Jump to content
Калькуляторы

Несколько вопросов по SNR-S2950-24G

Доброго времени суток!

 

Взяли на тест пару SNR-S2950-24G, ковыряем :)

Возникло несколько вопросов:

 

 

 SNR-S2950-24G Device, Compiled on Jul 19 04:10:05 2014
 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
 CPU Mac f8:f0:82:10:b6:23
 Vlan MAC f8:f0:82:10:b6:22
 SoftWare Version 7.0.3.5(R0217.0041)
 BootRom Version 7.1.3
 HardWare Version 1.0.1
 CPLD Version N/A
 Serial No.:NGSW0110E515001302

 

 

1: Конфиг, относящийся к авторизации:

!
username admin privilege 15 password 7 4b925fbf1b5b22e18c0cafe06ad4a903
!
authentication line console login radius local
authentication line vty login radius local
!
radius-server key 7 iyqYCzXtpuSjPc8gUj5mzg==
radius-server authentication host 10.10.10.3
aaa enable
!

Указывая `authentication line console login radius local` я рассчитывал на следующее поведение: логин проверяется по радиусу; в случае, если радиус недоступен - логин проверяется локально.

Однако при недоступности радиуса - войти по локальному логину невозможно, свитч даёт отлуп. Что я не так делаю/не так понимаю?

 

--------------

 

2:

У длинков есть команда `config multicast port_filtering_mode ports <x-y> filter_unregistered_groups/forward_unregistered_groups` либо, на других коммутаторах `config multicast vlan_filtering_mode vlan <x> filter_unregistered_groups/forward_unregistered_groups>`.

Есть ли аналог у SNR?

 

3:

На цисках, под которых косит cli SNR, есть команда `sh run vlan <X>`, однако у SNR её нет.

Можно ли как-нибуть посмотреть конфиг влана, не просматривая полностью простыню конфига?

 

4:

`storm-control <brd/uni/multi> <1-1000000>`

Что будет делать свитч при срабатывании шторм-контроля? Будет ли писать в лог? Можно ли, аналогично длинкам, задать действие: блокировать порт или просто дропать "лишние" пакеты?

 

5:

Есть ли аналоги safeguard_engine/CoPP? Если можно, с примером

 

6:

Можно ли, и, если да, то как именно, получить по snmp ACLи, и на каких портах они висят?

 

 

Заранее спасибо :)

Share this post


Link to post
Share on other sites

3:

sw#sh run int vl 2
!
interface Vlan2
ip address a.b.x.y 255.255.255.0
 !forward protocol udp 67(active)!
ip helper-address a.b.x.z
!
sw#

Share this post


Link to post
Share on other sites

у нас как и 2950 (всего 2-3 штуки, не устроил эксплуатацию отсутствием автоопределения медь/оптика на комбо-портах) так и 2960 применяются

 

1 вопросу не пробовали пока, как упадет радиус попробуем проверить.

 

2 Хоть и мультикаст используем, но пока не ковыряли полноценно фильтрацию, у нас телевидение идет строго в отдельном кабеле к абоненту и в отдельном влане. В остальных вланах из мультикаста в основном только торренты.

 

3 Этим вопросом особо не заморачивались, хватало пока sh vlan id XXX или просто sh vlan

 

4 Если я правильно понял из доки, то storm-control просто ограничивает определенный трафик на порту до указанного лимита. Для отключения порта надо смотреть rate-violation, на 2960 прошивка 7.0.3.5(R0217.0054) это есть, как работает пока не знаем, флуда пока не было, стенда по генерации тоже нет. Соответственно в логах тоже пока нет записей для точной диагностики.

 

5 Насчет safeguard_engine не знаю, есть cpu-rx-ratelimit CPU received traffic rate limit

 

6 По snmp в сторону ACL не копали. Используем только состояния интерфейсов и маки на портах пока.

Edited by ShumBor

Share this post


Link to post
Share on other sites

Здравствуйте.

1: Конфиг, относящийся к авторизации:

!
username admin privilege 15 password 7 4b925fbf1b5b22e18c0cafe06ad4a903
!
authentication line console login radius local
authentication line vty login radius local
!
radius-server key 7 iyqYCzXtpuSjPc8gUj5mzg==
radius-server authentication host 10.10.10.3
aaa enable
!

Указывая `authentication line console login radius local` я рассчитывал на следующее поведение: логин проверяется по радиусу; в случае, если радиус недоступен - логин проверяется локально.

Однако при недоступности радиуса - войти по локальному логину невозможно, свитч даёт отлуп. Что я не так делаю/не так понимаю?

 

Так и есть, если радиус сервер не отвечает в течение 10 секунд коммутатор будет авторизовывать пользователя локально.

Вы использовали учетную запись "admin"?

--------------

 

2:

У длинков есть команда `config multicast port_filtering_mode ports <x-y> filter_unregistered_groups/forward_unregistered_groups` либо, на других коммутаторах `config multicast vlan_filtering_mode vlan <x> filter_unregistered_groups/forward_unregistered_groups>`.

Есть ли аналог у SNR?

В режиме конфигурации порта:

switchport flood-control mcast

switchport flood-forwarding mcast

 

3:

На цисках, под которых косит cli SNR, есть команда `sh run vlan <X>`, однако у SNR её нет.

Можно ли как-нибуть посмотреть конфиг влана, не просматривая полностью простыню конфига?

Информацию о vlan'ах на коммутаторе можно получить командой: show vlan

 

Вывод running-конфига можно так же фильтровать:

show running-config | i ^vlan| name

show running-config | b vlan

 

 

4:

`storm-control <brd/uni/multi> <1-1000000>`

Что будет делать свитч при срабатывании шторм-контроля? Будет ли писать в лог? Можно ли, аналогично длинкам, задать действие: блокировать порт или просто дропать "лишние" пакеты?

Коммутатор будет отбрасывать пакеты, превышающие пороговое значение. В логах записи не будет, это делается на уровне ASIC без участия CPU.

 

upd: как правильно заметили выше на SNR-S2950-24G можно использовать механизм rate-violation если требуется оповещение. Это софтовая функция, которая задействует ресурсы CPU. При использовании rate-violation можно либо просто отбрасывать пакеты, либо выключать порт. Событие будет записано в лог.

 

5:

Есть ли аналоги safeguard_engine/CoPP? Если можно, с примером

Защита Control Plane реализована на уровне cpu-rx ratelimiting.

Значения порогов можно посмотреть:

show cpu-rx protocol all

 

Задать новое значение порога для протокола можно из режима глобальной конфигурации, например:

SNR-S2950-24G(config)#cpu-rx-ratelimit protocol igmp 20

 

6:

Можно ли, и, если да, то как именно, получить по snmp ACLи, и на каких портах они висят?

Можно. Посмотрите в MIB'е http://data.nag.ru/SNR%20Switches/MIBs/SNR_private_2.1.1.mib

private > enterprises > NAG > SNR > os > prisecurity > acl > aclConfig (oid .1.3.6.1.4.1.40418.7.100.10.1.3)

private > enterprises > NAG > SNR > os > prisecurity > acl > aclAttach (oid .1.3.6.1.4.1.40418.7.100.10.1.4)

Share this post


Link to post
Share on other sites

Возник ещё один вопрос: подскажите пожалуйста, можно ли, и, если можно, то как именно, заставить SNR отдавать dhcp relay option82 Circuit-ID в формате, аналогичном D-Link'овским коммутаторам?

 

Формат D-Link:

Circuit-ID    00:04:09:98:00:13

Где 00:04 - число байт в поле;

09:98 (dec 2456) - vlan ID;

00:13 (dec 19) - номер порта

 

Формат SNR, при установленном `dhcp relay information option subscriber-id format hex`:

Circuit-ID    00:06:00:32:01:00:00:1a

0006 - размер;

0032 (dec 50) - vlan id;

01:00 (dec 256) - что это и зачем это? Как убрать?

00:1а (dec 26) - номер порта

Share this post


Link to post
Share on other sites

И подскажите пожалуйста по правильной настройке dhcp relay.

 

менеджмент:

interface Vlan50
ip address 10.10.10.113 255.255.255.0
 !forward protocol udp 67(active)!
ip helper-address 10.10.10.243

 

Абонентский влан - 3252

 

Если я указываю на свитче:

ip dhcp relay share-vlan 50 sub-vlan 3252

 

То при запросе с клиента свитч делает запрос на сервер 10.10.10.243, НО ответ тоже отправляет в менеджмент влан. Вот дамп, 10.10.10.113 - свитч, 10.10.10.243 - dhcp:

13:03:45.450858 IP 10.10.10.113.67 > 10.10.10.243.67: BOOTP/DHCP, Request from 20:cf:30:c3:48:0a, length 300
13:03:46.024596 IP 10.10.10.243.67 > 10.10.10.113.67: BOOTP/DHCP, Reply, length 309
13:03:46.029295 IP 10.10.10.113.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309

На клиент в это время ничего не прилетает.

 

Если же убираю `no ip dhcp relay share-vlan 50`, то с коммутатора вообще нет запросов на dhcp-сервер.

 

Что я делаю не так / что нужно поправить?

Share this post


Link to post
Share on other sites

Доброго времени суток,

 

Возник ещё один вопрос: подскажите пожалуйста, можно ли, и, если можно, то как именно, заставить SNR отдавать dhcp relay option82 Circuit-ID в формате, аналогичном D-Link'овским коммутаторам?

Формат опции , полностью аналогичной Dlink сделать нельзя.

Как Вы правильно заметили, формат опции hex на SNR такой:

0006 - размер;

0032 (dec 50) - vlan id;

01:00 (dec 256) - это номер слота и номер модуля, на коммутаторах доступа это значение не меняется

00:1а (dec 26) - номер порта

 

можно использовать формат опции vs-hp , тогда будет приходить только номер порта в hex.

 

По настройке dhcp relay, покажите пожалуйста полностью конфиг коммутатора, или напишите нам в support@nag.ru

Share this post


Link to post
Share on other sites

Wingman

У нас подобное поведение было (отправка ответа в другой интерфейс) когда dhcp сервер не возвращал option82 обратно. В результате коммутатор не знал куда слать (в какой влан и порт) ответ.

Share this post


Link to post
Share on other sites

Mikhail Burnin, прошу прощения за долгий ответ - меня не было на месте.

Конфиг коммутатора: http://ip-home.net/files/SNR.cfg.txt

 

У нас подобное поведение было (отправка ответа в другой интерфейс) когда dhcp сервер не возвращал option82 обратно. В результате коммутатор не знал куда слать (в какой влан и порт) ответ.

Гм, сколько видел коммутаторов - вполне успешно отдают в сторону клиента по маку... Никак нельзя это ограничение обойти?

Share this post


Link to post
Share on other sites

Wingman

Мы не думали об этом.

У нас isc-dhcpd-4.2.4 и с ним snr работает без проблем. Когда тестировали UTM dhcp (rc версии) то там не возвращался option82 обратно (нарушение RFC) и поведение релея было подобным. После отсылки в RFC - починили.

 

https://tools.ietf.org/html/rfc3046#page-7

DHCP servers claiming to support the Relay Agent Information option

SHALL echo the entire contents of the Relay Agent Information option

in all replies. Servers SHOULD copy the Relay Agent Information

option as the last DHCP option in the response.

Share this post


Link to post
Share on other sites

ShumBor, спасибо за хинт :) Чуть допилил наш самописный dhcp - ответы пошли

Share this post


Link to post
Share on other sites

Возник вопрос по smnp & acl.

 

Правила в CLI выглядят, например, так:

rule ID 4: deny ip any-source any-destination

 

Но по snmp

SNMPv2-SMI::enterprises.40418.7.100.10.1.3.4.1.9.201.4 = IpAddress: 0.0.0.0

Где `SNMPv2-SMI::enterprises.40418.7.100.10.1.3.4.1.9.201.4` -- это " Destination IP-address wild of advanced acl rule,for example 0.0.0.255 ."

 

`any-destination` - это `0.0.0.0 255.255.255.255`

сеть = 0.0.0.0, wildcard bits = 255.255.255.255

Почему по snmp оно отдаётся как 0.0.0.0? Нет ли здесь ошибки?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this