О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Доброго всем дня. У меня возникла проблема. Один из портов моего свича MES3324F с прошивкой 4016-R2 подключен к порту узла обмена трафиком через 10G. И там у них жесткие требования при подключении, разрешается обмен только фреймами типов 0x0800 0x0806, то есть только IPv4 и ARP, больше ничего лишнего из моего порта не должно в их сторону вылетать, ни локального производства на данном свиче, ни транзитного, прилетевшего из сети по другим портам. А они говорят, что прямо сразу на вскидку видят прилетающие из моего порта пакеты протокола STP, хотя параметр глобального запрета no spanning-tree на моём свиче включён. Кроме того там ещё летает несколько типов L2 пакетов, например LLDP . Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ? Конечно идеально, если бы для этого была предусмотрена одна команда управления портом, но если таковой нет, то скажите последовательность команд, которые дадут требуемый эффект на 100% . Спасибо за помощь.
Re: Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Добрый день.
Про какую команду речь? no spanning-tree?
Тогда глобально нужно ещё прописать spa bpdu filtering, чтобы фильтровать stp bpdu
На порту нужно настроить
no lldp receive
no ll transmite
mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test
А они говорят, что прямо сразу на вскидку видят прилетающие из моего порта пакеты протокола STP, хотя параметр глобального запрета no spanning-tree на моём свиче включён.
Про какую команду речь? no spanning-tree?
Тогда глобально нужно ещё прописать spa bpdu filtering, чтобы фильтровать stp bpdu
.Кроме того там ещё летает несколько типов L2 пакетов, например LLDP
На порту нужно настроить
no lldp receive
no ll transmite
Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ?
mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Евгений Т писал(а):Добрый день.
Добрый день.
А они говорят, что прямо сразу на вскидку видят прилетающие из моего порта пакеты протокола STP, хотя параметр глобального запрета no spanning-tree на моём свиче включён.Про какую команду речь? no spanning-tree?
Да, речь о ней, не помогает до конца, что-то всё равно пролетает.
Тогда глобально нужно ещё прописать spa bpdu filtering, чтобы фильтровать stp bpdu
Можно пример конретных команд для глобального запрета пакетов всех версий STP на всех портах свича? Не использую STP и не собираюсь, только мешает. Или если невозможно глобально запретить, то как конкретно это сделать поинтерфейсно? Какими командами?
Кроме того там ещё летает несколько типов L2 пакетов, например LLDP.На порту нужно настроить
no lldp receive
no ll transmite
То же самое, глобально можно запретить или только поинтерфейсно? Не использую LLDP.
Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ?mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test
Вот, это кардинальное решение, спасибо. Но вдогонку тогда ещё вопрос. Эта фильтрация выполняется чипом коммутатора или процессором? Хватит быстродействия системы для работы на 10G портах? Не будет ли ограничения скорости на порту, перегрузки CPU ?
Я использую в работе ваши свичи MES2324FB и MES3324F с последней прошивкой mes3300-4016-R2.ros , если это важно.
Ещё раз спасибо за помощь и быстрый исчерпывающий ответ!
Re: Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Можно пример конретных команд для глобального запрета пакетов всех версий STP на всех портах свича? Не использую STP и не собираюсь, только мешает. Или если невозможно глобально запретить, то как конкретно это сделать поинтерфейсно? Какими командами?
Команду приводил в предыдущем комментарии
spa bpdu filtering
То же самое, глобально можно запретить или только поинтерфейсно? Не использую LLDP.
no ll run
Вот, это кардинальное решение, спасибо. Но вдогонку тогда ещё вопрос. Эта фильтрация выполняется чипом коммутатора или процессором? Хватит быстродействия системы для работы на 10G портах? Не будет ли ограничения скорости на порту, перегрузки CPU ?
acl работает аппаратно. На CPU пакеты не перехватываются. Утилизация интерфейса не просядет.
Я использую в работе ваши свичи MES2324FB и MES3324F с последней прошивкой mes3300-4016-R2.ros , если это важно.
От версии ПО не зависит.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Большое спасибо за прекрасный сервис! Ночью буду пробовать всё это внедрить.
Re: Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Здравсствуйте.
Ой, добавилось у меня седых волос
.
Наверное описка? Не 8000, а 800 ?
Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ?mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test
Ой, добавилось у меня седых волос
.Наверное описка? Не 8000, а 800 ?
Re: Как запретить на порту свича MES3324F пакеты всех протоколов кроме IPv4 и ARP
Здравствуйте.
Да, опечатался.
С таким вариантом заработало?
Да, опечатался.
С таким вариантом заработало?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей