О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

port security

MES, ESR
ahel3
Сообщения: 5
Зарегистрирован: 18 янв 2019 11:42
Reputation: 0

port security

Сообщение ahel3 » 18 янв 2019 12:02

Здравствуйте.
Не подскажите имеется ли на оборудовании mes2124, mes2324 аналогичная функция Huawei'вской:
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
Т.е. нам необходимо следующее, сперва все порты пользователей настраиваются на привязку по одному МАК адресу
и далее по мере подключения патч-кордов от ПЭВМ коммутатор сам привязывает первый появившейся МАК адрес к этому порту.

А на Eltex такого уже не получается, или мы что то делаем не так подскажите.
На Eltex у нас получается следующее, при включении этой функции ПЭВМ уже должна быть подключена к порту коммутатора и работать, в этом случаи все привязывается ОК, а вот если ПЭВМ была выключена и в это время включить эту функцию, то после включения ПЭВМ, этот порт уже не привязывается к МАК адресу этой ПЭВМ.
Как будто обучение МАК адресов происходит только в момент включения функции port-security.

За ранее спасибо.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: port security

Сообщение Евгений Т » 18 янв 2019 12:06

Здравствуйте.

Выберите один из этих вариантов настройки в зависимости от целей.

Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, не удаляет адреса после перезагрузки
port security mode secure permanent
port security max 3
port security discard trap 300

Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, удаляет адреса после перезагрузки
port security mode delete-on-reset
port security max 3
port security discard trap 300
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

ahel3
Сообщения: 5
Зарегистрирован: 18 янв 2019 11:42
Reputation: 0

Re: port security

Сообщение ahel3 » 18 янв 2019 14:15

А еще вопрос. А смотреть сообщения о срабатывании port security можно только по SNMP и более нигде?
Удобно было бы discard-­shutdown конечно, но ранее писалось вроде как она не работает толком и исправят в будущих прошивках.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: port security

Сообщение Евгений Т » 18 янв 2019 14:26

Можно discard-­shutdown написать. Работает функционал.
Сообщение о срабатывании появится в логах, отправится на syslog сервер, отправится трап.
После срабатывания порт перейдёт в errdisable состояние и посмотреть это можно командой
sh errd int
Автоматическое восстановление порта из errdisable выполняется командой:
errdisable recovery cause port-sec
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

ahel3
Сообщения: 5
Зарегистрирован: 18 янв 2019 11:42
Reputation: 0

Re: port security

Сообщение ahel3 » 18 янв 2019 19:18

Может я что то делаю не так?

errdisable recovery interval interval 60
errdisable recovery cause port-security

port security mode secure permanent
port security discard-shutdown

Настройки
Port status Learning Action Maximum Trap Frequency
--------- --------- ------------ ----------- --------- -------- ----------
gi1/0/1 Enabled Secure Discard, Shutdown 1 Disabled -
permanent

включаем первую ПЭВМ в порт, пинги идут.
Подключаем тот же порт другую ПЭВМ, пингов нет, счетчик принятых пакетов 0.
Смотрим статус портов

ck Mdix
Port Type Duplex Speed Neg ctrl State (d,h:m:s) Pres
sure Mode Port Mode (VLAN)
-------- ------------ ------ ----- -------- ---- ----------- ------------- ----
---- ------- ------------------------
gi1/0/1 1G-Copper Full 1000 Enabled Off Up 00,00:01:25 Disa
bled On Access (1)

В логах сообщений что отрабатывает port security нет.

Подключаем первую ПЭВМ обратно, все восстонавливается пинги снова идут.

При появлении левого мак адреса на порту порт почему то не отключается.

Пробовал с новой прошивкой 4.0.10.1 на коммутаторе MES2324, тоже самое.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: port security

Сообщение Евгений Т » 21 янв 2019 11:09

errdisable recovery interval interval 60
errdisable recovery cause port-security
!
interface gigabitethernet1/0/14
port security mode secure permanent
port security discard-shutdown trap 10

На порту стоит лимит в 1 MAC-адрес. Подключил ПК. MAC обучился.
sh mac address-table
Flags: I - Internal usage VLAN
Aging time is 300 sec

Vlan Mac Address Port Type
------------ --------------------- ---------- ----------
1 18:31:bf:0d:e4:9c gi1/0/14 secure
1 a8:f9:4b:2f:17:00 0 self

Подключаю в 14 порт вместо ПК другое оборудование, срабатывает port-security. Порт блокируется, переходя в errdisable состояние.
console(config)#08-Oct-2018 18:58:24 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:24 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:29 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:50 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:50 %LINK-W-Down: Vlan 1
08-Oct-2018 18:58:53 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:53 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:55 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:56 %2SWPORT-W-LOCKPORTACTIVE: A packet with source MAC a8:f9:4b:31:ca:00 tried to access through d

08-Oct-2018 18:58:56 %LINK-W-PORT_SUSPENDED: Port gi1/0/14 suspended by port-security

08-Oct-2018 18:58:56 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:56 %LINK-W-Down: Vlan 1
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

ahel3
Сообщения: 5
Зарегистрирован: 18 янв 2019 11:42
Reputation: 0

Re: port security

Сообщение ahel3 » 21 янв 2019 15:57

При такой схеме да все работает.
А вот если прописываем на 1 и 2 порту port security, подключаем ПК к этим портам, мак адреса обучились пинги идут, далее меняем ПК местами, пингов нет, порты светятся, в логах сообщений никаких нет.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: port security

Сообщение Евгений Т » 21 янв 2019 16:02

При такой схеме да все работает.

Логи о срабатывании port security появляются?

далее меняем ПК местами, пингов нет,

А почему пинги должны идти, если этот MAC обучен на другом порту как secure? В этом же и смысл работы port security. И, судя по наблюдаемому поведению, функционал отрабатывает.

порты светятся,

Что это значит?
в логах сообщений никаких нет.

Конфиг портов как выглядит?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: port security

Сообщение Евгений Т » 21 янв 2019 16:27

Проверил на стенде. Действительно, при переключении клиента, MAC которого был обучен как secure на одном порту, в другой порт не появляются логи port security. В остальном функционал полностью отрабатывает, блокируя трафик переключенного клиента.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

ahel3
Сообщения: 5
Зарегистрирован: 18 янв 2019 11:42
Reputation: 0

Re: port security

Сообщение ahel3 » 21 янв 2019 17:02

Спс за помощь.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 18 гостей