Anonymous
Есть DGS-3000-28SC
порты 26 и 28 в ЛАСП
сейчас линк поднят на 28м..
включаем 26й - отпадает управление, трафик бегает, свичи за ним видятся..
отключаем 26й - все работает...
включаем 26й - отпадает управление, трафик бегает, свичи за ним видятся..
отключаем 28й - трафик бегает, свичи за ним видятся, но он сам не видится....
Anonymous
# VLAN
enable pvid auto_assign
config vlan default delete 1-28
config vlan default add forbidden 1-28
create vlan management tag 123
config vlan management add tagged 1-28 advertisement disable
# LACP
config link_aggregation algorithm ip_source_dest
create link_aggregation group_id 1 type lacp
config link_aggregation group_id 1 master_port 28 ports 26,28 state enable
config link_aggregation group_id 1 trap disable
config lacp_port 1-28 mode passive lacp_timeout short
# IP
config ipif_mac_mapping ipif System mac_offset 0
config ipif System ipaddress 10.xx.xx.xx/23 vlan management
config ipif System proxy_arp disable local disable
config ipif System ip_mtu 1500
config ipif System dhcp_option12 state disable
disable autoconfig
Микола
А на той стороне кто?
Anonymous
Boot PROM Version Build 5.02.B001
Firmware Version Build 5.05.B014
с другой стороны - Juniper QFX-5100
Anonymous
интересно... а со свичей - который за ним - он пингуется......
Anonymous
на Juniper QFX-5100 - МАКа его не видно....
Микола
Lacp_port 1-28 зачем?
Роман
ну джуне конфиг лацп в студию
Роман
и есть подозрение что надо сделать config lacp_port 26, 28 mode active
Роман
loopdetect отключен на 26,28?
Микола
Так много вопросов, так мало ответов.. Здесь не форум, здесь все быстро делается, иначе через полчаса будет утеряна нить разговора.
ArRR
и есть подозрение что надо сделать config lacp_port 26, 28 mode active
На джуне ЛАСП актив, луп детект отключен. На Длинке ласп - пассив
Роман
На джуне ЛАСП актив, луп детект отключен. На Длинке ласп - пассив
ну сделайте на дглинке тоже актив
Роман
вообще похоже на логическую петлю
Anonymous
}
xe-0/0/4 {
ether-options {
802.3ad ae2;
}
}
xe-0/0/5 {
ether-options {
802.3ad ae2;
}
ae2 {
description "LACP to Svetlovo";
mtu 9216;
aggregated-ether-options {
minimum-links 1;
link-speed 10g;
lacp {
active;
periodic fast;
}
}
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ 4-5 7-8 10-11 13 16-17 37 64 73 79 89-90 93 95-97 99 101-104 106-107 109-117 120-130];
}
Anonymous
менеджмент влан пролетает во все стороны...
Anonymous
пропадает только это свич....
ArRR
И только с одной стороны его мака не видно :)
Микола
О, так вы парой пришли
Anonymous
причем шлюз для него находится с той стороны - откуда его не видно....
Anonymous
мы тут парой 2й день мучаемся :)
Anonymous
26 порт потушили - все норм, свич видно
ArRR
не
Владимир
Здравствуйте, меня зовут Вова, и я нуб
Владимир
который не може заблокировать через acl самбу
Владимир
кто может ткуть меня носом в правильный ацл?
Владимир
create access_profile ip tcp src_port_mask 0xFFFF profile_id 30
config access_profile profile_id 30 add access_id auto_assign ip tcp src_port 135 port 1-25 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp src_port 137 port 1-25 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp src_port 138 port 1-25 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp src_port 139 port 1-25 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp src_port 445 port 1-25 deny
Владимир
вот так все равно в сетевоми окружении видны компы
Владимир
которые подключены к коммутатору
Владимир
DES-3200-26
Anonymous
cpu access_profile по идее надо
Владимир
26 порт аплинк, там есть "легальная" самба
Роман
попробуем...
pvid на портах попробуйте поставить на тег менеджмента, а то там поди стоит дефолт
Anonymous
1й влан - forbidden
Роман
pvid на портах попробуйте поставить на тег менеджмента, а то там поди стоит дефолт
sh gvrp 26
sh gvrp 28
Роман
на длинке
Владимир
пробовал сначала вместо src_port указывать dst_port (как по мануалам) - все равно видны в сетевом окружении
Роман
или sh port_vlan 26 как то так
Alexey
пробовал сначала вместо src_port указывать dst_port (как по мануалам) - все равно видны в сетевом окружении
вообще какой трафик пролазит, тот и блокируем. запускаем tcpdump и смотрим.
Anonymous
счас попробуем....
Роман
вполне возможно, что именно говно летающее в нативном трафике образует логическую петлю, из-за это у вас УА отваливается по л3, а все что ниже видно по л2
Роман
как-то так
Владимир
вообще какой трафик пролазит, тот и блокируем. запускаем tcpdump и смотрим.
там много чего лазает. если бы знать как "светится" пакеты для сетевого обнаружения, то я бы сразу их заблокировал
Alexey
там много чего лазает. если бы знать как "светится" пакеты для сетевого обнаружения, то я бы сразу их заблокировал
так нужно потушить на время все остальное. но 137 порт точно нужно блочить
16:34:46.147519 IP 192.168.2.3.47710 > 192.168.2.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
Микола
Vlan interface с айпишкой, которая является шлюзом для сети управления
Anonymous
Anonymous
Роутер -> 5100 -> DGS-3000 - другие свичи...
Anonymous
Менеджмент на роутере. с роутера - не видно DGS...
Anonymous
а с других свичей - видно....
Микола
Поэтому вэб, а не консоль?
Anonymous
да можно и консоль....
Роман
Или sh port_vlan 26 не помню точно уже
Anonymous
DGS-3000-28SC:admin#show gvrp
Command: show gvrp
Global GVRP : Disabled
Join Time : 200 Milliseconds
Leave Time : 600 Milliseconds
LeaveAll Time : 10000 Milliseconds
NNI BPDU Address: dot1d
DGS-3000-28SC:admin#
Роман
Anonymous
Роман
ну я же говорю нативный трафик летает в 1 влане
Dmitry
Не могу понять - провайдеры научились подменять dns-запросы к сторонним серверам?
С подключением тебя. Сам даже такое настраивал
Anonymous
пробуем :)
Роман
Anonymous
pvid не помог...
Anonymous
счас еще мод актив - попробуем
Роман
а джун что говорит по поводу статуса лацп?
Роман
что-нибудь типа show etherchannel или show link_agg