« Rev
@zyxelru   497
Fwd »


Александр
any (Excluding ZyWALL) или именно ZyWALL?
именно ZyWALL, если долбят IP, который прописан на его WAN порту.
Александр
в идеале там должно deny стоять, но возможно какие-то зоны у вас перестанут работать. Вам нужно провести ревизию правил файрволла.
OLegoss
спасибо, теперь в логах BLOCK :)
Александр
спасибо, теперь в логах BLOCK :)
WAN - это просто зона интернета без IP, прописанного на WAN порту железки. Поэтому для работы с IP присвоенного железке, нужно выбирать зону ZyWALL.
OLegoss
а какая логика у правил, если первым идет default any any, то почему отработал блок на последнем?
Александр
а какая логика у правил, если первым идет default any any, то почему отработал блок на последнем?
ну сначала по правилу "Default (any any)" всё разрешается из любой зоны в любую зоны. А потом вышестоящим правилом WAN to ZyWALL (deny) блокируется любой трафик из интернета (зона WAN) до железки (зона ZyWALL). Как бы наложение вышестоящим правилом на нижестоящее правило.
OLegoss
а вот оно как, спасибо :)
OLegoss
и еще вопрос, есть у кого пример плейбуков Ansible для коммутаторов MES3500-24 ?
Александр
и еще вопрос, есть у кого пример плейбуков Ansible для коммутаторов MES3500-24 ?
железка провайдерская, нужно спрашивать там "Чат по провайдерскому оборудованию - https://t.me/zyxel_communic"
OLegoss
спасибо
OLegoss
не пускает в тот чат
🌀
Где именно?
Бесполезный мануал , нет ничего об ts9 разъёмах, общая информация поверхностная , что туда надо антенну подключать внешнюю 😁
Dmitry
не пускает в тот чат
https://t.me/zyxel_communications_ru
Александр
Бесполезный мануал , нет ничего об ts9 разъёмах, общая информация поверхностная , что туда надо антенну подключать внешнюю 😁
подробнее только если им писать в чат или в техподдержку (https://service-provider.zyxel.com/emea/en/general-enquiry), т.к. железка к ним относится. https://service-provider.zyxel.com/emea/en/search?q=NR5103
cloud_tg_captcha_bot
User passed the validation.
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Mr. Yoda
Коллеги, есть вопрос с некрофильным контекстом ) Для лабы взял Zyxel Zywall USG 100 Plus (EoL) и попытался обновить до последней рабочей прошивки - 330AACV7ITS-WK48-r74988, но оказалось, что прошивка битая (либо собрана с неправильным паролем зип архив) Собственно вопрос - не завалялось ли у кого-нибудь в архивах рабочей прошивки WK48-74988? Б Буду очень благодарен за помощь. 🙏
Mr. Yoda
Скорее всего это еженедельная прошивка была. Такая маловероятно есть на download.from.zyxel.ru. Там в основном официальные и бета версии. Искать по слову AACV
Искал, на этом ресурсе есть только предпоследняя. Именно в этой прошивке устранена проблема с использованием слабых шифров в SSL сертификате для веб админки. Из-за этого приходится использовать древнюю версию огненной лисы
cloud_tg_captcha_bot
User passed the validation.
Dmitriy
Всем добрый день. Есть usg310 с последней офф прошивкой(не its). На все 8 интерфейсах настроены свои сети, 2 вана, 2 экстернал зоны, остальные интернал, ha не настроен. В файрволе порядка 800 правил. При передачи трафика между сетями на скорости 850 мегабит, устройство грузит проц и уходит в ребут. Таже самая история с ipsec, скорость трафика поменьше, до 120мегаби, но если лить большой файл без ограничений скорости то проц тоже уходи в 100% и устройство в ребут улетает. Может кто сталкивался?
Dmitriy
Благодарю
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Bear_Liutikov_Admin_Zabbix_Linux
Всем привет подскажите команду просмотра затухания на sfp порту на zyxel 3500-24
Александр
Всем привет подскажите команду просмотра затухания на sfp порту на zyxel 3500-24
Приветствуем. Железка провайдерская. 1. Zyxel Communications - не Zyxel Networks. 2. Разные юрлица, разные люди. 3. Все вопросы в их чат (https://t.me/zyxel_communications_ru).
cloud_tg_captcha_bot
User passed the validation.
cloud_tg_captcha_bot
User passed the validation.
Мухаммад
Здравствуйте! есть у кого прошивка для Zyxel ES3500-24 ?
Александр
Здравствуйте! есть у кого прошивка для Zyxel ES3500-24 ?
Приветствуем. Железка провайдерская. 1. Zyxel Communications - не Zyxel Networks. 2. Разные юрлица, разные люди. 3. В их чате спросите (https://t.me/zyxel_communications_ru).
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
cloud_tg_captcha_bot
User passed the validation.
cloud_tg_captcha_bot
User passed the validation.
Алексей
Добрый вечер. Бывают ли обычные коммутаторы, не l2 и l3 , которые пропускают vlan тэги?
Сергей
Можно немного конкретики?) коммутатор - это устройство l2 уровня само по себе... Бывают l3 и l4 коммутаторы, ещё так называемые l2+, что в вашем понимании - обычные?)
Сергей
Они остаются все теми же l2 коммутаторами. И теги они не умеют, но некоторые могут адекватно voice vlan понимать.
Сергей
Если мы ведём речь про неуправляемые коммутаторы, то вы получаете железку с access портами, которая просто рассылает пакеты, ориентируясь на таблицу мак-адресов. Таг она не умеет в принципе. Но, если порт подключения на маршрутизаторе/коммутаторе (терминатор сети) будет настроен в режиме акцесс, но с войс влан, то некоторые тупые свичи могут нормально раздать войс на ip телефонию... Я встречал такие. Но именно для тэгированного трафика вам нужен управляемый коммутатор с поддержкой vlan
Александр
Встречал неуправляемые коммутаторы, на них подаёшь тегированный влан, на других портах мог получать тегированные вланы. Но это сильно от коммутатора зависит. Модели не помню. Давно было.
Александр
Поясни пожалуйста, каким образом подаётся тегированный влан на тупой свич?
Подключал к неуправляемому коммутатору управляемый коммутатор транковым портом, в транке подано два тегированных влана и один нативный. Далее к неуправляемому коммутатору подключаю ноут и в настройках сетевой карты выставляю влан и хосты выбранного влана пингуются.
Сергей
Я так понимаю, речь идёт не про нативный влан?
Александр
Я так понимаю, речь идёт не про нативный влан?
Не только про нативный влан. Хосты в других тегированных вланах тоже пинговались.
Александр
Я так понимаю, речь идёт не про нативный влан?
Ну то есть, выставил в сетевучке ВЛАН 2 - получил динамику из ВЛАН 2 и пингуются хосты ВЛАН 2. Выставляю ВЛАН 3 в сетевучке - получил динамику из ВЛАНа 3 и пингуются хосты ВЛАН 3. Выставляешь в сетевучке ВЛАН 0 и получаешь динамику из нативного ВЛАНа и там хосты нативного ВЛАНа пингуются.
Сергей
Вот и я о том, нативный - антагет влан. Соответственно, он не в счёт) А так, артефакт интересный, я не встречал такого. Точнее не приходилось такое делать. Сейчас тупых свичей в целом нет в автопарке, даже если необходимость в 8-12 портах, берётся управляемый свич, ибо есть свои нюансы в работе
Александр
Вот и я о том, нативный - антагет влан. Соответственно, он не в счёт) А так, артефакт интересный, я не встречал такого. Точнее не приходилось такое делать. Сейчас тупых свичей в целом нет в автопарке, даже если необходимость в 8-12 портах, берётся управляемый свич, ибо есть свои нюансы в работе
Повторюсь, давно было. В прошлом десятилетии. Может тогда и коммутаторы были такие. Честно не помню какой был. Даже Флюк отражал в дисплее, что в трафике неуправляемого коммутатора присутствуют нативный, тегированные 2 и 3 ВЛАН.
Александр
Но это небезопасно. По сути, любой посторонний мог вытащить трафик из секретного ВЛАНа.
Сергей
Тут можно долго перечислять почему так делать не надо: Не безопасно Кольцо сделать на раз-два Ловить глюки при работе (уверен, если подключить несколько железок в разных вланах, то картинка поменяется и свич начнёт тупить) Никакого мониторинга состояния Никакой удалённой поддержки в случае проблем И тп
Сергей
Сейчас, думаю, вопрос тупого свича может стоять где-то в шкафу под видео наблюдение, подключённый к серверу и отдающий камерам один вилан, не более
Сергей
И то, даже эта схема имеет уродство, так как управление сервера придётся держать в том же вилан, что и дата гуляет. А это плохой дизайн распределенной сети
Сергей
Но как обычно: Мы даём бизнесу схемы как можно и сколько это стоит, обрисовываем риски, а бизнес уже решает что из этого можно применить
Александр
Тут можно долго перечислять почему так делать не надо: Не безопасно Кольцо сделать на раз-два Ловить глюки при работе (уверен, если подключить несколько железок в разных вланах, то картинка поменяется и свич начнёт тупить) Никакого мониторинга состояния Никакой удалённой поддержки в случае проблем И тп
Кольцо было, долго ловил, оно было вот откуда. Я, вводя switchport access vlan 2, думал, что ВЛАН 1 отключился. Но ошибся, тк потом случайно обнаружил, что с порта два нетегированных ВЛАНа выходят, 1 и 2. Пришлось ввести ещё switchport forbidden default-vlan и тогда все кольца исчезли. Но это было не с Zyxel.
Roman
это у всех точек погаснет ,как я понял, а есть возможность только одну точку?
@Onatoli4 Добрый , подскажите есть ли возможность отключения отдельно ?
Алексей
Я, конечно, ещё тот знаток, но вот у меня на компе стоит настройка на сетевой плате принимать все виланы , видимо все 4096..)
Федор
Но с 19 октября если бы было желание, уже бы давно решили вопрос.
Roman
Так вы создайте новый ssid только 2,4 и привяжите его только к одной точке через теги
Так то хорошо, но необходимо временно отключать 5 ку и включать
Roman
Развязывать сидами необходимости нет
Roman
Задача зайти на точку конкретную и вырубить 5 ку . Сид что на 2.4 и 5 один и тот же
Александр
@Onatoli4 Добрый , подскажите есть ли возможность отключения отдельно ?
Я спрашивал у него по вашему вопросу. Нет возможности отключать радиомодулями.
Федор
Развязывать сидами необходимости нет
Ну это тогда изначальное доп условие, что нельзя создавать другие ssid. Но все решается именно так, создаём ssid, привязываем его только к одной точке, и играемся с ним.
Александр
@Onatoli4 Добрый , подскажите есть ли возможность отключения отдельно ?
Только в автономном или контроллерном режиме можно отключить радиомодуль.
Федор
Точки не только в офисах стоят, но я знаю многих у кого и дома. А дома всякие роботы пылесосы, которые работают только по 2,4. Вот и решение выше, плюс ssid ещё скрытым сделать, чтобы не виден был.
Roman
Ну это тогда изначальное доп условие, что нельзя создавать другие ssid. Но все решается именно так, создаём ssid, привязываем его только к одной точке, и играемся с ним.
У нас 8 точек и надо в некоторых местах временно отключить 5 ку на некоторых точек и потом вернуть , с юбика сошли за зуксель , на юбике выключается на каждой точке радиомуль , когда понадобилось на зукселе такое делать - нет возможности, начали уточнять , сейчас страдают все и падают все на 2.4 , хотелось бы отключать отдельно в каждой точке . И вопрос как дальше строить ...
Roman
Точки не только в офисах стоят, но я знаю многих у кого и дома. А дома всякие роботы пылесосы, которые работают только по 2,4. Вот и решение выше, плюс ssid ещё скрытым сделать, чтобы не виден был.
Пылесосы - все ок , а вот есть девайсы ... которым надо залететь на 2.4 , чтоб не было 5 Ки , вообщем у микрота и юбика есть эти функции... Старые офисы переводить не дают на зюксель ...
Федор
Руками включать-выключать, нужно сразу строить такую архитектуру, чтобы не создавать себе же видимость работы)))
Федор
И один ssid, это для малого и известного количества устройств. А когда зоопарк, их нужно разграничивать, например ssid только для ax устройств, чтобы они не страдали, только для 2,4, чтобы страдали они и т.д.
Roman
Ну крайний вариант, перевести в автономный режим и отключать радиомодулем. Находить их с помощью ZON.
А как же единая сеть и роуминг ... тогда можно оставить и старое оборудование и не переходить на эдиную систему и бренд ...
Федор
А если несколько ssid, что не будет роуминга?
Roman
Остальное 2.4
Александр
А как же единая сеть и роуминг ... тогда можно оставить и старое оборудование и не переходить на эдиную систему и бренд ...
Если ССИД одинаковый, то роуминг сохранится. Просто мониторить неудобнее будет. Точки NWA50AX?
Roman
Взяли одну на тест 50 ax pro
« Rev
@zyxelru   497
Fwd »