faq обучение настройка
Текущее время: Чт мар 28, 2024 21:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: dgs/des-1210-28/me
СообщениеДобавлено: Ср окт 25, 2017 10:52 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
Здравствуйте!

Настраивал опцию port_security по книге dlink и возникло непонимание работы.

Что делаю:
1) Включаю, ставлю обучение на большое кол-во MACов с permamentным сохранением
2.1) Жду неделю, меняю максимальное кол-во обучаемых адресов на "0".
либо
2.2) Жду неделю меняю максимальное кол-во обучаемых адресов на "0" и все необходимые маки в таблице FDB перевожу в режим статической записи.

Проблема:
Пропадает у всех доступ, никто не может получить настройки по сети, пинговать и работать.
Один раз был непонятный глюк - после ребута заработало. Сейчас как бы я не пробовал ребутить или сохранять - не работает.

Как исправляю ситуацию:
Выставляю обучение на 1 мак адрес и доступ у всех появляется, но как я понимаю это неверно с точки зрения настройки самой опции? max_learn_addr говорит о том сколько может обучиться MACов с порта за минусом(вычетом) уже обученных или статически забитых MACов на этом порту?
К примеру есть 2 статических и 1 просто запомненный пермаментно = итого 3 на порту MACа. Если я выставлю 4 и выше, то может обучиться 1 и выше соответственно. Если выставлю 3 и ниже то ни один не обучится, но почему-то те что уже добавлены не работают при значении "0", а при значении "3" (равном кол-во обученных или статически записанных) - работает.

В чем проблема? :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Ср окт 25, 2017 13:05 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
Из наблюдения ещё заметил зависания определения ПК.

Есть MACи, которые были из пермаментного обучения переведены в статическую запись.
Берем два примера:
port 15 (ПК) - port_security enabled, max learn 1, permament
port 23 (МФУ) - port_security enabled, max learn 1, permament

Я взял и удалил статический мак с 15 порта, на ПК пользователя тут же появилась сеть, обучился мак в режиме пермамент и я его снова в статик перевёл.
Далее проблема возникла на МФУ 23 порта, повторил процедуру - не заработало.
Сделал ребут коммутатора и заработало, начал смотреть таблицу и далее завис уже я сам.

Command: show fdb
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default 6C-19-8F-A9-0B-E4 CPU Self
1 default 00-1E-8C-90-F7-ED 15 Static
1 default 20-89-84-1A-87-79 11 Static
1 default 20-89-84-1A-8B-BE 12 Static
1 default D8-50-E6-10-C4-F8 26 Static
1 default EC-43-F6-D9-DC-68 24 Static
1 default EC-8E-B5-BD-DE-65 23 Static
1 default 00-01-02-03-04-05 27 Dynamic
1 default 00-1E-8C-90-F7-ED 15 Permanent
1 default 20-89-84-1A-87-79 11 Permanent
1 default 3C-A8-2A-F9-6E-CC 27 Dynamic
1 default 74-23-44-58-AB-D8 24 Dynamic
1 default A0-D3-C1-E8-5F-31 27 Dynamic
1 default A0-D3-C1-E8-5F-89 27 Dynamic
1 default EC-43-F6-DA-01-58 27 Dynamic
1 default EC-8E-B5-BD-DE-65 23 Permanent
7 7 24-DF-6A-69-27-5A 24 Dynamic
7 7 40-33-1A-92-1C-0E 24 Dynamic
7 7 E0-B9-4D-14-A1-F3 27 Dynamic
7 7 EC-43-F6-DA-01-58 27 Dynamic


Command: show fdb port 15
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default 00-1E-8C-90-F7-ED 15 Static
1 default 00-1E-8C-90-F7-ED 15 Permanent
Total Entries : 2

DES-1210-28/ME:5# show fdb port 23
Command: show fdb port 23

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default EC-8E-B5-BD-DE-65 23 Static
1 default EC-8E-B5-BD-DE-65 23 Permanent
Total Entries : 2

Тут вообще 2 одинаковых мака, почему возникают глюки?

Далее зашёл на другой коммутатор с такими же настройками и там тоже самое:

Total Entries : 53

DGS-1210-28/ME:5# show fdb port 1
Command: show fdb port 1
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default 50-46-5D-08-DB-80 1 Static
1 default 50-46-5D-08-DB-80 1 Permanent
Total Entries : 2

DGS-1210-28/ME:5# show fdb port 2
Command: show fdb port 2
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default D8-CB-8A-BF-86-BC 2 Static
1 default D8-CB-8A-BF-86-BC 2 Permanent
Total Entries : 2

DGS-1210-28/ME:5# show fdb port 3
Command: show fdb port 3
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default 50-46-5D-08-E1-69 3 Static
1 default 50-46-5D-08-E1-69 3 Permanent


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Ср окт 25, 2017 14:07 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
а зачем "переводить" изученные маки с статические записи?
у циско есть команда: "switchport port-security mac-address sticky", после ее выполнения "запоминаются" маки и все, при просмотре эти маки помечены как "sticky" - все прекрасно работает


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 00:30 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
Тогда непонятна работа port_security вообще.
Вот изучил я маки, все сделал. Закрыл изучение, а потом надо добавлять маки, иногда менять технику. Я должен прописать такой же статический мак и получается работать не будет? Зачем нужен статический мак привязанный к порту, который не относится к IMPB.

Отвечаю на Ваш вопрос: 1 раз было что почему-то на коммутатор port_security на вех портал отключился, а все маки пропали из его таблицы. Пришлось заного делать. При этом остальные настройки не сбилось, в логе просто видны отваливающиеся порты, т.к. enable port_security trap_log нету на 1210-28/me

Глянул 1510, там сиутация другая (там вообще cli управление другое), но там по видимому своя таблица fdb и своя таблица на port_security. На 1210 же show fdb / fdb static показывает и те и другие маки.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 08:17 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
логика в циске такая: вы ограничиваете к примеру на 3 мака, выполняете команду изучения, коммутатор изучает и помечает маки как изученные, все. Больше ничего не требуется.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 09:10 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
player84 писал(а):
логика в циске такая: вы ограничиваете к примеру на 3 мака, выполняете команду изучения, коммутатор изучает и помечает маки как изученные, все. Больше ничего не требуется.

Спасибо конечно, но не понимаю причем тут циска? Я спросил о том как работает port_security.
В разделе обученных маков есть специальная кнопка даже для переноса их в статические.


Вложения:
dlink.JPG
dlink.JPG [ 191.98 KiB | Просмотров: 7380 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 09:35 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
логика работы у всех устройств одинакова мне кажется... циска или длинк, разница только в синтаксисе.

вы сначала изучаете как Пермамент, а потом добавляете в таблицу статики и выходит, что у Вас дублируются эти записи - разве нет? может длинку голову разрывает именно это. На мой взгляд, если Вы хотите статические записи маков на портах, то сохраняйте \переводите из динамики в статику.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 09:42 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
и настройте пункт disable auto learning on ports other then the uplink ports configured below


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 12:11 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
player84 писал(а):
логика работы у всех устройств одинакова мне кажется... циска или длинк, разница только в синтаксисе.

вы сначала изучаете как Пермамент, а потом добавляете в таблицу статики и выходит, что у Вас дублируются эти записи - разве нет? может длинку голову разрывает именно это. На мой взгляд, если Вы хотите статические записи маков на портах, то сохраняйте \переводите из динамики в статику.

Именно об этом я и подумал, что разрывает его, о Вашем предложении думал, но:

Независимо от статических записей в разделе static mac, есть раздел dynamic forward table, так вот даже если я сменю permament на timeout или reset, то получется либо на 300 секунд, либо до перезагрузки все равно появится второй мак и будет задвоение таблицы и опять снов головы?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 14:56 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
сейчас почитал мануал на этот 1210-28МЕ...
1. телнет на этои устройстве есть?
2.1. Настройка защиты от подключения к портам, основанной на статической таблице MAC-адресов
синтаксис такой: config port_security [<portlist> | all] {admin_state [enable | disable] | max_learning_addr <max_lock_no 0-64> | lock_address_mode [Permanent | DeleteOnTimeout | DeleteOnReset] }
2.1.1. config port_security 1 admin_state enable max_learning_addr 0 lock_address_mode Permanent - Активизируйте функцию Port Security на 1-ом порту и запретите изучение МАС-адресов
2.1.2 create fdb default 00-50-ba-00-00-01 port 1
2.2. Настройка управления количеством подключаемых к портам коммутатора пользователей путем ограничения максимального количества изучаемых МАС-адресов
2.2.1. config port_security 1 admin_state enable max_learning_addr 1 lock_address_mode Permanent - Активизируйте функцию Port Security на 1-ом порту и изучение 1-ого МАС-адреса на этом порту.

т.е. Вам надо или выставить max_learning_addr: 1 и lock_address_mode: Permanent
или надо: выставить max_learning_addr: 0 и lock_address_mode: Permanent и создать статическую запись для порта create fdb default 00-50-ba-00-00-01 port 1.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 15:36 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
player84 писал(а):
сейчас почитал мануал на этот 1210-28МЕ...
1. телнет на этои устройстве есть?

Да, через него в том числе и настраивал.

player84 писал(а):
или надо: выставить max_learning_addr: 0 и lock_address_mode: Permanent и создать статическую запись для порта create fdb default 00-50-ba-00-00-01 port 1.

Так все и делал, правда в чу-чуть другом порядке, но суть не меняется.

1) max_learning_addr: 128 и lock_address_mode: Permanent
Жду неделю
2) Все нужные Permament маки перевожу в Static (тоже самое что create fdb static), которые добавляются в туже таблицу, что при ручном добавлении create fdb static
3) max_learning_addr: 0 и lock_address_mode: Permanent
4) У некоторых пользователей перестаёт работать, сбрасвыают, заного обучаю - вроде работает.

Т.е. логически не объяснить почему не работает. Когда нет доступа, в лог валится флуд о том что пытаются подключится. А тут нет флуда, просто пишет "порт включился" и "порт выключился". Иными словами, по порт секьюрити защиту мак проходит, но далее почему-то никакие пакеты не пробрасываются.

p.s. Если сделать только как вы сказали, нету пермаментных и есть статические - так же в таблице задвоение, пермаментные + статические


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 15:48 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
eEye писал(а):
player84 писал(а):
сейчас почитал мануал на этот 1210-28МЕ...
1. телнет на этои устройстве есть?

Да, через него в том числе и настраивал.

player84 писал(а):
или надо: выставить max_learning_addr: 0 и lock_address_mode: Permanent и создать статическую запись для порта create fdb default 00-50-ba-00-00-01 port 1.

Так все и делал, правда в чу-чуть другом порядке, но суть не меняется.

1) max_learning_addr: 128 и lock_address_mode: Permanent
Жду неделю
2) Все нужные Permament маки перевожу в Static (тоже самое что create fdb static), которые добавляются в туже таблицу, что при ручном добавлении create fdb static
3) max_learning_addr: 0 и lock_address_mode: Permanent
4) У некоторых пользователей перестаёт работать, сбрасвыают, заного обучаю - вроде работает.

Т.е. логически не объяснить почему не работает. Когда нет доступа, в лог валится флуд о том что пытаются подключится. А тут нет флуда, просто пишет "порт включился" и "порт выключился". Иными словами, по порт секьюрити защиту мак проходит, но далее почему-то никакие пакеты не пробрасываются.

p.s. Если сделать только как вы сказали, нету пермаментных и есть статические - так же в таблице задвоение, пермаментные + статические



1. в мануале: max_learning_addr <max_lock_no 0-64>, у Вас почему-то 128... возможно с новой прошивкой изменилось ограничение.. стоит проверить введя: max_learning_addr ?
2. зачем Вы ждете неделю?
3. если вы делаете через динамическое изучение и запоминание этих маков, то зачем вы потом переводите параметр max_learning_addr в 0 - ничего не надо менять!!! и никуда не надо ничего добавлять!!! коммутатор сам всё изучил и запомнил уже,
4. если Вы делаете через статическое создание записи в таблице коммутатора, то надо изначально ставить max_learning_addr в 0 и создавать записи вручную (лично я считаю, что это очень трудоёмко, поэтому использую sticky в циске, точно зная, что на этом порту стоит скажем 3 компа и 1 принтер сетевой, т.е. ограничиваю изучение 4-мя адресами).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Чт окт 26, 2017 15:50 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
изучайте инструкцию и строго следуйте ей,
нигде в инструкции НЕТ пункта, что надо после изучения менять параметр max_learning_addr!!!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Пн окт 30, 2017 09:56 
Не в сети

Зарегистрирован: Пт окт 10, 2008 06:27
Сообщений: 27
player84 писал(а):
1. в мануале: max_learning_addr <max_lock_no 0-64>, у Вас почему-то 128... возможно с новой прошивкой изменилось ограничение.. стоит проверить введя: max_learning_addr ?

Команда не работает, синтаксис другой, Вы наверное перепутали с 1500 серией и аналогичными новыми коммутаторами, у /me по-другому.. Прилагаю скриншот.


player84 писал(а):
2. зачем Вы ждете неделю?

А запрещено? Не все пользователи каждый день работают. Спортивный отдел может раз в неделю включить ПК всего.

player84 писал(а):
3. если вы делаете через динамическое изучение и запоминание этих маков, то зачем вы потом переводите параметр max_learning_addr в 0 - ничего не надо менять!!! и никуда не надо ничего добавлять!!! коммутатор сам всё изучил и запомнил уже,

Как зачем? Если таблица сбросится (так уже было, то ли из-за электричества, то ли коллега отключил и включил порт_секьюрити) то все маки слетят и другая техника может незаконно подключиться к сети.
Возможно это все-таки было из-за отключения электричества, потому что я save не сделал, но ведь нереально всегда делать save когда маки запоминаются.
p.s. Ладно, допустим даже если делать так, а как вручную нужные маки добавлять? Вот есть у меня порт с двумя маками, надо добавить третий. Если я добавлю через статику - будет на порту висеть 3 мака, а в max_learning_addr 0 - т.е. то, за что Вы как раз тут ругаете, как быть?
p.p.s. Если Вы предложите max_learning_addr изменить на 3, то:
а) В чем логика, каждый раз добавлять маки, да ещё и менять значение max_learning_addr - как-то тупо :)
б) При изменении параметров в port_security на порту, все обученные и динамические маки сбрасываются..

player84 писал(а):
4. если Вы делаете через статическое создание записи в таблице коммутатора, то надо изначально ставить max_learning_addr в 0 и создавать записи вручную (лично я считаю, что это очень трудоёмко, поэтому использую sticky в циске, точно зная, что на этом порту стоит скажем 3 компа и 1 принтер сетевой, т.е. ограничиваю изучение 4-мя адресами).

player84 писал(а):
изучайте инструкцию и строго следуйте ей,
нигде в инструкции НЕТ пункта, что надо после изучения менять параметр max_learning_addr!!!

Это я так же описывал, если включить защиту, выставить 0 и создать любое кол-во записей на любых портах - в логе перестаёт идти флуд от порт-секьюрити о том что МАК не соответствует, но сети нет! Пока МАК не появится в виде Permament. Т.е. надо увеличить значение max_learning_addr с 0 до другого, МАК кроме таблицы static появится и в permament - сеть сразу появится. Такое ощущение что это разные таблицы, но непонятно зачем нужен вообще static и интересно то, что если МАК присутствует в static, то флуда в логе нет, но сети тоже нет, а если мак отсутствует - то идёт флуд о несоответствии мака.

Проверял на разных прошивках на двух коммутаторах dgs/des-1210-28 ситуация одинаковая, т.е. не глюк коммутатора.


Вложения:
1.JPG
1.JPG [ 139.56 KiB | Просмотров: 7307 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: dgs/des-1210-28/me
СообщениеДобавлено: Пн окт 30, 2017 23:07 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
с Вами всё ясно.... смотрю в книгу вижу "фигу"..., Вам уже всё разевал, осталось только ввести команду и радоваться, НО даже тут трудности возникают, мануал Вы читаете через строчку, смотрите только на картинки, не понимая принципа работы вообще...

еще раз:
1. прочитайте мануал, если у Вас сложности с английским, так и скажите: "нифига не понимаю ничего, т.к. английский даже в школе прогуливал", в мануале порядок действий строго прописан, что и зачем надо сделать, пользуйтесь переводчиком, криво конечно, но суть уловить можно,
2. max_learning_addr <max_lock_no 0-64> - это не команда, это ПАРАМЕТР от команды общей, синтаксис её я Вам уже приводил:
config port_security [<portlist> | all] {admin_state [enable | disable] | max_learning_addr <max_lock_no 0-64> | lock_address_mode [Permanent | DeleteOnTimeout | DeleteOnReset] }
т.е. команда вводится так: config port_security 1 admin_state enable max_learning_addr 0 lock_address_mode Permanent
(конфигурируем порт секьюрити) (номер порта 1) (включаем или выключаем) (максимум изученых маков 0) (режим "памяти" маков)
итого имеем: config port_security 1 admin_state enable max_learning_addr 0 lock_address_mode Permanent
3. теперь рассмотрим параметр lock_address_mode, он может принимать 3 значения, а именно: [Permanent | DeleteOnTimeout | DeleteOnReset]
отсюда смотрим в мануал и изучаем эти значения:
Существует три режима работы функции Port Security:

Permanent ("Постоянный")занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, установленное таймером Aging Time, или коммутатор был перезагружен;
Delete on Timeout ("Удалить по истечении времени") — занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером Aging Time, и будут удалены. Если состояние канала связи на подключенном порте изменяется, МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий по истечении времени, установленного таймером Aging Time;
Delete on Reset ("Удалить при сбросе настроек") — занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию).

теперь понятно?
Вы просто не хотите разбираться и пробовать даже, даже по картинкам в мануале все понятно становится, откуда Вы взяли теорию, что маки надо перенести в статическую таблицу изучив их сначала динамически, а потом изменив параметр max_learning_addr на 0 - я не понимаю и понимать не хочу, просто посоветую курс простенький для новичков по длинку des-3028, синтаксис очень похожий, адаптировать под новый без проблем можно, если хотя бы будет желание попробовать и решить задачу своими силами

http://www.intuit.ru/studies/courses/35 ... ture/14251 - начните отсюда, практическая работа № 15 как раз по Вашей теме, НО советую читать с самого начала, чтобы было понимание какое-то, что для чего и почему


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 42


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB