faq обучение настройка
Текущее время: Пт окт 18, 2019 20:02

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 814 ]  На страницу Пред.  1 ... 43, 44, 45, 46, 47, 48, 49 ... 55  След.
Автор Сообщение
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Ср фев 28, 2018 15:41 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
При попытке добавить правило:
create access_profile ethernet source_mac ffffffffffff profile_id 30
config access_profile profile_id 30 add access_id auto_assign ethernet source_mac 11:11:11:11:11:11 port 6 permit
выдает:
Specify profile does not contain field 'source_mac'
Через вебку и ACL Configuration Wizard, тоже получаю ошибку...

Firmware Version V1.01.B087


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Ср фев 28, 2018 16:37 
Не в сети

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1016
dimaaan писал(а):
При попытке добавить правило:
create access_profile ethernet source_mac ffffffffffff profile_id 30
config access_profile profile_id 30 add access_id auto_assign ethernet source_mac 11:11:11:11:11:11 port 6 permit
выдает:
Specify profile does not contain field 'source_mac'
Через вебку и ACL Configuration Wizard, тоже получаю ошибку...

Firmware Version V1.01.B087

На стенде не подтверждается.
Скрытый текст: показать
Код:
      
                 DGS-1100-10/ME Gigabit Ethernet Switch
                         Command Line Interface
               
                         Firmware: Build V1.01.B087
           Copyright(C) 2013 D-Link Corporation. All rights reserved.

DGS-1100-10/ME login:
Password:

DGS-1100-10/ME:5# create access_profile ethernet source_mac ffffffffffff profile
_id 30
Command: create access_profile ethernet source_mac ffffffffffff profile_id 30


Success.

DGS-1100-10/ME:5# config access_profile profile_id 30 add access_id auto_assign
ethernet source_mac 11:11:11:11:11:11 port 6 permit
Command: config access_profile profile_id 30 add access_id auto_assign ethernet
source_mac 11:11:11:11:11:11 port 6 permit


Success.



Возможно у Вас такой профиль уже создан. Проверьте вывод "show access_profile".


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт мар 01, 2018 07:58 
Не в сети

Зарегистрирован: Вт мар 31, 2015 05:48
Сообщений: 69
Alexander Gavrilin писал(а):
2 dao89,
Чтобы заблокировать весь трафик на порту, можно также использовать ethernet ACL(пример для этого коммутатора):

create access_profile ethernet source_mac ffffffffffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac 1C:87:2C:5F:A0:47 mask 000000000000 port 7 deny

при маске "000000000000" будут блокироваться пакеты с любым МАКом.

Да уж, простая задача решается довольно неочевидным способом... Проверю этот вариант, спасибо.
Про очередной баг веб-интерфейса, что-нибудь можете сказать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт мар 01, 2018 11:10 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
Alexander Gavrilin писал(а):
На стенде не подтверждается.
Скрытый текст: показать
Код:
      
                 DGS-1100-10/ME Gigabit Ethernet Switch
                         Command Line Interface
               
                         Firmware: Build V1.01.B087
           Copyright(C) 2013 D-Link Corporation. All rights reserved.

DGS-1100-10/ME login:
Password:

DGS-1100-10/ME:5# create access_profile ethernet source_mac ffffffffffff profile
_id 30
Command: create access_profile ethernet source_mac ffffffffffff profile_id 30


Success.

DGS-1100-10/ME:5# config access_profile profile_id 30 add access_id auto_assign
ethernet source_mac 11:11:11:11:11:11 port 6 permit
Command: config access_profile profile_id 30 add access_id auto_assign ethernet
source_mac 11:11:11:11:11:11 port 6 permit


Success.



Возможно у Вас такой профиль уже создан. Проверьте вывод "show access_profile".


Конечно создан, проблема то не в этом. Проверил на 2х свичах, одна и та же ошибка:
Specify profile does not contain field 'source_mac'

Скрытый текст: показать
DGS-1100-10/ME Gigabit Ethernet Switch
Command Line Interface

Firmware: Build V1.01.B087
Copyright(C) 2013 D-Link Corporation. All rights reserved.

DGS-1100-10/ME login: *****
Password:

DGS-1100-10/ME:5# create access_profile ethernet source_mac ffffffffffff profile
_id 30
Command: create access_profile ethernet source_mac ffffffffffff profile_id 30

The profile id you entered already existed.
DGS-1100-10/ME:5# config access_profile profile_id 30 add access_id auto_assign
ethernet source_mac 11:11:11:11:11:11 port 6 permit
Command: config access_profile profile_id 30 add access_id auto_assign ethernet source_mac 11:11:11:11:11:11 port 6 permit

Specify profile does not contain field 'source_mac'
DGS-1100-10/ME:5#


Вот что в конфиге
Скрытый текст: показать
# ACL
create access_profile ethernet source_mac ffffffffffff profile_id 30
create access_profile ip source_ip_mask 0.0.0.0 profile_id 19
create access_profile ip source_ip_mask 255.255.255.255 profile_id 31
create access_profile ip source_ip_mask 0.0.0.0 profile_id 41
config access_profile profile_id 19 add access_id 1 ip source_ip 172.17.0.100 port 1-8 permit
config access_profile profile_id 19 add access_id 2 ip source_ip 172.17.0.101 port 1-8 permit
config access_profile profile_id 19 add access_id 3 ip source_ip 172.17.0.103 port 1-8 permit
config access_profile profile_id 41 add access_id 1 ip source_ip 0.0.0.0 port 1-8 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт мар 01, 2018 11:40 
Не в сети

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1016
2 dao89, о проблеме с некорректным отображением ACL в Web интерфейсе сообщил разработчикам.
2 dimaaan, пришлите полный конфиг проблемного коммутатора(выгруженный в файл) мне на почту.
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт мар 01, 2018 11:50 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
Alexander Gavrilin писал(а):
2 dao89, о проблеме с некорректным отображением ACL в Web интерфейсе сообщил разработчикам.
2 dimaaan, пришлите полный конфиг проблемного коммутатора(выгруженный в файл) мне на почту.
Спасибо.


Отправил конфиги с 2х коммутаторов.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт мар 01, 2018 23:56 
В сети

Зарегистрирован: Вт сен 04, 2007 01:32
Сообщений: 281
Откуда: Курск
героически одолел все 46 страниц, порадовался, что выждали время и не покупали эти свитчи ))
попутно наткнулся на то, что ethertype 0x86dd блочится только через cpu_access_profile (это отсылка к dao89 - через блокировку по маку у вас ipv6 режется?).

и хочется спросить - неужели никому не мешает в работе со свитчом, что все строки вывода упорно переносятся по 80-му символу на новую строку, хоть даже если консоль 160 в ширину?
тот же show conf cur читать в таком виде дико неудобно.

есть какой-то параметр консоли в конфиге, которым можно это отключить? мануал ничего не подсказал.
или это жестко зашито?

_________________
/nixx


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пт мар 02, 2018 15:10 
Не в сети

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1016
dimaaan писал(а):
Отправил конфиги с 2х коммутаторов.

Проблема довольно странная, и похоже связана с profile_id 30. Если создать тот же профиль, но с id 18, то правило корректно добавляется.
Я сообщил о проблеме разработчикам.
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Сб мар 03, 2018 01:46 
В сети

Зарегистрирован: Вт сен 04, 2007 01:32
Сообщений: 281
Откуда: Курск
при ковырянии железок (ну не только d-link'а) натыкаешься порой на такие глюки, что хочется спросить - я чо, первый, кто эту фичу использует?
(особенно на фоне кучи воплей про телнет - вы эта... ацльки и прочую муть телнетом пишете, что ль, а не по snmp? кстати, телнет, отпадая, куда-то утаскивает с собой моргающий курсор из консоли :)) но это багом называть уже язык не поворачивается)
Код:
snmpwalk -v2c -cpublic 10.100.1.251 .1

доходит до
Код:
LLDP-EXT-DOT1-MIB::lldpXdot1LocVlanName.10.1 = STRING: default
LLDP-EXT-DOT1-MIB::lldpXdot1LocVlanName.10.501 = STRING: vlan501
LLDP-EXT-DOT1-MIB::lldpXdot1LocVlanName.10.501 = No more variables left in this MIB View (It is past the end of the MIB tree)

и все... по его мнению дальше ничего нет.
но если snmpwalk вручную напустить на ветки дерева .1.2 и .1.3, то он нормально показывает их содержимое (по отдельности, само собой :)
ну то есть не осуществляется переход между .1.0 - .1.1 - .1.2 - .1.3, а все останавливается на .1.0.
исправьте, пожалуйста.
прошивка 1.01.B087.

а еще хочется передать большое "фу" пишущим mib'ы. такое впечатление, что net-snmp у разработчиков вообще не в почете.
качаю с фтп DGS-1100-10ME_A1-V1.01.B016-MIB.mib и... и пакет net-snmp 5.7.3 его просто "не видит".
а дело в чем... а дело в том, что двойные тире в mib'ах используются в качестве знака комментария, и видя эти двойные тире где-то не в начале строки, а в ее середине, утилиты net-snmp офигевают от нежданчика и предпочитают вообще не замечать все, что идет после. а когда такие двойные тире в ненужном месте идут в первых строках mib'а - он логично не виден весь, даже без сообщения об ошибках.
diff приаттачил для сравнения.
при возможности прошу исправить mib не сколько для себя, сколько для лентяев, просящих oid'ы на форуме ))


Вложения:
DGS-1100-10ME_A.mib.diff.zip [706 байт]
Скачиваний: 35

_________________
/nixx
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн мар 05, 2018 05:50 
Не в сети

Зарегистрирован: Чт июн 20, 2013 11:00
Сообщений: 8
После прошивки на V1.01.B087,
в вебинтерфейсе появилась опция ssh, он реально на нем рабочий?

В настройках q-in-q добавилось - VLAN Translation Settings, аналогичный вопрос, влан трансляции на нем должны работать?

Возможно ли, завернуть влан управления в q-in-q? Пробовал это сделать через костыль, с помощью кольцевания портов.
Максимум чего добился, изучения мак, но arp записи не появляется. Соответственно управление не доступно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн мар 05, 2018 12:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12190
Откуда: D-Link, Moscow
Цитата:
в вебинтерфейсе появилась опция ssh, он реально на нем рабочий?

Да

Цитата:
В настройках q-in-q добавилось - VLAN Translation Settings, аналогичный вопрос, влан трансляции на нем должны работать?

Да

Цитата:
Возможно ли, завернуть влан управления в q-in-q? Пробовал это сделать через костыль, с помощью кольцевания портов.

Обрисуйте задачу подробнее. У вас управляющий трафик с одной меткой или с двумя?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн мар 05, 2018 15:15 
Не в сети

Зарегистрирован: Чт июн 20, 2013 11:00
Сообщений: 8
Alexandr Zaitsev писал(а):
Цитата:
в вебинтерфейсе появилась опция ssh, он реально на нем рабочий?

Да

Цитата:
В настройках q-in-q добавилось - VLAN Translation Settings, аналогичный вопрос, влан трансляции на нем должны работать?

Да

Цитата:
Возможно ли, завернуть влан управления в q-in-q? Пробовал это сделать через костыль, с помощью кольцевания портов.

Обрисуйте задачу подробнее. У вас управляющий трафик с одной меткой или с двумя?


По поводу ssh:
подключаюсь с машины с Debian GNU/Linux 9.3 (stretch)
Unable to negotiate with 10.90.90.90 port 22: no matching cipher found. Their offer: 3des-cbc
подключаюсь с машины с macOS 10.13.3
Unable to negotiate with 10.90.90.90 port 22: no matching cipher found. Their offer: 3des-cbc

По поводу VLAN Translation:
В зеркале, не вижу влияния трансляций на метки vlan.

По поводу управления в q-in-q:
Да, пытаюсь сделать его с 2мя метками.

Это при пинге с компьютера
15:10:43.542025 ac:87:a3:35:5b:1d > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 68: vlan 4000, p 0, ethertype 802.1Q-QinQ, vlan 100, p 0, ethertype ARP, Request who-has 10.90.90.90 tell 10.90.90.91, length 46
15:10:43.547845 40:9b:cd:90:28:b8 > ac:87:a3:35:5b:1d, ethertype 802.1Q (0x8100), length 68: vlan 4000, p 0, ethertype 802.1Q-QinQ, vlan 100, p 0, ethertype ARP, Reply 10.90.90.90 is-at 40:9b:cd:90:28:b8, length 46

Это при пинге с одного коммутатора, другого
15:12:42.672386 40:9b:cd:90:28:b8 > 40:9b:cd:90:28:92, ethertype 802.1Q (0x8100), length 68: vlan 4000, p 0, ethertype 802.1Q-QinQ, vlan 100, p 0, ethertype ARP, Reply 10.90.90.90 is-at 40:9b:cd:90:28:b8, length 46
15:12:43.651894 40:9b:cd:90:28:92 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 68: vlan 4000, p 0, ethertype 802.1Q-QinQ, vlan 100, p 0, ethertype ARP, Request who-has 10.90.90.90 (ff:ff:ff:ff:ff:ff) tell 10.90.90.99, length 46

То есть, как бы с кольцом, получается навесить второй тег, на пакеты от менеджмент интерфейса, но трафик при этом не ходит, за исключением arp.

И я так понимаю, варианта изменить ethertype 802.1Q-QinQ у пакета от коммутатора, возможности нет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн мар 05, 2018 15:48 
Не в сети

Зарегистрирован: Чт июн 20, 2013 11:00
Сообщений: 8
На ftp кстати документация лежит, уже устаревшая, по отношению к V1.01.B087


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн мар 05, 2018 16:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12190
Откуда: D-Link, Moscow
Цитата:
По поводу ssh:
подключаюсь с машины с Debian GNU/Linux 9.3 (stretch)
Unable to negotiate with 10.90.90.90 port 22: no matching cipher found. Their offer: 3des-cbc
подключаюсь с машины с macOS 10.13.3
Unable to negotiate with 10.90.90.90 port 22: no matching cipher found. Their offer: 3des-cbc

Код:
ssh -o KexAlgorithms=diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 -c 3des-cbc 10.90.90.90

Можно прописать все эти опции в ~/.ssh/config

Цитата:
По поводу VLAN Translation:
В зеркале, не вижу влияния трансляций на метки vlan.

Зависит от того, какой порт зеркалируете, вполне допускаю, что зеркалирование может выполняться до vlan_translation.
Также обратите внимание, что vlan_translation выполняется только при передаче трафика между портами UNI->NNI.
Только что проверил, работает как add так и replace.

Цитата:
По поводу управления в q-in-q:
Да, пытаюсь сделать его с 2мя метками.


Проверил. Действительно, не работает, в тестах я использую tpid 0x8100, однако коммутатор на ARP запросы отвечает с TPID 0x88a8, написал разработчикам.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн мар 05, 2018 17:04 
Не в сети

Зарегистрирован: Чт июн 20, 2013 11:00
Сообщений: 8
Alexandr Zaitsev писал(а):
Код:
ssh -o KexAlgorithms=diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 -c 3des-cbc 10.90.90.90


Ну это понятно, что можно вручную указать.
Просто прошивка свежая. Разработчики могли бы ssh посвежее собрать, но это так, частности.

Alexandr Zaitsev писал(а):
Зависит от того, какой порт зеркалируете, вполне допускаю, что зеркалирование может выполняться до vlan_translation.
Также обратите внимание, что vlan_translation выполняется только при передаче трафика между портами UNI->NNI.
Только что проверил, работает как add так и replace.

Зеркалил на коммутаторе, на которм трансляция выполняется, на аплинк порту и на вышестоящем коммутаторе.
Возможно что то перемудрил. Попробую еще.

Alexandr Zaitsev писал(а):
Проверил. Действительно, не работает, в тестах я использую tpid 0x8100, однако коммутатор на ARP запросы отвечает с TPID 0x88a8, написал разработчикам.

Да, отвечает TPID 0x88a8, я переделал все q-in-q на 0x88a8, не помогло.

Спасибо, ждем что скажут разработчики.

А что по поводу документации на эту версию софта?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 814 ]  На страницу Пред.  1 ... 43, 44, 45, 46, 47, 48, 49 ... 55  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: nixx и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB