faq обучение настройка
Текущее время: Вс дек 15, 2019 03:53

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 1461 ]  На страницу Пред.  1 ... 24, 25, 26, 27, 28, 29, 30 ... 98  След.
Автор Сообщение
СообщениеДобавлено: Ср ноя 27, 2013 11:34 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
zeleniy87 писал(а):
также на прошивке B035 не удаляются профили ACL если используется PCF, по команде delete access_profile profile_id 1 коммутатор перестает откликаться на консоль, но трафик через него ходит

А у меня удалился только после перезагрузки. До перезагрузки у профиля только удалились все правила, перезагрузился - профиль на месте, но удалился.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 09:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12200
Откуда: D-Link, Moscow
poofeg писал(а):
а у меня с таким конфигом работают только клиенты на первом порту, а остальные нет:
Код:
# IMPBv2
config address_binding ip_mac ports 1-2 arp_inspection strict ip_inspection enable state enable allow_zeroip disable forward_dhcppkt disable
config address_binding ip_mac ports 3-27 arp_inspection strict ip_inspection enable state enable allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 28 arp_inspection disable ip_inspection disable state disable allow_zeroip disable forward_dhcppkt disable
disable address_binding dhcp_snoop ports 1-2,28
config address_binding dhcp_snoop max_entry ports 1-28 limit no_limit
config address_binding dhcp_snoop max_entry ports 1-28 limit no_limit IPv6
enable address_binding dhcp_snoop ports 3-27
create address_binding ip_mac ipaddress 10.0.18.17 mac_address 00-17-31-af-5e-e5 port 1
create address_binding ip_mac ipaddress 10.0.18.26 mac_address f8-1a-67-4a-82-6f port 3
{{всего 33 записи}}
config filter dhcp_server ports 1-26 state enable
config filter dhcp_server illegal_server_log_suppress_duration 5min

Если на первом порту выключить ip_inspection, то работают только клиенты на 2-3 порту или около того. Пользоваться невозможно.


Т.е. У Вас включен dhcp_snooping и в тоже время прописаны статические записи. У Вас не работают клиенты, прописанные статически или динамически?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 09:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12200
Откуда: D-Link, Moscow
zeleniy87 писал(а):
также на прошивке B035 не удаляются профили ACL если используется PCF, по команде delete access_profile profile_id 1 коммутатор перестает откликаться на консоль, но трафик через него ходит


Не могу подтвердить. Приведите пожалуйста пример профиля.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 09:48 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Alexandr Zaitsev писал(а):
Т.е. У Вас включен dhcp_snooping и в тоже время прописаны статические записи. У Вас не работают клиенты, прописанные статически или динамически?

Статически, dhcp ralay + dhcp_snooping пока в тесте и реально никто по dhcp ip-адреса не получает.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 11:06 
Не в сети

Зарегистрирован: Пт янв 28, 2011 00:10
Сообщений: 223
Alexandr Zaitsev писал(а):
zeleniy87 писал(а):
также на прошивке B035 не удаляются профили ACL если используется PCF, по команде delete access_profile profile_id 1 коммутатор перестает откликаться на консоль, но трафик через него ходит


Не могу подтвердить. Приведите пожалуйста пример профиля.


Код:
create access_profile packet_content_mask offset1 l4 2 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset1 0x87 port 1-28 deny
config access_profile profile_id 1 add access_id 2 packet_content offset1 0x89 port 1-28 deny
config access_profile profile_id 1 add access_id 3 packet_content offset1 0x8a port 1-28 deny
config access_profile profile_id 1 add access_id 4 packet_content offset1 0x8b port 1-28 deny
config access_profile profile_id 1 add access_id 5 packet_content offset1 0x1bd port 1-28 deny

Пробовал даже reset config, и он тоже завис. Вопрос решил перезаливкой конфига по tftp


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 12:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12200
Откуда: D-Link, Moscow
Не подтверждаю:
Скрытый текст: показать
Код:
DES-1210-28/ME:5# create access_profile packet_content_mask offset1 l4 2 0xffffprofile_id 1
Command: create access_profile packet_content_mask offset1 l4 2 0xffff profile_id 1

Success.

DES-1210-28/ME:5# config access_profile profile_id 1 add access_id 1 packet_content offset1 0x87 port 1-28 deny
Command: config access_profile profile_id 1 add access_id 1 packet_content offset1 0x87 port 1-28 deny

Success.

DES-1210-28/ME:5# config access_profile profile_id 1 add access_id 2 packet_content offset1 0x89 port 1-28 deny
Command: config access_profile profile_id 1 add access_id 2 packet_content offset1 0x89 port 1-28 deny

Success.

DES-1210-28/ME:5# config access_profile profile_id 1 add access_id 3 packet_content offset1 0x8a port 1-28 deny
Command: config access_profile profile_id 1 add access_id 3 packet_content offset1 0x8a port 1-28 deny

Success.

DES-1210-28/ME:5# config access_profile profile_id 1 add access_id 4 packet_content offset1 0x8b port 1-28 deny
Command: config access_profile profile_id 1 add access_id 4 packet_content offset1 0x8b port 1-28 deny

Success.

DES-1210-28/ME:5# config access_profile profile_id 1 add access_id 5 packet_content offset1 0x1bd port 1-28 deny
Command: config access_profile profile_id 1 add access_id 5 packet_content offset1 0x1bd port 1-28 deny

Success.

DES-1210-28/ME:5#
DES-1210-28/ME:5#
DES-1210-28/ME:5# show access_profile profile_id 1
Command: show access_profile profile_id 1


Access Profile ID: 1            Type: User Define
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
UDF Number OffsetBase  OffsetByte  OffsetMask
---------------------------------------------------------------------------
Offset1        L4      2           0xffff


Access ID: 1      Mode: Deny
Ports: 1-28
offset1               Filter Value = 0x87



Access ID: 2      Mode: Deny
Ports: 1-28
offset1               Filter Value = 0x89



Access ID: 3      Mode: Deny
Ports: 1-28
offset1               Filter Value = 0x8a



Access ID: 4      Mode: Deny
Ports: 1-28
offset1               Filter Value = 0x8b



Access ID: 5      Mode: Deny
Ports: 1-28
offset1               Filter Value = 0x1bd


Total Profile Entries : 1

Total Used Rule Entries : 10

Total Unused Rule Entries : 440
DES-1210-28/ME:5# delete access_profile profile_id 1
Command: delete access_profile profile_id 1

Success.

DES-1210-28/ME:5#
DES-1210-28/ME:5#
DES-1210-28/ME:5# show access_profile profile_id 1
Command: show access_profile profile_id 1

The access profile 1 does not exist.
DES-1210-28/ME:5#


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 13:56 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Повторил эксперимент с IMPB без dhcp_snoop:
Код:
DES-1210-28/ME:5# conf addr ip po 1-26 ip en
Command: config address_binding ip_mac ports 1-26 ip_inspection enable

Warning! All IP Inspection enabled ports will be changed to strict mode.
Success.

пинг пропал
Код:
DES-1210-28/ME:5# conf addr ip po 1-26 ip di
Command: config address_binding ip_mac ports 1-26 ip_inspection disable

Success.

пинг пошел
часть конфига, могу выслать полный:
Код:
# IMPBv2
config address_binding ip_mac ports 1-26 arp_inspection strict ip_inspection disable state enable allow_zeroip disable forward_dhcppkt enable
config address_binding ip_mac ports 27-28 arp_inspection disable ip_inspection disable state disable allow_zeroip disable forward_dhcppkt enable
disable address_binding dhcp_snoop ports 1-28
config address_binding dhcp_snoop max_entry ports 1-28 limit no_limit
config address_binding dhcp_snoop max_entry ports 1-28 limit no_limit IPv6
# create address_binding ip_mac ipaddress ...
# 14 статических записей
config filter dhcp_server ports 1-26 state enable
config filter dhcp_server illegal_server_log_suppress_duration 5min

# ACL
create access_profile packet_content_mask offset1 l2 0 0xffff0080 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset1 0x88990000 port 1-26 deny
config access_profile profile_id 1 add access_id 2 packet_content offset1 0x88990080 port 1-26 permit

# port security
config port_security 1-28 admin_state disable max_learning_addr 0 lock_address_mode DeleteOnTimeout


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 14:52 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12200
Откуда: D-Link, Moscow
Подтверждаю, какая-то проблема с port_security. До ввода последней команды всё работает. Также всё работает если port_security на портах включен


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 28, 2013 15:45 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Alexandr Zaitsev писал(а):
Подтверждаю, какая-то проблема с port_security. До ввода последней команды всё работает. Также всё работает если port_security на портах включен

Странно, я же port_security вообще не трогал, я выслал эту часть конфига только чтобы показать, что эта функция выключена.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс дек 01, 2013 23:07 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
На прошивке B035 до коммутаторов регулярно пропадает ping без видимых на то причин и в это время очень трудно достучатся до него telnet'ом. До обновления таких проблем не было.
Также судя по логам регулярно "хлопают" порты:
Код:
495    Dec  2 00:28:01     :LinkStatus-6:Port 10 link up, 100Mbps FULL duplex
494    Dec  2 00:27:58     :LinkStatus-6:port 10 link down
...
481    Dec  1 20:59:55     :LinkStatus-6:Port 2 link up, 10Mbps FULL duplex
480    Dec  1 20:59:53     :LinkStatus-6:port 2 link down
...
474    Dec  1 19:55:14     :LinkStatus-6:Port 15 link up, 100Mbps FULL duplex
473    Dec  1 19:55:11     :LinkStatus-6:port 15 link down
...
467    Dec  1 19:39:26     :LinkStatus-6:Port 9 link up, 100Mbps FULL duplex
466    Dec  1 19:39:24     :LinkStatus-6:port 9 link down
...
447    Dec  1 17:26:57     :LinkStatus-6:Port 5 link up, 100Mbps FULL duplex
446    Dec  1 17:26:54     :LinkStatus-6:port 5 link down

Если бы это был один порт, то я бы подумал на плохой кабель или проблемы у клиента, но по логам это происходит почти на всех портах. Прослеживается на всех коммутаторах и разных прошивках, даже на 6.01.B051.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 03, 2013 11:50 
Не в сети

Зарегистрирован: Вт окт 05, 2010 13:38
Сообщений: 34
zeleniy87 писал(а):
нельзя ли расширить систему логирования на коммутаторе? например сохранили конфиг по snmp, а в логах про это ни слова, очень необходима также функция enable address_binding trap_log. Поставили этот свитч вместо des-1016, включили address_binding, а где какой кабель в каком порту непонятно, так бы в логах было видно где какой абонент сидит. Я понимаю что это побольшому счету на совести кабельщика (маркировка кабелей), но все же. Одним словом сделать полноценный лог как в других коммутаторах серий 3200, 35хх.


тоже очень хочеться видеть логирование блокированых!!!!!!!!
Взяли на тест както свитч не впечатляет!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 03, 2013 12:17 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
На B036 удивляет загрузка на CPU, трафика меньше 10 мбит/c проходит:
Код:
CPU Utilization :
-------------------------------------------------------------------------------
Five Seconds - 80 %   One Minute - 80 %   Five Minutes - 71 %

DES-1210-28/ME:5# sh pac po 28
Command: show packet ports 28

 Port Number : 28
 Frame Size    Frame Counts  Frames/sec    Frame Type   Total       Total/sec
 ------------  ------------  ----------    ----------   ----------  ---------
 64            159           0             RX Bytes     92432894    167096   
 65-127        27306         74            RX Frames    109946      219     
 128-255       17410         25       
 256-511       5187          15            TX Bytes     20451845    64356   
 512-1023      5757          4             TX Frames    97905       238     
 1024-1518     54127         98       

 Unicast RX    107823        215       
 Multicast RX  1715          4         
 Broadcast RX  408           1

CLI очень неотзывчива.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 03, 2013 12:33 
Не в сети

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.
Alexandr Zaitsev писал(а):
Подтверждаю, какая-то проблема с port_security. До ввода последней команды всё работает. Также всё работает если port_security на портах включен

На B036 проблема осталась.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 04, 2013 14:02 
Не в сети

Зарегистрирован: Пн ноя 06, 2006 20:34
Сообщений: 24
poofeg писал(а):
На B036 удивляет загрузка на CPU, трафика меньше 10 мбит/c проходит:

CLI очень неотзывчива.

Полностью поддерживаю...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 05, 2013 22:37 
Не в сети

Зарегистрирован: Сб ноя 03, 2007 15:24
Сообщений: 164
baton.R писал(а):
poofeg писал(а):
На B036 удивляет загрузка на CPU, трафика меньше 10 мбит/c проходит:

CLI очень неотзывчива.

Полностью поддерживаю...



Код:
Command: show utilization cpu

CPU Utilization :
-------------------------------------------------------------------------------
Five Seconds - 45 %   One Minute - 34 %   Five Minutes - 29 %


Код:
Command: show packet ports 28

 Port Number : 28
 Frame Size    Frame Counts  Frames/sec    Frame Type   Total       Total/sec
 ------------  ------------  ----------    ----------   ----------  ---------
 64            401           0             RX Bytes     1222238759  3422535
 65-127        1416567       6724          RX Frames    2309529     8745
 128-255       132198        8
 256-511       13912         1             TX Bytes     4158840175  19764122
 512-1023      16501         13            TX Frames    3747964     14355
 1024-1518     730323        1998

 Unicast RX    2305869       8744
 Multicast RX  2195          1
 Broadcast RX  1465          0


интересно что у вас такое грузит проц???
на 36 выше 55 даже не поднимается.

ради прикола нагрузил торрентом, около 600мбит

Код:
Command: show packet ports 28

 Port Number : 28
 Frame Size    Frame Counts  Frames/sec    Frame Type   Total       Total/sec
 ------------  ------------  ----------    ----------   ----------  ---------
 64            401           0             RX Bytes     1896038091  4543478
 65-127        3266621       23131         RX Frames    4540591     25291
 128-255       137548        67
 256-511       19312         68            TX Bytes     917082950   77975536
 512-1023      25578         133           TX Frames    7711472     54611
 1024-1518     1091458       1897

 Unicast RX    4536684       25288
 Multicast RX  2421          3
 Broadcast RX  1486          0

Код:
Command: show utilization cpu

CPU Utilization :
-------------------------------------------------------------------------------
Five Seconds - 33 %   One Minute - 31 %   Five Minutes - 32 %

Код:
Command: show utilization ports 28

 Port TX/sec RX/sec Util
 ---- ------ ------ ----
 28   58802  25911  33


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 1461 ]  На страницу Пред.  1 ... 24, 25, 26, 27, 28, 29, 30 ... 98  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB