batuy Posted January 11 · Report post Цитата Ознакомтесь, пожалуйста, с документацией ознакомился. собственно в вашей вики перевод ровно того же самого, не понял зачем мне эти доки было кидать, ну не суть. так и не нашел ответа на вопрос: какое правило применяется по умолчанию если трафик не попал ни под одно из существующих? как и в вашей вики есть упоминание такого правила, но что оно такое написать забыли Цитата 1.1.3 Access-list Action and Global Default Action There are two access-list actions and default actions: “permit” or “deny”. The following rules apply: An access-list can consist of several rules. Filtering of packets compares packet conditions to the rules, from the first rule to the first matched rule; the rest of the rules will not be processed. Global default action applies only to IP packets in the incoming direction on the ports. Global default action applies only when packet flirter is enabled on a port and no ACL is bound to that port, or no binding ACL matches еще есть упоминание о возможности конфигурирования дефолтного действия, но опять забыли написать как Цитата 2. Configuring the packet filtering function (1) Enable global packet filtering function (2) Configure default action 2. Configuring packet filtering function (1) Enable global packet filtering function Command Explanation Global Mode firewall enable Enables global packet filtering function. firewall disable Disables global packet filtering function. 3. Configuring time range function и где пункт 2 (2) "Configure default action"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted January 12 · Report post Quote какое правило применяется по умолчанию если трафик не попал ни под одно из существующих? Если вы про свой пример, который показывали ранее, там у вас в конце явно прописано "deny any any". Трафик, который не попал ни под одно правило, попадет под это последнее правило, т.е. будет отброшен. Если не указывать явно это последнее правило, то по умолчанию используется неявный implicit permit (все что не запрещено - разрешено). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batuy Posted January 12 · Report post Цитата неявный implicit permit я именно про это, спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted January 19 · Report post Цитата хм... интересная логика. @batuy здравствуйте, по поводу варианта, который предложил в качестве решения вопроса по организации запрета established. Т.к. эта логика работы ACL была нестандартная, то мы исследовали данное поведение и обнаружили, что это баг. Он был устранен в новой версии ПО. Поэтом если будете обновлять коммутатор, то работать перестанет. На коммутаторе нет аналога established. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fuzz_wizard Posted January 29 · Report post Здравствуйте! Подскажите, начал настраивать коммутатор SNR-S3850G-24, езернет порты (первые 8 штук) дублируют первые 8 spf порта? После настройки агрегации первых 8 портов (как я думал настраиваю эзернет порты), первые 8 spf портов так же приняли все эти настройки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted January 29 · Report post @fuzz_wizard, здравствуйте! Первые 8 портов у данной модели являются комбо-портами. То есть вы можете использовать что-то одно. Например, если вы используете 1ый порт как медный, то вы не сможете использовать еще там и оптическое подключение, или наоборот. И соответственно, на самом коммутаторе порты и обзначены как комбо: Interface Link/Protocol Speed Duplex Vlan Type 1/0/1 UP/UP a-1G a-FULL trunk G-Combo:Copper 1/0/2 DOWN/DOWN auto auto trunk G-Combo 1/0/3 DOWN/DOWN auto auto 1 G-Combo 1/0/4 DOWN/DOWN auto auto 1 G-Combo 1/0/5 DOWN/DOWN auto auto 1 G-Combo 1/0/6 DOWN/DOWN auto auto 1 G-Combo 1/0/7 DOWN/DOWN auto auto 1 G-Combo 1/0/8 DOWN/DOWN auto auto 1 G-Combo и когда вы настраиваете порт, то настройки распространяется и на оптический, и на медный (на данном комбо-порту). Можно выбрать приоритет, что будет работать: оптика или медь: SNR-S3850G-24FX(config-if-ethernet1/0/2)#media-type ? copper Select Copper copper-preferred-auto Copper-preferred-auto fiber Select Fiber sfp-preferred-auto Sfp-preferred-auto Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batuy Posted March 1 · Report post Цитата На коммутаторе нет аналога established. понятно, спасибо. правда уже не актуально, унесли все это на нормальный L3 свич с L3 ACL. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 30 · Report post Как на линейке 2985G при вводе в режиме глобальной конфигурации команды: ip dhcp snooping limit-rate 20 указать поведение: {block | shutdown} И еще вопрос. команда: ip dhcp snooping limit-rate применяется для всех портов (trust и untrast ) или только для тех, кто untrust? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted October 3 · Report post @RN3DCX, здравствуйте. Функционал 'ip dhcp snooping limit-rate ...' позволяет контролировать и ограничивать проходящие DHCP пакеты через коммутатор (при включенном dhcp snooping). Для данного функционала нельзя выбрать какое-то действие, коммутатор просто программно ограничивает лимит проходящих через него DHCP пакетов, при превышении этого порога пакеты просто будут отброшены. Да и по отношению к чему можно было бы применить действие (block | shutdown)? Действие по блокировке порта или помещению клиента в "блэкхол" (blackhole | shutdown), можно настроить в режиме конфигурации порта, если на недоверенном порту будет получено сообщение от DHCP-сервера: SNR-S2985G-24T(config-if-ethernet1/0/2)#ip dhcp snooping action ? blackhole Blackhole the mac shutdown Shutdown the port Но для вышеуказанного функционала, такой возможности нет. По поводу того, для каких портов будет актуальна данная команда (для всех, или только для недоверенных), на данный момент точно сказать не могу, т.к. не проводили тесты, скорее всего, поскольку dhcp snooping регулирует и отслеживает сообщения только с untrusted портов, то для этих портов и будет актуально. Но, как уже сказал, не проверял подобное поведение. Если вам критично, можем проверить и сказать точно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted October 9 · Report post В 03.10.2024 в 06:56, Vladimir Efimtsev сказал: Если вам критично, можем проверить и сказать точно. Буду вам очень признателен, если поможете в этом вопросе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted October 10 · Report post @RN3DCX, по информации от R&D, действие данной команды будет распространяться на все порты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted October 10 · Report post Благодарю вас за обратную связь! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
String Posted October 22 · Report post Добрый день. Проблема с удалённым доступом к коммутатору SNR-S2989G-24TX. Подключил в локальную сеть, произвёл необходимые настройки, передал в удалённый офис. Между офисами поднят VPN туннель, остальное оборудование в удалённой сети доступно для управления, доступ к SNR по web/ssh пропал, ping не проходит. С локального компьютера в удалённой сети SNR доступен. Подскажите, какую настройку необходимо добавить для разрешения удалённого доступа? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
witch Posted October 22 · Report post Default route на шлюз сети в которой находится свитч, если вы конечно ещё с Vlan ничего не мудрили Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted October 23 · Report post @String, здравствуйте. Так сходу, не зная ни схемы сети, ни настроек, которые вы произвели на коммутаторе сложно сказать в чем именно причина. Можете показать схему сети, версию прошивки на коммутаторе ('sh ver'), конфиг ('sh run'). Как именно и откуда пытаетесь получить доступ и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted October 28 · Report post Подскажите, на SNR-S2965-24T при выводе команды: show mac-address-table Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1216 50-88-11-50-b5-e8 STATIC App Ethernet1/0/3 Получаю два непонятных значения STATIC и App (Что значит App?) Руками mac-address не в бивал. Interface Ethernet1/0/3 bridge-protocol filter lldp storm-control broadcast 128 switchport access vlan 1216 switchport flood-control mcast loopback-detection specified-vlan 1216 loopback-detection control shutdown ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 1 ip arp inspection limit-rate 10 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted October 29 · Report post Здравствуйте. Это значит, что мак адрес был "разрешен" на этом порту не динамически, а с использованием какими-нибудь функциями коммутатора. App - application. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...