faq обучение настройка
Текущее время: Пт мар 29, 2024 00:40

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 700 ]  На страницу Пред.  1, 2, 3, 4, 5, 6 ... 47  След.
Автор Сообщение
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Вт авг 13, 2013 01:36 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133
poofeg писал(а):
Прошивка 1.00.B033. Проблема осталась.

У меня на этой-же прошивке работает.

Скрытый текст: показать
Код:
# Multicast Filter
config multicast filter 1-5 filter
config multicast filter 6 forward

# ISM vlan
enable igmp_snooping multicast_vlan
create igmp_snooping multicast_vlan "multicast" 555
config igmp_snooping multicast_vlan "multicast" add member_port 1-5
config igmp_snooping multicast_vlan "multicast" add source_port 6
config igmp_snooping multicast_vlan "multicast" state enable
config igmp_snooping multicast_vlan "multicast" replace_source_ip 172.16.252.2
config mld_snooping multicast_vlan "multicast" replace_source_ipv6 none
config igmp_snooping multicast_vlan_group "multicast" add ipv4_range 224.0.0.1 234.0.255.255

# IGMP snooping
enable igmp_snooping
config igmp_snooping all router_timeout 125
config igmp_snooping all host_timeout 260
config igmp_snooping all leave_timer 1
config igmp_snooping querier vlanid 1 state disable robustness_variable 2
config igmp_snooping querier vlanid 1 state disable query_interval 125
config igmp_snooping querier vlanid 1 state disable max_response_time 10
disable igmp_snooping forward_mcrouter_only
config igmp_snooping vlan_name "default" state disable fast_leave disable
config igmp_snooping querier vlan_name "default" state disable querier_version 3 last_member_query_interval 1
config igmp_snooping vlan_name "users" state disable fast_leave disable
config igmp_snooping querier vlan_name "users" state disable querier_version 3 last_member_query_interval 1
config igmp_snooping vlan_name "multicast" state enable fast_leave enable
config igmp_snooping querier vlan_name "multicast" state disable querier_version 2 last_member_query_interval 1
config router_ports vlan_name "multicast" add 1-5


# Limited IP Multicast
create mcast_filter_profile ipv4 profile_id 1 profile_name multicast
config mcast_filter_profile profile_id 1 add 224.0.0.1 234.0.255.255
config limited_multicast_addr ports 1-5 ipv4 add profile_id 1
config limited_multicast_addr ports 1-6 ipv4 access permit
config limited_multicast_addr ports 1-6 ipv6 access deny
config max_mcast_group ports 1-5 ipv4 max_group 3
config max_mcast_group ports 6 ipv4 max_group 32
config max_mcast_group ports 1-6 ipv6 max_group 32


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Ср авг 14, 2013 02:07 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133
Вопросы администрации:
  • Как по SNMP посмотреть утилизацию портов, памяти и CPU? Облазил все, не нашёл.
  • Как узнать какой выбран Querier IP в ISM Vlan'е? Тоже не нашёл.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 16, 2013 10:48 
Не в сети

Зарегистрирован: Пт авг 16, 2013 10:16
Сообщений: 24
Версия прошивки 1.00.B032
Медиаконвертер без DIP-переключателей SNR-CVT-1000SFP + Модули P-Link sfp-t20wdm, SNR-SFP-W53-20,Gr-s01-w3120s. Хотя разные тестили.
При чистом конфиге config ports 6 speed auto линк оптический между медиаконвертером и DGS-1100-06/me поднимается только с стороны медиаконвертера. Так же тестил DGS-1100-06/me с DGS-1100-06/me модуль в модуль при конфиге config ports 6 speed auto оптика не поднимается ни с одной стороны. В обоих случаях приходилось в ручную скорость ставить config ports 6 speed 1000_full. При этом если на одном из DGS-1100-06/me сделан конфиг config ports 6 speed auto, а на другом config ports 6 speed 1000_full то оптический линк поднимается только с со стороны где скорость выставлена в ручную.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пн авг 19, 2013 07:52 
Не в сети

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск
Имеем схожу ситуацию как и Fraim, с таким же медиаконвертером и с модулям снр (только моделями SNR-SFP-W53-3).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пн авг 19, 2013 08:30 
Не в сети

Зарегистрирован: Пт авг 16, 2013 10:16
Сообщений: 24
Fraim писал(а):
Версия прошивки 1.00.B032
Медиаконвертер без DIP-переключателей SNR-CVT-1000SFP + Модули P-Link sfp-t20wdm, SNR-SFP-W53-20,Gr-s01-w3120s. Хотя разные тестили.
При чистом конфиге config ports 6 speed auto линк оптический между медиаконвертером и DGS-1100-06/me поднимается только с стороны медиаконвертера. Так же тестил DGS-1100-06/me с DGS-1100-06/me модуль в модуль при конфиге config ports 6 speed auto оптика не поднимается ни с одной стороны. В обоих случаях приходилось в ручную скорость ставить config ports 6 speed 1000_full. При этом если на одном из DGS-1100-06/me сделан конфиг config ports 6 speed auto, а на другом config ports 6 speed 1000_full то оптический линк поднимается только с со стороны где скорость выставлена в ручную.

Прошивка 1.00.B033. Проблема осталась


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пн сен 02, 2013 19:22 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 227
Добрый день, имеется в наличии коммутатор, ipmb в нем нет. Можно ли путем прописывания ACL предотвратить смену ip и мак- адреса клиентом, предотвратить конфликт ip и мак адресов. Если все верно понял, то:
1. Разрешаем только тот ip, что зарегистрирован:

Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 172.19.2.35 port 1 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 1 deny

2. Прописываем статический мак на порту:

Код:
create fdb vlan200 00-11-22-33-44-55 port 1

Вопросы:
1. Непонятно, будет ли в этом случае конфликт ip адресов на стороне сервера/клиента?
2. Нужно ли дополнительно включать port security с опцией max_learning_addr 1?
3. Нужно ли отключать fdb auto learning?
4. Нужно ли при таких настройках прописывать маки для мультикастового вилана
Код:
create fdb multicast 00-11-22-33-44-55 port 1

5. Планируется ли функционал ipmb?
6. Сколько профайлов ACL возможно использовать? или ограничение не по профайлам, а по правилам?
Код:
Total Profile Entries : 3

Total Used Rule Entries : 7

Total Unused Rule Entries : 193


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Ср сен 04, 2013 22:19 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 227
zeleniy87 писал(а):
Добрый день, имеется в наличии коммутатор, ipmb в нем нет. Можно ли путем прописывания ACL предотвратить смену ip и мак- адреса клиентом, предотвратить конфликт ip и мак адресов. Если все верно понял, то:
1. Разрешаем только тот ip, что зарегистрирован:

Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 172.19.2.35 port 1 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 1 deny

2. Прописываем статический мак на порту:

Код:
create fdb vlan200 00-11-22-33-44-55 port 1

Вопросы:
1. Непонятно, будет ли в этом случае конфликт ip адресов на стороне сервера/клиента?
2. Нужно ли дополнительно включать port security с опцией max_learning_addr 1?
3. Нужно ли отключать fdb auto learning?
4. Нужно ли при таких настройках прописывать маки для мультикастового вилана
Код:
create fdb multicast 00-11-22-33-44-55 port 1

5. Планируется ли функционал ipmb?
6. Сколько профайлов ACL возможно использовать? или ограничение не по профайлам, а по правилам?
Код:
Total Profile Entries : 3

Total Used Rule Entries : 7

Total Unused Rule Entries : 193

Вопросы сняты, проверил в реальных условиях


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт сен 05, 2013 09:09 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
zeleniy87 писал(а):
Вопросы сняты, проверил в реальных условиях

Каковы результаты?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт сен 05, 2013 09:44 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 227
выключить на порту disable learning, таким образом коммутатор не будет изучать новые маки, прописываем статические, разрешаем только нужные ip путем ACL, конфликт будет только на стороне клиента. для мультикастового вилана нужно тоже прописывать статический мак


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт сен 05, 2013 10:18 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 227
zeleniy87 писал(а):
выключить на порту disable learning, таким образом коммутатор не будет изучать новые маки, прописываем статические, разрешаем только нужные ip путем ACL, конфликт будет только на стороне клиента. для мультикастового вилана нужно тоже прописывать статический мак

Поправка:если после прописывания правил перезагрузить комп, в таком случае абонент не получает IP по DHCP, может подскажите как сделать аналог ipmb, но чтобы абонент получал ip по dhcp:
на свиче сейчас сделано так:
Код:
config ports 1 learning disable

Код:
create fdb vlan200 A0-F3-C1-EF-9D-F7 port 1

Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 172.23.1.37 port 1 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 1 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт сен 05, 2013 21:46 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 227
zeleniy87 писал(а):
zeleniy87 писал(а):
выключить на порту disable learning, таким образом коммутатор не будет изучать новые маки, прописываем статические, разрешаем только нужные ip путем ACL, конфликт будет только на стороне клиента. для мультикастового вилана нужно тоже прописывать статический мак

Поправка:если после прописывания правил перезагрузить комп, в таком случае абонент не получает IP по DHCP, может подскажите как сделать аналог ipmb, но чтобы абонент получал ip по dhcp:
на свиче сейчас сделано так:
Код:
config ports 1 learning disable

Код:
create fdb vlan200 A0-F3-C1-EF-9D-F7 port 1

Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 172.23.1.37 port 1 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 1 deny

Отвечаю сам себе:
Необходимо создать три профиля acl:
разрешаем определенный ip на определенном порту:
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 172.23.1.37 port 1 permit

разрешаем широковещательный трафик:
Код:
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 255.255.255.255 port 1 permit

Запрещаем все:
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 port 1 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт сен 05, 2013 23:21 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
zeleniy87 писал(а):
разрешаем широковещательный трафик:
Код:
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 255.255.255.255 port 1 permit


Я думаю больше подойдет пример №3 от сюда, только без блокирования широковещательного трафика.
http://www.dlink.ru/ru/faq/62/240.html


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт сен 06, 2013 00:05 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 227
poofeg писал(а):
zeleniy87 писал(а):
разрешаем широковещательный трафик:
Код:
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 255.255.255.255 port 1 permit


Я думаю больше подойдет пример №3 от сюда, только без блокирования широковещательного трафика.
http://www.dlink.ru/ru/faq/62/240.html

Так этим правилом разрешается только IP broadcast, arp broadcast - нет. Просто в том примере еще нужно разрешать прохождение запросов по 68 порту, а это лишний профиль (pcf на этом свитче нет). Если ошибаюсь - поправьте, пожалуйста.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт сен 06, 2013 13:27 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Разрешаем ARP:
Код:
create access_profile ethernet destination_mac ffffffffffff  ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0806 port 1-5 permit

Разрешаем DHCP:
Код:
create access_profile ip udp src_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id 2 ip udp src_port 68 port 1-5 permit
config access_profile profile_id 2 add access_id 3 ip udp src_port 67 port 1-5 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт сен 06, 2013 14:05 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Не получилось зарезать "все остальное" таким правилом:
Код:
create access_profile ethernet source_mac 000000000000 profile_id 50
config access_profile profile_id 50 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-5 deny

Перестало работать вовсе. Если по ip, то нормально работает. Я чего-то не понимаю?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 700 ]  На страницу Пред.  1, 2, 3, 4, 5, 6 ... 47  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB