

Share this post


Link to post
Share on other sites

Цитата

хм... интересная логика.

@batuy здравствуйте, по поводу варианта, который предложил в качестве решения вопроса по организации запрета established.

Т.к. эта логика работы ACL была нестандартная, то мы исследовали данное поведение и обнаружили, что это баг. Он был устранен в новой версии ПО. Поэтом если будете обновлять коммутатор, то работать перестанет.

На коммутаторе нет аналога established.

Share this post


Link to post
Share on other sites

Здравствуйте! Подскажите, начал настраивать коммутатор SNR-S3850G-24, езернет порты (первые 8 штук) дублируют первые 8 spf порта? После настройки агрегации первых 8 портов (как я думал настраиваю эзернет порты), первые 8 spf портов так же приняли все эти настройки.

Share this post


Link to post
Share on other sites

@fuzz_wizard, здравствуйте! Первые 8 портов у данной модели являются комбо-портами. То есть вы можете использовать что-то одно. Например, если вы используете 1ый порт как медный, то вы не сможете использовать еще там и оптическое подключение, или наоборот.

И соответственно, на самом коммутаторе порты и обзначены как комбо:

Interface       Link/Protocol  Speed   Duplex  Vlan   Type
1/0/1           UP/UP          a-1G    a-FULL  trunk  G-Combo:Copper
1/0/2           DOWN/DOWN      auto    auto    trunk  G-Combo         
1/0/3           DOWN/DOWN      auto    auto    1      G-Combo         
1/0/4           DOWN/DOWN      auto    auto    1      G-Combo         
1/0/5           DOWN/DOWN      auto    auto    1      G-Combo         
1/0/6           DOWN/DOWN      auto    auto    1      G-Combo         
1/0/7           DOWN/DOWN      auto    auto    1      G-Combo         
1/0/8           DOWN/DOWN      auto    auto    1      G-Combo 

 

и когда вы настраиваете порт, то настройки распространяется и на оптический, и на медный (на данном комбо-порту).

 

Можно выбрать приоритет, что будет работать: оптика или медь:

 

SNR-S3850G-24FX(config-if-ethernet1/0/2)#media-type ?
  copper                 Select Copper
  copper-preferred-auto  Copper-preferred-auto
  fiber                  Select Fiber
  sfp-preferred-auto     Sfp-preferred-auto

Share this post


Link to post
Share on other sites

Цитата

На коммутаторе нет аналога established.

понятно, спасибо.

правда уже не актуально, унесли все это на нормальный L3 свич с L3 ACL.

Share this post


Link to post
Share on other sites

Как на линейке 2985G при вводе в режиме глобальной конфигурации команды: ip dhcp snooping limit-rate 20

указать поведение: {block | shutdown}

 

И еще вопрос.

команда: ip dhcp snooping limit-rate применяется для всех портов (trust и untrast ) или только для тех, кто untrust? 

Share this post


Link to post
Share on other sites

@RN3DCX, здравствуйте. Функционал 'ip dhcp snooping limit-rate ...' позволяет контролировать и ограничивать проходящие DHCP пакеты через коммутатор (при включенном dhcp snooping). Для данного функционала нельзя выбрать какое-то действие, коммутатор просто программно ограничивает лимит проходящих через него DHCP пакетов, при превышении этого порога пакеты просто будут отброшены.

Да и по отношению к чему можно было бы применить действие (block | shutdown)?

 

Действие по блокировке порта или помещению клиента в "блэкхол" (blackhole | shutdown), можно настроить в режиме конфигурации порта, если на недоверенном порту будет получено сообщение от DHCP-сервера:

SNR-S2985G-24T(config-if-ethernet1/0/2)#ip dhcp snooping action ?
  blackhole  Blackhole the mac
  shutdown   Shutdown the port

 

Но для вышеуказанного функционала, такой возможности нет.

 

По поводу того, для каких портов будет актуальна данная команда (для всех, или только для недоверенных), на данный момент точно сказать не могу, т.к. не проводили тесты, скорее всего, поскольку dhcp snooping регулирует и отслеживает сообщения только с untrusted портов, то для этих портов и будет актуально. Но, как уже сказал, не проверял подобное поведение. Если вам критично, можем проверить и сказать точно.

Share this post


Link to post
Share on other sites

В 03.10.2024 в 06:56, Vladimir Efimtsev сказал:

Если вам критично, можем проверить и сказать точно.

 

Буду вам очень признателен, если поможете в этом вопросе.

Share this post


Link to post
Share on other sites

@RN3DCX, по информации от R&D, действие данной команды будет распространяться на все порты.

Share this post


Link to post
Share on other sites

Добрый день. Проблема с удалённым доступом к коммутатору SNR-S2989G-24TX. Подключил в локальную сеть, произвёл необходимые настройки, передал в удалённый офис. Между офисами поднят VPN туннель, остальное оборудование в удалённой сети доступно для управления, доступ к SNR по web/ssh пропал, ping не проходит. С локального компьютера в удалённой сети SNR доступен. Подскажите, какую настройку необходимо добавить для разрешения удалённого доступа?

Share this post


Link to post
Share on other sites

Default route на шлюз сети в которой находится свитч, если вы конечно ещё с Vlan ничего не мудрили

Share this post


Link to post
Share on other sites

@String, здравствуйте. Так сходу, не зная ни схемы сети, ни настроек, которые вы произвели на коммутаторе сложно сказать в чем именно причина.

Можете показать схему сети, версию прошивки на коммутаторе ('sh ver'), конфиг ('sh run'). Как именно и откуда пытаетесь получить доступ и т.д.

Share this post


Link to post
Share on other sites

Подскажите, на SNR-S2965-24T при выводе команды: show mac-address-table

Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1216 50-88-11-50-b5-e8           STATIC  App      Ethernet1/0/3

Получаю два непонятных значения STATIC и App (Что значит App?)

Руками mac-address не в бивал.  

 

Interface Ethernet1/0/3
 bridge-protocol filter lldp
 storm-control broadcast 128
 switchport access vlan 1216
 switchport flood-control mcast
 loopback-detection specified-vlan 1216
 loopback-detection control shutdown
 ip dhcp snooping binding user-control
 ip dhcp snooping binding user-control max-user 1
 ip arp inspection limit-rate 10
 

Share this post


Link to post
Share on other sites

Здравствуйте.

Это значит, что мак адрес был "разрешен" на этом порту не динамически, а с использованием какими-нибудь функциями коммутатора. App - application.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.