Здравствуйте.
Не подскажите имеется ли на оборудовании mes2124, mes2324 аналогичная функция Huawei'вской:
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
Т.е. нам необходимо следующее, сперва все порты пользователей настраиваются на привязку по одному МАК адресу
и далее по мере подключения патч-кордов от ПЭВМ коммутатор сам привязывает первый появившейся МАК адрес к этому порту.
А на Eltex такого уже не получается, или мы что то делаем не так подскажите.
На Eltex у нас получается следующее, при включении этой функции ПЭВМ уже должна быть подключена к порту коммутатора и работать, в этом случаи все привязывается ОК, а вот если ПЭВМ была выключена и в это время включить эту функцию, то после включения ПЭВМ, этот порт уже не привязывается к МАК адресу этой ПЭВМ.
Как будто обучение МАК адресов происходит только в момент включения функции port-security.
За ранее спасибо.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
port security
Re: port security
Здравствуйте.
Выберите один из этих вариантов настройки в зависимости от целей.
Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, не удаляет адреса после перезагрузки
port security mode secure permanent
port security max 3
port security discard trap 300
Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, удаляет адреса после перезагрузки
port security mode delete-on-reset
port security max 3
port security discard trap 300
Выберите один из этих вариантов настройки в зависимости от целей.
Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, не удаляет адреса после перезагрузки
port security mode secure permanent
port security max 3
port security discard trap 300
Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, удаляет адреса после перезагрузки
port security mode delete-on-reset
port security max 3
port security discard trap 300
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: port security
А еще вопрос. А смотреть сообщения о срабатывании port security можно только по SNMP и более нигде?
Удобно было бы discard-shutdown конечно, но ранее писалось вроде как она не работает толком и исправят в будущих прошивках.
Удобно было бы discard-shutdown конечно, но ранее писалось вроде как она не работает толком и исправят в будущих прошивках.
Re: port security
Можно discard-shutdown написать. Работает функционал.
Сообщение о срабатывании появится в логах, отправится на syslog сервер, отправится трап.
После срабатывания порт перейдёт в errdisable состояние и посмотреть это можно командой
sh errd int
Автоматическое восстановление порта из errdisable выполняется командой:
errdisable recovery cause port-sec
Сообщение о срабатывании появится в логах, отправится на syslog сервер, отправится трап.
После срабатывания порт перейдёт в errdisable состояние и посмотреть это можно командой
sh errd int
Автоматическое восстановление порта из errdisable выполняется командой:
errdisable recovery cause port-sec
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: port security
Может я что то делаю не так?
errdisable recovery interval interval 60
errdisable recovery cause port-security
port security mode secure permanent
port security discard-shutdown
Настройки
Port status Learning Action Maximum Trap Frequency
--------- --------- ------------ ----------- --------- -------- ----------
gi1/0/1 Enabled Secure Discard, Shutdown 1 Disabled -
permanent
включаем первую ПЭВМ в порт, пинги идут.
Подключаем тот же порт другую ПЭВМ, пингов нет, счетчик принятых пакетов 0.
Смотрим статус портов
ck Mdix
Port Type Duplex Speed Neg ctrl State (d,h:m:s) Pres
sure Mode Port Mode (VLAN)
-------- ------------ ------ ----- -------- ---- ----------- ------------- ----
---- ------- ------------------------
gi1/0/1 1G-Copper Full 1000 Enabled Off Up 00,00:01:25 Disa
bled On Access (1)
В логах сообщений что отрабатывает port security нет.
Подключаем первую ПЭВМ обратно, все восстонавливается пинги снова идут.
При появлении левого мак адреса на порту порт почему то не отключается.
Пробовал с новой прошивкой 4.0.10.1 на коммутаторе MES2324, тоже самое.
errdisable recovery interval interval 60
errdisable recovery cause port-security
port security mode secure permanent
port security discard-shutdown
Настройки
Port status Learning Action Maximum Trap Frequency
--------- --------- ------------ ----------- --------- -------- ----------
gi1/0/1 Enabled Secure Discard, Shutdown 1 Disabled -
permanent
включаем первую ПЭВМ в порт, пинги идут.
Подключаем тот же порт другую ПЭВМ, пингов нет, счетчик принятых пакетов 0.
Смотрим статус портов
ck Mdix
Port Type Duplex Speed Neg ctrl State (d,h:m:s) Pres
sure Mode Port Mode (VLAN)
-------- ------------ ------ ----- -------- ---- ----------- ------------- ----
---- ------- ------------------------
gi1/0/1 1G-Copper Full 1000 Enabled Off Up 00,00:01:25 Disa
bled On Access (1)
В логах сообщений что отрабатывает port security нет.
Подключаем первую ПЭВМ обратно, все восстонавливается пинги снова идут.
При появлении левого мак адреса на порту порт почему то не отключается.
Пробовал с новой прошивкой 4.0.10.1 на коммутаторе MES2324, тоже самое.
Re: port security
errdisable recovery interval interval 60
errdisable recovery cause port-security
!
interface gigabitethernet1/0/14
port security mode secure permanent
port security discard-shutdown trap 10
На порту стоит лимит в 1 MAC-адрес. Подключил ПК. MAC обучился.
sh mac address-table
Flags: I - Internal usage VLAN
Aging time is 300 sec
Vlan Mac Address Port Type
------------ --------------------- ---------- ----------
1 18:31:bf:0d:e4:9c gi1/0/14 secure
1 a8:f9:4b:2f:17:00 0 self
Подключаю в 14 порт вместо ПК другое оборудование, срабатывает port-security. Порт блокируется, переходя в errdisable состояние.
console(config)#08-Oct-2018 18:58:24 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:24 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:29 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:50 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:50 %LINK-W-Down: Vlan 1
08-Oct-2018 18:58:53 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:53 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:55 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:56 %2SWPORT-W-LOCKPORTACTIVE: A packet with source MAC a8:f9:4b:31:ca:00 tried to access through d
08-Oct-2018 18:58:56 %LINK-W-PORT_SUSPENDED: Port gi1/0/14 suspended by port-security
08-Oct-2018 18:58:56 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:56 %LINK-W-Down: Vlan 1
errdisable recovery cause port-security
!
interface gigabitethernet1/0/14
port security mode secure permanent
port security discard-shutdown trap 10
На порту стоит лимит в 1 MAC-адрес. Подключил ПК. MAC обучился.
sh mac address-table
Flags: I - Internal usage VLAN
Aging time is 300 sec
Vlan Mac Address Port Type
------------ --------------------- ---------- ----------
1 18:31:bf:0d:e4:9c gi1/0/14 secure
1 a8:f9:4b:2f:17:00 0 self
Подключаю в 14 порт вместо ПК другое оборудование, срабатывает port-security. Порт блокируется, переходя в errdisable состояние.
console(config)#08-Oct-2018 18:58:24 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:24 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:29 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:50 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:50 %LINK-W-Down: Vlan 1
08-Oct-2018 18:58:53 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:53 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:55 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:56 %2SWPORT-W-LOCKPORTACTIVE: A packet with source MAC a8:f9:4b:31:ca:00 tried to access through d
08-Oct-2018 18:58:56 %LINK-W-PORT_SUSPENDED: Port gi1/0/14 suspended by port-security
08-Oct-2018 18:58:56 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:56 %LINK-W-Down: Vlan 1
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: port security
При такой схеме да все работает.
А вот если прописываем на 1 и 2 порту port security, подключаем ПК к этим портам, мак адреса обучились пинги идут, далее меняем ПК местами, пингов нет, порты светятся, в логах сообщений никаких нет.
А вот если прописываем на 1 и 2 порту port security, подключаем ПК к этим портам, мак адреса обучились пинги идут, далее меняем ПК местами, пингов нет, порты светятся, в логах сообщений никаких нет.
Re: port security
При такой схеме да все работает.
Логи о срабатывании port security появляются?
далее меняем ПК местами, пингов нет,
А почему пинги должны идти, если этот MAC обучен на другом порту как secure? В этом же и смысл работы port security. И, судя по наблюдаемому поведению, функционал отрабатывает.
порты светятся,
Что это значит?
в логах сообщений никаких нет.
Конфиг портов как выглядит?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: port security
Проверил на стенде. Действительно, при переключении клиента, MAC которого был обучен как secure на одном порту, в другой порт не появляются логи port security. В остальном функционал полностью отрабатывает, блокируя трафик переключенного клиента.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: port security
Спс за помощь.
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 18 гостей