1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июн 23, 2025 19:29

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 15 из 47
  [ Сообщений: 700 ]  На страницу Пред.  1 ... 12, 13, 14, 15, 16, 17, 18 ... 47  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
poofeg
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пн июл 28, 2014 12:24 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Artem Kolpakov писал(а):
poofeg писал(а):
Artem Kolpakov
Проблемы, которые я описал, пробовали воспроизводить?
viewtopic.php?f=2&t=160307&p=909946#p908631
viewtopic.php?f=2&t=160307&p=909946#p909301
viewtopic.php?f=2&t=160307&p=909946#p909314


1. Настроен только 1 acl? Какой трафик продолжает ходить? Можно дамп?
2. Как уже сказано - ограничение чипсета, исправлений не будет.
3. Отпишу в ШК.

1. Да. Например. Есть сброшенный к заводским коммутатор. На порту 1 хост номер 1 с IP 10.90.90.1, на порту 2 хост номер 2 с IP 10.90.90.2. Со второго отправляем ping на первый. На коммутатор добавляем ACL:
Код:
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x0800 port 2 deny

На первом смотрим:
Код:
15:17:10.824653 IP 10.90.90.2 > 10.90.90.1: ICMP echo request, id 8913, seq 118, length 64
15:17:10.824721 IP 10.90.90.1 > 10.90.90.2: ICMP echo reply, id 8913, seq 118, length 64
15:17:11.824702 IP 10.90.90.2 > 10.90.90.1: ICMP echo request, id 8913, seq 119, length 64
15:17:11.824761 IP 10.90.90.1 > 10.90.90.2: ICMP echo reply, id 8913, seq 119, length 64
15:17:12.824686 IP 10.90.90.2 > 10.90.90.1: ICMP echo request, id 8913, seq 120, length 64
15:17:12.824737 IP 10.90.90.1 > 10.90.90.2: ICMP echo reply, id 8913, seq 120, length 64

Пакеты спокойно доходят. Дамп считаю излишним.

2. Так я прошу не исправления, а изменения логики работы, если исправить невозможно.
Чтобы при режиме drop:
- broadcast: drop
- multicast: drop
- unicast: drop
При режиме shutdown:
- broadcast: shutdown
- multicast: shutdown
- unicast: drop
Это был бы логичный обход ограничения.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Вт июл 29, 2014 13:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
1. Понял, отпишу в ШК.
2. Таков текущий дизайн.
Вернуться наверх
 Профиль  
 
poofeg
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт июл 31, 2014 08:33 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Artem Kolpakov писал(а):
2. Таков текущий дизайн.

Очень жаль, но хотя бы:
Код:
DES-1228/ME:5#config traffic control 1 unicast enable action shutdown
Command: config traffic control 1 unicast enable action shutdown

Cannot configure the shutdown action for the unicast packet storm control.
Fail!


Вернуться наверх
 Профиль  
 
kosmich
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Чт июл 31, 2014 17:52 
Не в сети

Зарегистрирован: Вс май 27, 2012 18:23
Сообщений: 81
Artem Kolpakov писал(а):
kosmich писал(а):
Как всегда радует измененный синтаксис команд :roll:

можно поподробнее?
Например было
Код:
DGS-1100-06/ME:5# sh sw
Command: show switch

Device Type                       : DGS-1100-06/ME
MAC Address                       : 9C-D6-43
IP Address                        : 172. (Manual)
VLAN Name                         : sw
Subnet Mask                       : 255.255.255.0
Default Gateway                   : 172
System boot version               : 1.00.000
System Protocol version           : 2.001.004
System firmware version           : 1.00.015
System hardware version           : A1
System serial number              : QBS72DB000172
System name                       : Switch_4
System Location                   : 9_s_1
System up time                    : 10 days, 4 hrs, 12 min, 46 secs
System Contact                    :
System Time                       : 31/07/2014 17:30:53
IGMP Snooping                     : Disabled
802.1X Status                     : Disabled
Telnet                            : Enabled (TCP 23)
Web                               : Enabled (TCP 80)
RMON                              : Disabled
Syslog Global State               : Enabled

DGS-1100-06/ME:5# config ipif System ipaddress 172.18.0.11/24 gateway <ipaddr>

Код:
# IP
config ipif System ipaddress 172.18.0.11/255.255.255.0 gateway 172.18.0.1
disable jumbo_frame
config ipif System dhcp_option12 state disable
config ipif System dhcp_option12 hostname DGS-1100-06/ME
config ipif System dhcpv6_client disable
config ipv6 nd ns ipif System retrans_time 1
disable ipif_ipv6_link_local_auto System
config ipif System ipv6 state enable
disable autoconfig

стало
Код:
DGS-1100-06/ME:5# sh sw
Command: show switch

Device Type                       : DGS-1100-06/ME
MAC Address                       : C0-A0-BB
IP Address                        : 172.18.0.11 (Manual)
VLAN Name                         : man
Subnet Mask                       : 255.255.255.0
Default Gateway                   : 172
System Boot Version               : 1.00.000
System Protocol Version           : 2.001.004
System Firmware Version           : 1.00.B064
System Hardware Version           : A1
System Serial Number              : QBS72D9001537
System Name                       :
System Location                   :
System Up Time                    : 8 days, 4 hrs, 27 min, 16 secs
System Contact                    :
System Time                       : 09/01/2014 04:27:07
IGMP Snooping                     : Disabled
802.1X Status                     : Disabled
Telnet                            : Enabled (TCP 23)
Web                               : Enabled (TCP 80)
RMON                              : Disabled
Syslog Global State               : Enabled
SSL                               : Disabled
CLI Paging                        : Enabled
Password Encryption State         : Disabled

DGS-1100-06/ME:5# config ipif System ipaddress 172.18.0.11/24 state enable vlan <vlan_name 20>
DGS-1100-06/ME:5# config ipif System ipaddress 172.18.0.11/24 vlan <vlan_name 20>


Код:
# IP
config ipif System state enable
config dhcp_client retry_time 7
config ipif System ipaddress 172.18.0.11/255.255.255.0
create iproute default 172.18.0.1 1
disable jumbo_frame
config ipif System dhcp_option12 state disable
config ipif System dhcp_option12 hostname DGS-1100-06/ME
config ipif System dhcpv6_client disable
config ipv6 nd ns ipif System retrans_time 1
disable ipif_ipv6_link_local_auto System
config ipif System ipv6 state enable
disable autoconfig

И еще с чем то "парился" пришлось создавать конфиг заново, точнее сначала обновляться, редактировать/пинать что не завелось в новом конфиге, сохранять еще раз конфиг, вуаля.
Конфиг от В064 залитый на 1.00.015 превращает свич в тыкву.
Рекомендации по обновлению прошивок читал.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 01, 2014 08:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
poofeg
acl поправят ориентировочно 8го августа

kosmich
cli привели к стандартному виду.
По поводу обратной совместимости конфигов приведите, пожалуйста, как можно больше примеров проблем, с которыми вы столкнулись - постараемся пообщаться с разработчиками на эту тему.

kosmich писал(а):
Конфиг от В064 залитый на 1.00.015 превращает свич в тыкву.

поэтому рекомендуется сначала обновлять прошивку.
Вернуться наверх
 Профиль  
 
RDC
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 01, 2014 11:30 
Не в сети

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow
кстати, а нет ли проблем с прямой совместимостью конфигов?
неоднократно нарывался на ситуацию потери доступа после обновления свича, приходилось сбрасывать и опять настраивать…
Вернуться наверх
 Профиль  
 
kosmich
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 01, 2014 11:37 
Не в сети

Зарегистрирован: Вс май 27, 2012 18:23
Сообщений: 81
Artem Kolpakov писал(а):
kosmich
cli привели к стандартному виду.
По поводу обратной совместимости конфигов приведите, пожалуйста, как можно больше примеров проблем, с которыми вы столкнулись - постараемся пообщаться с разработчиками на эту тему.

kosmich писал(а):
Конфиг от В064 залитый на 1.00.015 превращает свич в тыкву.

поэтому рекомендуется сначала обновлять прошивку.
Обновлялся на стенде, решил проверить обратную совместимость.
Могу оба конфига старый и новый скинуть, куда ?
Пока примеры одинаковы 2 свича - 2 тыквы, ресет решает этот вопрос, постом выше видно была одна команда стало две.
Привели cli к стандартному виду - только за, можно было и упомянуть об этом.

С прямой совместимостью у меня проблем не возникло.
К стати старый(настроенный на дефолтной прошивке) конфиг у меня был также еще сохранен и в config config_in_nvram config_id 1.
Вернуться наверх
 Профиль  
 
poofeg
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 15, 2014 13:21 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Artem Kolpakov писал(а):
poofeg
acl поправят ориентировочно 8го августа

Как там?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пн авг 18, 2014 13:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
poofeg писал(а):
Artem Kolpakov писал(а):
poofeg
acl поправят ориентировочно 8го августа

Как там?


Продолжают работать.
Прошивку выпустили, но acl так и не фильтруют dhcp пакеты, так что расписание сдвигается. Сроков пока что нет.
Также выяснилась неприятная особенность чипсета DGS-1100-06/ME - IP трафик не может быть отфильтрован ethernet правилами.
То есть невозможно исправить форвард IP пакетов, которые запретили через указание ethertype. Также, фактически, не работает фильтрация IP трафика по mac адресам - и это тоже chipset limitation.
Общаемся на предмет того, как это можно обойти.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Ср авг 20, 2014 11:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Фильтрация dhcp серверов через ip acl исправлена в 1.00.b066.
Прошивка доступна в соответствующей теме.
Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Ср авг 20, 2014 11:46 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1631
Откуда: Алтайский край, Барнаул
Artem Kolpakov писал(а):
Фильтрация dhcp серверов через ip acl исправлена в 1.00.b066.
Прошивка доступна в соответствующей теме.
Можете выложить пример как это делать?
Вернуться наверх
 Профиль  
 
poofeg
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Ср авг 20, 2014 15:59 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Artem Kolpakov писал(а):
Также выяснилась неприятная особенность чипсета DGS-1100-06/ME - IP трафик не может быть отфильтрован ethernet правилами.
То есть невозможно исправить форвард IP пакетов, которые запретили через указание ethertype. Также, фактически, не работает фильтрация IP трафика по mac адресам - и это тоже chipset limitation.
Общаемся на предмет того, как это можно обойти.

Получается для блокирования всего трафика просто придется делать два правила:
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 149
config access_profile profile_id 149 add access_id 1 ip source_ip 0.0.0.0 port 1 deny

create access_profile ethernet source_mac 000000000000  profile_id 150
config access_profile profile_id 150 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny

Вроде ничего страшного.
Вернуться наверх
 Профиль  
 
askuratovskiy
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 29, 2014 01:39 
Не в сети

Зарегистрирован: Пн ноя 22, 2010 14:33
Сообщений: 1
Откуда: Днепропетровск
Подскажите как на данном коммутаторе ограничить все кроме pppoe с привязкой к маку?
Пример приветствуется.

На коммутаторе DES-3200-10 с данной задачей справлялись так:
Код:
create access_profile  ethernet  destination_mac FF-FF-FF-FF-FF-00 ethernet_type  profile_id 100
config access_profile profile_id 100  add access_id 1  ethernet  destination_mac 11-11-F1-12-17-00 ethernet_type 0x8863    port 1-8 permit
config access_profile profile_id 100  add access_id 2  ethernet  destination_mac 11-11-F1-12-17-00 ethernet_type 0x8864    port 1-8 permit
create access_profile  ethernet  destination_mac FF-FF-FF-FF-FF-FF ethernet_type  profile_id 101
config access_profile profile_id 101  add access_id 1  ethernet  destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8863    port 1-8 permit
create access_profile  ethernet  source_mac 00-00-00-00-00-00  profile_id 250
config access_profile profile_id 250  add access_id 1  ethernet  source_mac 00-00-00-00-00-00  port 1-8 deny
Вернуться наверх
 Профиль  
 
Alexander Gavrilin
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт авг 29, 2014 09:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
Попробуйте так.
Код:
# ACL
create access_profile ethernet destination_mac ffffffffff00  ethernet_type profile_id 100
create access_profile ethernet destination_mac ffffffffffff  ethernet_type profile_id 101
create access_profile ethernet source_mac 000000000000  profile_id 150
config access_profile profile_id 100 add access_id 1 ethernet destination_mac 11-11-F1-12-17-00 ethernet_type 0x8863 port 1-6 permit
config access_profile profile_id 100 add access_id 2 ethernet destination_mac 11-11-F1-12-17-00 ethernet_type 0x8864 port 1-6 permit
config access_profile profile_id 101 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-6 permit
config access_profile profile_id 150 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-6 deny
Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: DGS-1100-06/me
СообщениеДобавлено: Пт сен 05, 2014 09:10 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1631
Откуда: Алтайский край, Барнаул
Код:
DGS-1100-06/ME:5# sh ut c
Command: show utilization cpu

CPU Utilization :
-------------------------------------------------------------------------------
Five Seconds - 91 %   One Minute - 93 %   Five Minutes - 94 %
Код:
System Boot Version               : 1.00.000
System Protocol Version           : 2.001.004
System Firmware Version           : 1.00.B066
System Hardware Version           : A1
Как диагностировать что кушает проц?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 15 из 47
  [ Сообщений: 700 ]  На страницу Пред.  1 ... 12, 13, 14, 15, 16, 17, 18 ... 47  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot], Google [Bot] и гости: 62

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB