batuy Posted January 11, 2024 Posted January 11, 2024 Цитата Ознакомтесь, пожалуйста, с документацией ознакомился. собственно в вашей вики перевод ровно того же самого, не понял зачем мне эти доки было кидать, ну не суть. так и не нашел ответа на вопрос: какое правило применяется по умолчанию если трафик не попал ни под одно из существующих? как и в вашей вики есть упоминание такого правила, но что оно такое написать забыли Цитата 1.1.3 Access-list Action and Global Default Action There are two access-list actions and default actions: “permit” or “deny”. The following rules apply: An access-list can consist of several rules. Filtering of packets compares packet conditions to the rules, from the first rule to the first matched rule; the rest of the rules will not be processed. Global default action applies only to IP packets in the incoming direction on the ports. Global default action applies only when packet flirter is enabled on a port and no ACL is bound to that port, or no binding ACL matches еще есть упоминание о возможности конфигурирования дефолтного действия, но опять забыли написать как Цитата 2. Configuring the packet filtering function (1) Enable global packet filtering function (2) Configure default action 2. Configuring packet filtering function (1) Enable global packet filtering function Command Explanation Global Mode firewall enable Enables global packet filtering function. firewall disable Disables global packet filtering function. 3. Configuring time range function и где пункт 2 (2) "Configure default action"? Вставить ник Quote
Vladimir Efimtsev Posted January 12, 2024 Posted January 12, 2024 Quote какое правило применяется по умолчанию если трафик не попал ни под одно из существующих? Если вы про свой пример, который показывали ранее, там у вас в конце явно прописано "deny any any". Трафик, который не попал ни под одно правило, попадет под это последнее правило, т.е. будет отброшен. Если не указывать явно это последнее правило, то по умолчанию используется неявный implicit permit (все что не запрещено - разрешено). Вставить ник Quote
batuy Posted January 12, 2024 Posted January 12, 2024 Цитата неявный implicit permit я именно про это, спасибо. Вставить ник Quote
Evgeniy Rychkov Posted January 19, 2024 Posted January 19, 2024 Цитата хм... интересная логика. @batuy здравствуйте, по поводу варианта, который предложил в качестве решения вопроса по организации запрета established. Т.к. эта логика работы ACL была нестандартная, то мы исследовали данное поведение и обнаружили, что это баг. Он был устранен в новой версии ПО. Поэтом если будете обновлять коммутатор, то работать перестанет. На коммутаторе нет аналога established. Вставить ник Quote
fuzz_wizard Posted January 29, 2024 Posted January 29, 2024 Здравствуйте! Подскажите, начал настраивать коммутатор SNR-S3850G-24, езернет порты (первые 8 штук) дублируют первые 8 spf порта? После настройки агрегации первых 8 портов (как я думал настраиваю эзернет порты), первые 8 spf портов так же приняли все эти настройки. Вставить ник Quote
Vladimir Efimtsev Posted January 29, 2024 Posted January 29, 2024 @fuzz_wizard, здравствуйте! Первые 8 портов у данной модели являются комбо-портами. То есть вы можете использовать что-то одно. Например, если вы используете 1ый порт как медный, то вы не сможете использовать еще там и оптическое подключение, или наоборот. И соответственно, на самом коммутаторе порты и обзначены как комбо: Interface Link/Protocol Speed Duplex Vlan Type 1/0/1 UP/UP a-1G a-FULL trunk G-Combo:Copper 1/0/2 DOWN/DOWN auto auto trunk G-Combo 1/0/3 DOWN/DOWN auto auto 1 G-Combo 1/0/4 DOWN/DOWN auto auto 1 G-Combo 1/0/5 DOWN/DOWN auto auto 1 G-Combo 1/0/6 DOWN/DOWN auto auto 1 G-Combo 1/0/7 DOWN/DOWN auto auto 1 G-Combo 1/0/8 DOWN/DOWN auto auto 1 G-Combo и когда вы настраиваете порт, то настройки распространяется и на оптический, и на медный (на данном комбо-порту). Можно выбрать приоритет, что будет работать: оптика или медь: SNR-S3850G-24FX(config-if-ethernet1/0/2)#media-type ? copper Select Copper copper-preferred-auto Copper-preferred-auto fiber Select Fiber sfp-preferred-auto Sfp-preferred-auto Вставить ник Quote
batuy Posted March 1, 2024 Posted March 1, 2024 Цитата На коммутаторе нет аналога established. понятно, спасибо. правда уже не актуально, унесли все это на нормальный L3 свич с L3 ACL. Вставить ник Quote
RN3DCX Posted September 30, 2024 Posted September 30, 2024 Как на линейке 2985G при вводе в режиме глобальной конфигурации команды: ip dhcp snooping limit-rate 20 указать поведение: {block | shutdown} И еще вопрос. команда: ip dhcp snooping limit-rate применяется для всех портов (trust и untrast ) или только для тех, кто untrust? Вставить ник Quote
Vladimir Efimtsev Posted October 3, 2024 Posted October 3, 2024 @RN3DCX, здравствуйте. Функционал 'ip dhcp snooping limit-rate ...' позволяет контролировать и ограничивать проходящие DHCP пакеты через коммутатор (при включенном dhcp snooping). Для данного функционала нельзя выбрать какое-то действие, коммутатор просто программно ограничивает лимит проходящих через него DHCP пакетов, при превышении этого порога пакеты просто будут отброшены. Да и по отношению к чему можно было бы применить действие (block | shutdown)? Действие по блокировке порта или помещению клиента в "блэкхол" (blackhole | shutdown), можно настроить в режиме конфигурации порта, если на недоверенном порту будет получено сообщение от DHCP-сервера: SNR-S2985G-24T(config-if-ethernet1/0/2)#ip dhcp snooping action ? blackhole Blackhole the mac shutdown Shutdown the port Но для вышеуказанного функционала, такой возможности нет. По поводу того, для каких портов будет актуальна данная команда (для всех, или только для недоверенных), на данный момент точно сказать не могу, т.к. не проводили тесты, скорее всего, поскольку dhcp snooping регулирует и отслеживает сообщения только с untrusted портов, то для этих портов и будет актуально. Но, как уже сказал, не проверял подобное поведение. Если вам критично, можем проверить и сказать точно. Вставить ник Quote
RN3DCX Posted October 9, 2024 Posted October 9, 2024 В 03.10.2024 в 06:56, Vladimir Efimtsev сказал: Если вам критично, можем проверить и сказать точно. Буду вам очень признателен, если поможете в этом вопросе. Вставить ник Quote
Vladimir Efimtsev Posted October 10, 2024 Posted October 10, 2024 @RN3DCX, по информации от R&D, действие данной команды будет распространяться на все порты. Вставить ник Quote
RN3DCX Posted October 10, 2024 Posted October 10, 2024 Благодарю вас за обратную связь! Вставить ник Quote
String Posted October 22, 2024 Posted October 22, 2024 Добрый день. Проблема с удалённым доступом к коммутатору SNR-S2989G-24TX. Подключил в локальную сеть, произвёл необходимые настройки, передал в удалённый офис. Между офисами поднят VPN туннель, остальное оборудование в удалённой сети доступно для управления, доступ к SNR по web/ssh пропал, ping не проходит. С локального компьютера в удалённой сети SNR доступен. Подскажите, какую настройку необходимо добавить для разрешения удалённого доступа? Вставить ник Quote
witch Posted October 22, 2024 Posted October 22, 2024 Default route на шлюз сети в которой находится свитч, если вы конечно ещё с Vlan ничего не мудрили Вставить ник Quote
Vladimir Efimtsev Posted October 23, 2024 Posted October 23, 2024 @String, здравствуйте. Так сходу, не зная ни схемы сети, ни настроек, которые вы произвели на коммутаторе сложно сказать в чем именно причина. Можете показать схему сети, версию прошивки на коммутаторе ('sh ver'), конфиг ('sh run'). Как именно и откуда пытаетесь получить доступ и т.д. Вставить ник Quote
RN3DCX Posted October 28, 2024 Posted October 28, 2024 Подскажите, на SNR-S2965-24T при выводе команды: show mac-address-table Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1216 50-88-11-50-b5-e8 STATIC App Ethernet1/0/3 Получаю два непонятных значения STATIC и App (Что значит App?) Руками mac-address не в бивал. Interface Ethernet1/0/3 bridge-protocol filter lldp storm-control broadcast 128 switchport access vlan 1216 switchport flood-control mcast loopback-detection specified-vlan 1216 loopback-detection control shutdown ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 1 ip arp inspection limit-rate 10 Вставить ник Quote
Evgeniy Rychkov Posted October 29, 2024 Posted October 29, 2024 Здравствуйте. Это значит, что мак адрес был "разрешен" на этом порту не динамически, а с использованием какими-нибудь функциями коммутатора. App - application. Вставить ник Quote
enginer Posted February 12 Posted February 12 Здравствуйте. Помогите с настройкой коммутатора SNR-S5310G-48TX-POE Интересует радиус авторизация , настройки на стороне радиус (сервер Windows) При локальном входе пользователь username admin role network-admin password admin Ограниченное конфигурирование, не могу удалить конфигурацию с портов или добавить. Пример настройки порта: switchport mode trunk switchport trunk allowed vlan 2,101,201 switchport trunk native vlan 101 flowcontrol storm-control broadcast level 112 pps storm-control multicast level 112 pps loopback-detection enable Не могу использовать команду 'no' на пример no switchport trunk native vlan получаю ошибку: (config-if)#no switchport trunk native vlan ^ % Invalid input detected at '^' marker. Что это? Недостаточно прав!? При первоначальной настройки устройство дало мне с конфигурировать порт, а вот редактировать его не дает! Вставить ник Quote
Александр Дюков Posted February 12 Posted February 12 @enginer Здравствуйте! Уточните, пожалуйста, команда 'no' не работает именно у локальной учетной записи admin? Какой уровень привилегии показывает команда 'show privilege '? Вставить ник Quote
enginer Posted February 12 Posted February 12 show privilege Current privilege level is network-admin команда 'no' не работает не через радиус авторизацию, не у локального пользователя! С радиус авторизацией вопрос спорный, не понятно мне какие параметры использовать для авторизации на стороне радиус сервера. На пример для авторизации на коммутаторы серии SNR-2985 подходит конфигурация входа как для cisco. И при входе сразу приоритет 15. Вставить ник Quote
Александр Дюков Posted February 12 Posted February 12 @enginer Остаьте заявку на nag.support с подробным описанием и приложенным файлом конфигурации коммутатора, пожалуйста. Вставить ник Quote
maximswp Posted May 20 Posted May 20 Просьба сориентировать по настройке lldp на транковом порту. - в global mode lldp enable - отсутствует; - lldp на int имеет возможность только: chassis-id-tlv chassis ID sub type port-id-tlv port ID sub type tlv TLV -> chassis-id Chassis-ID TLV ieee-8021-org-specific IEEE 802.1 Organizationally Specific TLV ieee-8023-org-specific IEEE 802.3 Organizationally Specific TLV management-address Management Address TLV port-description Port-Description TLV port-id Port-ID TLV system-capabilities System Capabilities TLV system-description System Description system-name System Name TLV ttl TTL TLV unset Unset/Remove the Optional TLV соответственно: interface ge46 switchport mode trunk switchport trunk allowed vlan 2,10,555 switchport trunk native vlan 1 lldp tlv port-description system-name management-address lldp chassis-id-tlv local sh lldp port ge46 LLDP Tx enabled: FALSE LLDP Rx enabled: FALSE SNR-S5310G-48TX-POE Ethernet Managed Switch eNOS software, Compiled on 11/27/23 10:36:59 (178ac03f) Copyright (C) 2023 NAGTECH LLC All rights reserved CPU Mac F8:F0:82:D6:1F:82 Vlan MAC F8:F0:82:D6:1F:81 SoftWare Version 1.7.0rc BootRom Version 1.5 (Nov 27 2023 - 10:34:23) HardWare Version 1.0.0 CPLD Version N/A Serial No.: SWFR051182001267 Device ID 51 Вставить ник Quote
Evgeniy Rychkov Posted May 21 Posted May 21 Здравствуйте. Вы можете воспользоваться config guide: https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S5310G/SNR-S5310G_configuration_guide.pdf Вставить ник Quote
Lynd_fund Posted June 26 Posted June 26 Добрый день, коммутатор SNR-S2989G-48TX. Как изменить sysName, sysLocation и sysContact? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.