faq обучение настройка
Текущее время: Чт мар 28, 2024 23:01

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 1490 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7 ... 100  След.
Автор Сообщение
СообщениеДобавлено: Ср сен 19, 2012 13:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
В конце сентября будет фикс по указанной проблеме:
chajnik писал(а):
B042
show fdb vlan vlan_name
показывает все записи, а не только те, которые находятся в влане


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 21, 2012 09:34 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
Имхо не работает upload конфигурации на tftp

DES-1210-28/ME:5# save
Command: save
Building configuration ...
[OK]
DES-1210-28/ME:5# upload cfg_toTFTP 192.168.1.9 192.168.1.2 config_id 1
Command: upload cfg_toTFTP 192.168.1.9 192.168.1.2 config_id 1

The config id 1 has not been saved.

Failure!
DES-1210-28/ME:5# ping 192.168.1.9
Command: ping 192.168.1.9

Reply Received From :192.168.1.9, TimeTaken : 30 msecs
Reply Received From :192.168.1.9, TimeTaken : <1 msecs


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 21, 2012 09:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Работает - просто сначала надо его сохранить как config_id 1:
save config config_id 1
и уже потом его можно выгружать.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 23, 2012 17:35 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
Спасибо. В прошивке b042 если создавать access_profile с protocol_id_mask - то после перезагрузки свитча protocol_id будет жестко выставлено в 4
В итоге правила
create access_profile ip protocol_id_mask 0xff destination_ip_mask 255.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id 1 ip protocol_id 255 destination_ip 224.0.0.0 port 1-28 deny
не работают.

До перезагрузки после этих команд правила выглядят так:

---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask Destination IP Mask
---------------------------------------------------------------------------
0xFF 255.0.0.0
Access ID: 1 Mode: Deny
Ports: 1-28
255 224.0.0.0

а после

---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask Destination IP Mask
---------------------------------------------------------------------------
0xFF 255.0.0.0
Access ID: 1 Mode: Deny
Ports: 1-28
4 224.0.0.0

И не работают. Даже если ручками править 4 потом в web на другие значения - после reboot всеравно будет 4


Последний раз редактировалось Helios Вс сен 23, 2012 19:32, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 23, 2012 19:31 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
очень странно работает IP+MAC привязка когда записи создаются через SNMP, скорее похоже на то что не работает совсем ( Блокирует правильные связки IP+MAC
Прошивка b042, сделан reset system.

Исходные данные
Reply from 10.90.90.1: bytes=32 time<1ms TTL=64

Interface: 10.90.90.39 --- 0xb
Internet Address Physical Address Type
10.90.90.1 00-0b-2b-68-d9-8e dynamic

привяжем на порт 12 - 10.90.90.1 00-0b-2b-68-d9-8e

создадим запись
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.3.1.4.10.90.90.1.0.11.43.104.217.142 i 4

укажем что для порта 12
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.3.1.3.10.90.90.1.0.11.43.104.217.142 i 12

административно включим на порту 12 IP+MAC binding
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.1.1.2.12 i 1

Проверим
DES-1210-28/ME:5# show address_binding ip_mac all
Command: show address_binding ip_mac all

IP Address MAC Address Port
--------------- ----------------- ----
10.90.90.1 00-0B-2B-68-D9-8E 12

Command: show address_binding ports

Port Admin State Also inspect IP packets DHCP Snooping
---- ----------- ----------------------- -------------
12 Enabled Disabled Disabled

И как только включаем проверку IP пакетов
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.1.1.3.12 i 0

пинги пропадают.

При этом если последний пункт делать через CLI то после
config address_binding ip_mac ports 12 arp_inspection strict
еще все работает

а после
config address_binding ip_mac ports 12 ip_inspection enable
перестает
При этом в заблокированных записях ничего нет

а если создавать саму запись через CLI а не через snmp
create address_binding ip_mac ipaddress 10.90.90.1 mac_address 00-0b-2b-68-d9-8e port 12
то все работает, даже если потом через snmp IPMB включать. В чем разница между созданием White list через SNMP и CLI?
Не можем свитч с биллингом интегрировать (

p/s откатился на b041 там такая же проблема


Последний раз редактировалось Helios Пн сен 24, 2012 08:57, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 23, 2012 21:35 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
Artem Kolpakov писал(а):
Helios
По поводу port_security и IMPB.
Пришлите, пожалуйста, мне на почту конфигурационный файл коммутатора с указанием последовательности проводимых вами действий.

Зачем конфиг? все выполняется на свежем свитче - reset system )
create address_binding ip_mac ipaddress 10.90.90.1 mac_address 00-0b-2b-68-d9-8e port 12
sh fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Dynamic

config address_binding ip_mac ports 12 arp_inspection strict ip_inspection enable
sh fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Dynamic

А теперь через snmp
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.1.1.2.12 i 1 и сразу
show fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Permanent :shock:

При этом
Command: show port_security
12 disabled 0 DeleteOnTimeout


Или, например, также после reset system

DES-1210-28/ME:5# config port_security 12 admin_state enable lock_address_mode DeleteOnTimeout max_learning_addr 1
Success

DES-1210-28/ME:5# sh fdb port 12
1 default 00-0B-2B-68-D9-8E 12 PortSecurity


Последний раз редактировалось Helios Пн сен 24, 2012 08:59, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 23, 2012 21:58 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
Еще вопрос - только у меня в консоли через COM каждое удаление символа слева от курсора клавишей < вызывает поднятие на 1 строку в терминале вверх?

допустим выполните команду config port_security 12 admin_state enable lock_address_mode DeleteOnTimeout max_learning_addr 12
потом вызовите ее нажатием клавиши вверх и попробуйте стереть пару символов.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн сен 24, 2012 12:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
По созданию привязки IMPB через SNMP я отписал в ШК, что касается описанной Вами проблемы Port Security + IMPB, то зачем Вы одновременно эти два механизма используете?

Helios писал(а):
Artem Kolpakov писал(а):
Helios
По поводу port_security и IMPB.
Пришлите, пожалуйста, мне на почту конфигурационный файл коммутатора с указанием последовательности проводимых вами действий.

Зачем конфиг? все выполняется на свежем свитче - reset system )
create address_binding ip_mac ipaddress 10.90.90.1 mac_address 00-0b-2b-68-d9-8e port 12
sh fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Dynamic

config address_binding ip_mac ports 12 arp_inspection strict ip_inspection enable
sh fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Dynamic

А теперь через snmp
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.1.1.2.12 i 1 и сразу
show fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Permanent :shock:

При этом
Command: show port_security
12 disabled 0 DeleteOnTimeout


Или, например, также после reset system

DES-1210-28/ME:5# config port_security 12 admin_state enable lock_address_mode DeleteOnTimeout max_learning_addr 1
Success

DES-1210-28/ME:5# sh fdb port 12
1 default 00-0B-2B-68-D9-8E 12 PortSecurity


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн сен 24, 2012 13:19 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
В первом случае я его сам не включаю - он сам включается когда я IPMB включаю через SNMP.
Почему включается - вопрос, OID и близко не такой. Когда IPMB активируешь через CLI - такого нет.


Во втором случае поясняю: есть ситуации когда IPMB на порту не задействовано еще (новая установка, временно отключили для замены оборудования, юридическое лицо, арендованный влан L2), а на порту всеравно желательно ограничить возможное количество маков которое там может быть. Очень помогает против различных петелек, попыток воткнуть абонентом шнурков в LAN роутера, полуподгорелых портов и так далее. Поэтому на всех клиентских портах по умолчанию, когда свитч уходит "на дом", всегда включается port_security в режиме delete_on_timeout с количеством маков 2-4. Потом на порту могут включить IPMB а может так и остаться висеть "не привязанный"

И тут у меня вполне резонный вопрос - по предыдущему моему сообщению - почему там пишется PortSecurity хотя по идее должно быть конкретно - DeleteOnTimeout

p/s Если одно другое исключает - уточните, будем знать что одновременно и то и то не работает.

Ответьте пожалуйста передано ли в ШК остальные критичные вопросы - проблемы с ACL (самопроизвольное выставление протокола 4 в IP ACL и невозможность прописать MAC ACL о котором писал ранее), а также менее критичный но неприятный вопрос про не совсем правильную работу свитча в терминале


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн сен 24, 2012 15:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Port Security совместно с IMPB не нужно использовать, так как это взаимоисключающие режимы. По проблемам мы отписали в ШК.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн сен 24, 2012 15:42 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
Поправьте, если ошибаюсь, но ни на одном свитче до 1210MEB2 эти функции не были взаимоисключающими, а всегда дополняли друг друга.
Использовали и на 3526 и на 3200 и на 1210 A ревизии.

То, что при включени через snmp на порту мак жестко встает в port_security, (а через CLI нет, что более логично) имхо баг


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн сен 24, 2012 15:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Если Вы имеете в виду вот этот момент, то о нем мы отписали в ШК.
Helios писал(а):
...
А теперь через snmp
snmpset -v2c -c private 10.90.90.90 .1.3.6.1.4.1.171.10.75.15.2.14.10.1.1.2.12 i 1 и сразу
show fdb port 12
1 default 00-0B-2B-68-D9-8E 12 Permanent :shock:


Я же говорю в принципе об использовании Port Security и IMPB вместе на одном порту, этого делать не следует.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт сен 25, 2012 11:04 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
на прошивке b042 не сохраняется пароль local_enable admin. Устанавливаешь - работает.
После reboot - сбрасывается на пустой.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт сен 25, 2012 11:22 
Не в сети

Зарегистрирован: Вс мар 20, 2005 19:09
Сообщений: 309
Откуда: Novosibirsk
Прошивка b042. заливаю в свитч предварительно сохраненный конфиг (бинарный) с другого свитча, в котором есть строчки

create access_profile ethernet ethernet_type profile_id 40
config access_profile profile_id 40 add access_id 3 ethernet ethernet_type 0x806 port 1-24 permit rx_rate 64

При загрузке конфига в консоль свитча выдает
[ACL_RULE_RATE_LIMITING] need to implement nmhCheckEnoughMeterSpace 11094

это значит правило работать не будет?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт сен 25, 2012 12:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Мы отписали об указанных проблемах в ШК.
Спасибо.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 1490 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7 ... 100  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: larens53 и гости: 44


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB