Wingman Posted September 23, 2014 · Report post Доброго времени суток! Взяли на тест пару SNR-S2950-24G, ковыряем :) Возникло несколько вопросов: SNR-S2950-24G Device, Compiled on Jul 19 04:10:05 2014 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:10:b6:23 Vlan MAC f8:f0:82:10:b6:22 SoftWare Version 7.0.3.5(R0217.0041) BootRom Version 7.1.3 HardWare Version 1.0.1 CPLD Version N/A Serial No.:NGSW0110E515001302 1: Конфиг, относящийся к авторизации: ! username admin privilege 15 password 7 4b925fbf1b5b22e18c0cafe06ad4a903 ! authentication line console login radius local authentication line vty login radius local ! radius-server key 7 iyqYCzXtpuSjPc8gUj5mzg== radius-server authentication host 10.10.10.3 aaa enable ! Указывая `authentication line console login radius local` я рассчитывал на следующее поведение: логин проверяется по радиусу; в случае, если радиус недоступен - логин проверяется локально. Однако при недоступности радиуса - войти по локальному логину невозможно, свитч даёт отлуп. Что я не так делаю/не так понимаю? -------------- 2: У длинков есть команда `config multicast port_filtering_mode ports <x-y> filter_unregistered_groups/forward_unregistered_groups` либо, на других коммутаторах `config multicast vlan_filtering_mode vlan <x> filter_unregistered_groups/forward_unregistered_groups>`. Есть ли аналог у SNR? 3: На цисках, под которых косит cli SNR, есть команда `sh run vlan <X>`, однако у SNR её нет. Можно ли как-нибуть посмотреть конфиг влана, не просматривая полностью простыню конфига? 4: `storm-control <brd/uni/multi> <1-1000000>` Что будет делать свитч при срабатывании шторм-контроля? Будет ли писать в лог? Можно ли, аналогично длинкам, задать действие: блокировать порт или просто дропать "лишние" пакеты? 5: Есть ли аналоги safeguard_engine/CoPP? Если можно, с примером 6: Можно ли, и, если да, то как именно, получить по snmp ACLи, и на каких портах они висят? Заранее спасибо :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VVSina Posted September 23, 2014 · Report post 3: sw#sh run int vl 2 ! interface Vlan2 ip address a.b.x.y 255.255.255.0 !forward protocol udp 67(active)! ip helper-address a.b.x.z ! sw# Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 24, 2014 · Report post VVSina, я не про SVI, а про l2 vlan. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShumBor Posted September 24, 2014 (edited) · Report post у нас как и 2950 (всего 2-3 штуки, не устроил эксплуатацию отсутствием автоопределения медь/оптика на комбо-портах) так и 2960 применяются 1 вопросу не пробовали пока, как упадет радиус попробуем проверить. 2 Хоть и мультикаст используем, но пока не ковыряли полноценно фильтрацию, у нас телевидение идет строго в отдельном кабеле к абоненту и в отдельном влане. В остальных вланах из мультикаста в основном только торренты. 3 Этим вопросом особо не заморачивались, хватало пока sh vlan id XXX или просто sh vlan 4 Если я правильно понял из доки, то storm-control просто ограничивает определенный трафик на порту до указанного лимита. Для отключения порта надо смотреть rate-violation, на 2960 прошивка 7.0.3.5(R0217.0054) это есть, как работает пока не знаем, флуда пока не было, стенда по генерации тоже нет. Соответственно в логах тоже пока нет записей для точной диагностики. 5 Насчет safeguard_engine не знаю, есть cpu-rx-ratelimit CPU received traffic rate limit 6 По snmp в сторону ACL не копали. Используем только состояния интерфейсов и маки на портах пока. Edited September 24, 2014 by ShumBor Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Artem Enborisov Posted September 24, 2014 · Report post Здравствуйте. 1: Конфиг, относящийся к авторизации: ! username admin privilege 15 password 7 4b925fbf1b5b22e18c0cafe06ad4a903 ! authentication line console login radius local authentication line vty login radius local ! radius-server key 7 iyqYCzXtpuSjPc8gUj5mzg== radius-server authentication host 10.10.10.3 aaa enable ! Указывая `authentication line console login radius local` я рассчитывал на следующее поведение: логин проверяется по радиусу; в случае, если радиус недоступен - логин проверяется локально. Однако при недоступности радиуса - войти по локальному логину невозможно, свитч даёт отлуп. Что я не так делаю/не так понимаю? Так и есть, если радиус сервер не отвечает в течение 10 секунд коммутатор будет авторизовывать пользователя локально. Вы использовали учетную запись "admin"? -------------- 2: У длинков есть команда `config multicast port_filtering_mode ports <x-y> filter_unregistered_groups/forward_unregistered_groups` либо, на других коммутаторах `config multicast vlan_filtering_mode vlan <x> filter_unregistered_groups/forward_unregistered_groups>`. Есть ли аналог у SNR? В режиме конфигурации порта: switchport flood-control mcast switchport flood-forwarding mcast 3: На цисках, под которых косит cli SNR, есть команда `sh run vlan <X>`, однако у SNR её нет. Можно ли как-нибуть посмотреть конфиг влана, не просматривая полностью простыню конфига? Информацию о vlan'ах на коммутаторе можно получить командой: show vlan Вывод running-конфига можно так же фильтровать: show running-config | i ^vlan| name show running-config | b vlan 4: `storm-control <brd/uni/multi> <1-1000000>` Что будет делать свитч при срабатывании шторм-контроля? Будет ли писать в лог? Можно ли, аналогично длинкам, задать действие: блокировать порт или просто дропать "лишние" пакеты? Коммутатор будет отбрасывать пакеты, превышающие пороговое значение. В логах записи не будет, это делается на уровне ASIC без участия CPU. upd: как правильно заметили выше на SNR-S2950-24G можно использовать механизм rate-violation если требуется оповещение. Это софтовая функция, которая задействует ресурсы CPU. При использовании rate-violation можно либо просто отбрасывать пакеты, либо выключать порт. Событие будет записано в лог. 5: Есть ли аналоги safeguard_engine/CoPP? Если можно, с примером Защита Control Plane реализована на уровне cpu-rx ratelimiting. Значения порогов можно посмотреть: show cpu-rx protocol all Задать новое значение порога для протокола можно из режима глобальной конфигурации, например: SNR-S2950-24G(config)#cpu-rx-ratelimit protocol igmp 20 6: Можно ли, и, если да, то как именно, получить по snmp ACLи, и на каких портах они висят? Можно. Посмотрите в MIB'е http://data.nag.ru/SNR%20Switches/MIBs/SNR_private_2.1.1.mib private > enterprises > NAG > SNR > os > prisecurity > acl > aclConfig (oid .1.3.6.1.4.1.40418.7.100.10.1.3) private > enterprises > NAG > SNR > os > prisecurity > acl > aclAttach (oid .1.3.6.1.4.1.40418.7.100.10.1.4) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 24, 2014 · Report post Большое спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 27, 2014 · Report post Возник ещё один вопрос: подскажите пожалуйста, можно ли, и, если можно, то как именно, заставить SNR отдавать dhcp relay option82 Circuit-ID в формате, аналогичном D-Link'овским коммутаторам? Формат D-Link: Circuit-ID 00:04:09:98:00:13 Где 00:04 - число байт в поле; 09:98 (dec 2456) - vlan ID; 00:13 (dec 19) - номер порта Формат SNR, при установленном `dhcp relay information option subscriber-id format hex`: Circuit-ID 00:06:00:32:01:00:00:1a 0006 - размер; 0032 (dec 50) - vlan id; 01:00 (dec 256) - что это и зачем это? Как убрать? 00:1а (dec 26) - номер порта Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted September 27, 2014 · Report post И подскажите пожалуйста по правильной настройке dhcp relay. менеджмент: interface Vlan50 ip address 10.10.10.113 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 10.10.10.243 Абонентский влан - 3252 Если я указываю на свитче: ip dhcp relay share-vlan 50 sub-vlan 3252 То при запросе с клиента свитч делает запрос на сервер 10.10.10.243, НО ответ тоже отправляет в менеджмент влан. Вот дамп, 10.10.10.113 - свитч, 10.10.10.243 - dhcp: 13:03:45.450858 IP 10.10.10.113.67 > 10.10.10.243.67: BOOTP/DHCP, Request from 20:cf:30:c3:48:0a, length 300 13:03:46.024596 IP 10.10.10.243.67 > 10.10.10.113.67: BOOTP/DHCP, Reply, length 309 13:03:46.029295 IP 10.10.10.113.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309 На клиент в это время ничего не прилетает. Если же убираю `no ip dhcp relay share-vlan 50`, то с коммутатора вообще нет запросов на dhcp-сервер. Что я делаю не так / что нужно поправить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mikhail Burnin Posted September 29, 2014 · Report post Доброго времени суток, Возник ещё один вопрос: подскажите пожалуйста, можно ли, и, если можно, то как именно, заставить SNR отдавать dhcp relay option82 Circuit-ID в формате, аналогичном D-Link'овским коммутаторам? Формат опции , полностью аналогичной Dlink сделать нельзя. Как Вы правильно заметили, формат опции hex на SNR такой: 0006 - размер; 0032 (dec 50) - vlan id; 01:00 (dec 256) - это номер слота и номер модуля, на коммутаторах доступа это значение не меняется 00:1а (dec 26) - номер порта можно использовать формат опции vs-hp , тогда будет приходить только номер порта в hex. По настройке dhcp relay, покажите пожалуйста полностью конфиг коммутатора, или напишите нам в support@nag.ru Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShumBor Posted September 30, 2014 · Report post Wingman У нас подобное поведение было (отправка ответа в другой интерфейс) когда dhcp сервер не возвращал option82 обратно. В результате коммутатор не знал куда слать (в какой влан и порт) ответ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 2, 2014 · Report post Mikhail Burnin, прошу прощения за долгий ответ - меня не было на месте. Конфиг коммутатора: http://ip-home.net/files/SNR.cfg.txt У нас подобное поведение было (отправка ответа в другой интерфейс) когда dhcp сервер не возвращал option82 обратно. В результате коммутатор не знал куда слать (в какой влан и порт) ответ. Гм, сколько видел коммутаторов - вполне успешно отдают в сторону клиента по маку... Никак нельзя это ограничение обойти? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShumBor Posted October 2, 2014 · Report post Wingman Мы не думали об этом. У нас isc-dhcpd-4.2.4 и с ним snr работает без проблем. Когда тестировали UTM dhcp (rc версии) то там не возвращался option82 обратно (нарушение RFC) и поведение релея было подобным. После отсылки в RFC - починили. https://tools.ietf.org/html/rfc3046#page-7 DHCP servers claiming to support the Relay Agent Information option SHALL echo the entire contents of the Relay Agent Information option in all replies. Servers SHOULD copy the Relay Agent Information option as the last DHCP option in the response. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 2, 2014 · Report post ShumBor, спасибо за хинт :) Чуть допилил наш самописный dhcp - ответы пошли Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 6, 2014 · Report post Возник вопрос по smnp & acl. Правила в CLI выглядят, например, так: rule ID 4: deny ip any-source any-destination Но по snmp SNMPv2-SMI::enterprises.40418.7.100.10.1.3.4.1.9.201.4 = IpAddress: 0.0.0.0 Где `SNMPv2-SMI::enterprises.40418.7.100.10.1.3.4.1.9.201.4` -- это " Destination IP-address wild of advanced acl rule,for example 0.0.0.255 ." `any-destination` - это `0.0.0.0 255.255.255.255` сеть = 0.0.0.0, wildcard bits = 255.255.255.255 Почему по snmp оно отдаётся как 0.0.0.0? Нет ли здесь ошибки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...