когда disable набираете, лампочки на порте ATP и коммутатора тухнут?
зеленая "activity" гаснет, а желтая горит
Nikolay 🕸
Александр
зеленая "activity" гаснет, а желтая горит
Я не возле ПК. Попробуйте команду shutdown. Должны погаснуть все лампочки.
Nikolay 🕸
Я не возле ПК. Попробуйте команду shutdown. Должны погаснуть все лампочки.
в CLI именно "shutdown" и пробовали, а через web-интерфейс называется "Disable". Еще раз сегодня попробуем- когда аномалия начнется. Будем сам корень зла искать
Сергей
1) команда shut должна гасить порт, то есть он просто не может обрабатывать трафик. Возможно не порт гасили, а лог интерфейс привязанный
2) очень похоже на кольцо коммутации. Стп настроен?
Nikolay 🕸
1) команда shut должна гасить порт, то есть он просто не может обрабатывать трафик. Возможно не порт гасили, а лог интерфейс привязанный
2) очень похоже на кольцо коммутации. Стп настроен?
2) STP настроен, bpduguard и loopguard настроены, проблема на 99% в одном из подключенных устройств, которое генерирует аномалию- но это выясним. вопрос не в этом.
1) гасили именно физ. интерфейс
interface ge8
ip address 10.20.40.1 255.255.255.0
type internal
upstream 1048576
downstream 1048576
mtu 1500
shutdown
Сергей
То есть это апстрим интерфейс, и при том, что вы его потушили, он все равно обрабатывает трафик? Как-то некорректное поведение железки. Счётчики тикают?
Nikolay 🕸
Nikolay 🕸
вот тут было скорость 180 Мбит при потушенном интерфейсе. Именно на RX
Nikolay 🕸
Попробую конечно перегрузить железку- если начальство разрешит.
Сергей
Очень похоже на interface disable, а не shutdown... Очень странно
Александр
Сергей
Я бы рыл stp... односторонняя аномали, когда только на прием трафик топает
Nikolay 🕸
А со стороны коммутатора выключали порт?
да - когда со стороны коммутатора отключали счетчики останавливались.
Nikolay 🕸
Я бы рыл stp... односторонняя аномали, когда только на прием трафик топает
если бы STP то когда пользовательские порты (8 порта) "выключить-включить" аномалия воспроизвелась бы сразу - а у нас раз в сутки. просто теперь "надо локализовать какой из 8 портов - и починить или наказать". но это уже вне темы данного чата. Тут надо выяснить почему порт фаервола не гасится полностью.
Александр
зеленая "activity" гаснет, а желтая горит
Нужно, чтобы тухла полностью. Но у меня тоже самое, лампочка тоже не тухнет.
Nikolay 🕸
Нужно, чтобы тухла полностью. Но у меня тоже самое, лампочка тоже не тухнет.
уже хорошо, что "это у всех" 😂😂
Александр
если бы STP то когда пользовательские порты (8 порта) "выключить-включить" аномалия воспроизвелась бы сразу - а у нас раз в сутки. просто теперь "надо локализовать какой из 8 портов - и починить или наказать". но это уже вне темы данного чата. Тут надо выяснить почему порт фаервола не гасится полностью.
из вашего ATP патч-корды уходят в разные коммутаторы или в один коммутатор, но в разные ВЛАН?
Nikolay 🕸
из вашего ATP патч-корды уходят в разные коммутаторы или в один коммутатор, но в разные ВЛАН?
в один коммутатор- но в разные VLAN. При этом проблема трафика не в подключенном коммутаторе, а в коммутаторе за ним.
Александр
если бы STP то когда пользовательские порты (8 порта) "выключить-включить" аномалия воспроизвелась бы сразу - а у нас раз в сутки. просто теперь "надо локализовать какой из 8 портов - и починить или наказать". но это уже вне темы данного чата. Тут надо выяснить почему порт фаервола не гасится полностью.
Почему спрашиваю? На коммутаторах default-vlan может продолжать работу, даже если на порте указан другой влан (например, switchport access vlan XXX). Нужно обязательно запрещать default-vlan на портах коммутатора, (например, forbidden default-vlan).
Я из-за этого очень долго ловил кольцо в своей сети. Не ZYXEL. Другие вендоры, но суть та же.
Александр
уже хорошо, что "это у всех" 😂😂
нужно поспрашивать. Как узнаю, сообщу.
Александр
в один коммутатор- но в разные VLAN. При этом проблема трафика не в подключенном коммутаторе, а в коммутаторе за ним.
наверное, для чистоты эксперимента и если есть возможность, нужно запретить default-vlan (или VLAN1) на портах, подключённые к ATP.
Nikolay 🕸
наверное, для чистоты эксперимента и если есть возможность, нужно запретить default-vlan (или VLAN1) на портах, подключённые к ATP.
Попробую.
Но при выключенном интерфейсе ATP должен же был погасить все и не обрабатывать трафик.
Я гасил все интерфейсы смотрящие на коммутатор. не помогало. и лампы не гасли.
Александр
Попробую.
Но при выключенном интерфейсе ATP должен же был погасить все и не обрабатывать трафик.
Я гасил все интерфейсы смотрящие на коммутатор. не помогало. и лампы не гасли.
согласен, но увы, по-другому себя ведёт. Физически выдёргивал патч-корды.
Nikolay 🕸
согласен, но увы, по-другому себя ведёт. Физически выдёргивал патч-корды.
багрепорт как-то куда-то могу отправить? подскажите только куда.
Александр
багрепорт как-то куда-то могу отправить? подскажите только куда.
туда же на https://support.zyxel.eu/hc/ru
Nikolay 🕸
туда же на https://support.zyxel.eu/hc/ru
тогда попробую в рамках открытого тикета потеребить техподдержку
cloud_tg_captcha_bot
User passed the validation.
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
cloud_tg_captcha_bot
User passed the validation.
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
cloud_tg_captcha_bot
User passed the validation.
Valery
Александр
Valery
onatoli4
ну да, так и надо. конфигурация применилась на свитче?
Wake
Добрый день
Хороший VPN могу порекомендовать, кому нужно
https://t.me/OberVPN_bot?start=355548665
Wake
Раз проблема с техподдержкой
onatoli4
а как проверяете vlan ?
onatoli4
что mac-таблица показывает?
Valery
что mac-таблица показывает?
Хмм. Действительно в 400 vlan
Не понимаю тогда почему маршрутизатор его не видит в 400 vlan'е
Александр
Александр
Хмм. Действительно в 400 vlan
Не понимаю тогда почему маршрутизатор его не видит в 400 vlan'е
Ноутом подключитесь к коммутатору и проверьте доступность ВЛАН 400. Если доступен, проверить доступность на FortiGate.
Valery
Valery
Ноутом подключитесь к коммутатору и проверьте доступность ВЛАН 400. Если доступен, проверить доступность на FortiGate.
Всё. Работает. Устройство на влан что-то подтупливало. С 3 перезагрузки нашелся.
Александр
Всё. Работает. Устройство на влан что-то подтупливало. С 3 перезагрузки нашелся.
Если не секрет, что за устройство?
Valery
Если не секрет, что за устройство?
NAS сервер. Модель уже не помню, но бюджетная штуковина. DHCP не хотел обновлять ip.
Также в мак таблице небыло мака шлюза в 400 влане
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Wake
Добрый вечер
Решается ли следующая проблема на atp500?
Когда клиент прописывает статический ip указывая шлюзом atp500, доступ теряется, если динамически то появляется
Wake
Или с этим надо смириться ?
Nikolay 🕸
Добрый вечер
Решается ли следующая проблема на atp500?
Когда клиент прописывает статический ip указывая шлюзом atp500, доступ теряется, если динамически то появляется
Wake
Функция этой галочки только блочить статику который вводит клиент или еще другая функция есть?
То есть, если я отключу его, стоит ли ожидать что еще что то произойдет с сетью?
Nikolay 🕸
Функция этой галочки только блочить статику который вводит клиент или еще другая функция есть?
То есть, если я отключу его, стоит ли ожидать что еще что то произойдет с сетью?
только эта, ничего другого в сети не произойдет, кроме как пользователи себе смогут статические ip назначать. Если у вас это разрешено - то пожалуйста.
Wake
Понял, спасибо большое
Александр
Функция этой галочки только блочить статику который вводит клиент или еще другая функция есть?
То есть, если я отключу его, стоит ли ожидать что еще что то произойдет с сетью?
https://habr.com/ru/companies/zyxel/articles/578394/#N3
Александр
Wake
Да
Александр
Да
значит при галочке у вас статический IP не сходился с IP-MAC, который уже был в таблице мак-адресов, поэтому доступ пропадал.
Wake
Если галочка есть и статический и динамический совпадают то он будет работать?
Wake
А если отличаются?
Wake
Понял, спасибо
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Wake
Wake
И как быть с провайдерами?
Одного провайдера в atp другого в другой ?
Сергей
Провайдеров можно в одну железку, можно в разные, можно на коммутаторы приземлить. Офис/склад резервируйте линками. Они должны на обоих коммутаторах линковаться
Wake
Провайдеров можно в одну железку, можно в разные, можно на коммутаторы приземлить. Офис/склад резервируйте линками. Они должны на обоих коммутаторах линковаться
Если одна железка выключиться как провайдеры перейдут в другой ?
Wake
Провайдеров можно в одну железку, можно в разные, можно на коммутаторы приземлить. Офис/склад резервируйте линками. Они должны на обоих коммутаторах линковаться
Если их на обе коммутаторы установить конфликтов не будет?
Сергей
Если одна железка выключиться как провайдеры перейдут в другой ?
Все зависит от того, как вы реализуете схему. Если провайдеров разделить между железками, то возможна ситуация, когда выйдет из строя 1я железка и второй провайдер)
Вам необходимо продумать максимально оптимальную схему, но и от работы ручками никогда не избавиться насовсем.
Сергей
Если их на обе коммутаторы установить конфликтов не будет?
Если все хорошо настроено, то конфликтов не будет. У вас есть stp, port-channel... все в ваших руках
Wake
Понял, благодарю
Nikolay 🕸
согласен, но увы, по-другому себя ведёт. Физически выдёргивал патч-корды.
Если интересно вот ответ от техподдержки насчет отправки порта в Shutdown
Проблема, которую вы обнаружили, является ограничением текущего дизайна шлюза.
У него нет никакого способа (команды) что бы отключить порт, как это можно делать для коммутатора. Можно выключить интерфейс (то, что вы выполнили командой shutdown). Но интерфейс это программный объект над физическими Ethernet портами и любые действия с интерфейсами не влияют на работу физ.портов. Поэтому порт продолжает принимать трафик, несмотря на то, что назначенный на него интерфейс отключен.
Вот так вот. Т.е. защита интерфейса шлюза в виде отключения интерфейса — не входит в функции защиты шлюза 😜😜😜
Александр
Если интересно вот ответ от техподдержки насчет отправки порта в Shutdown
Проблема, которую вы обнаружили, является ограничением текущего дизайна шлюза.
У него нет никакого способа (команды) что бы отключить порт, как это можно делать для коммутатора. Можно выключить интерфейс (то, что вы выполнили командой shutdown). Но интерфейс это программный объект над физическими Ethernet портами и любые действия с интерфейсами не влияют на работу физ.портов. Поэтому порт продолжает принимать трафик, несмотря на то, что назначенный на него интерфейс отключен.
Вот так вот. Т.е. защита интерфейса шлюза в виде отключения интерфейса — не входит в функции защиты шлюза 😜😜😜
О уже спросили, спасибо. Я тоже хотел спросить да времени не было.
Спасибо ещё раз за информацию.
cloud_tg_captcha_bot
User passed the validation.