MES2300B-24F Eltex | Коммутатор 20 портов 1G, 4 combo-порта 1G, 4 порта 10G
MES2300B-24F
Новое поколение коммутаторов доступа MES осуществляет подключение конечных пользователей к сети крупных предприятий, предприятий малого и среднего бизнеса и к сетям операторов связи с помощью интерфейсов 1G/10G. Коммутаторы MES2300B-24F также могут использоваться в операторских сетях в качестве коммутаторов уровня агрегации или транспортных коммутаторов.
Общие параметры MES2300B-24F Eltex
Статус Минпромторг | Да |
Порядковый номер реестровой записи | ТКО-114/23 |
Физические интерфейсы
Кол-во портов DOWNLINK | 20 |
Тип DOWNLINK | SFP |
Скорость DOWNLINK | 1G |
Кол-во портов UPLINK | 4 |
Тип UPLINK | 10G |
Количество портов | 20xSFP, 4 комбо, 4xSFP+ |
Количество портов КОМБО 10/100/1000BASE-T/100BASE-FX/1000BASE-X | 4 |
Количество портов 100BASE-FX / 1000BASE-X (SFP) | 20 |
Количество портов 1000BASE-X (SFP) / 10GBASE-R (SFP+) | 4 |
Консольный порт | RS-232 (RJ-45) |
Производительность
Пропускная способность, Гбит/с | 128 |
Производительность на пакетах длиной 64 байта (значение указано для односторонней передачи), MPPS | 95.2 |
Объём буферной памяти | 1.5 Мбайт |
Объём ОЗУ | 2 Гбайт (DDR4) |
Объём ПЗУ | 512 Мбайт (RAW NAND) |
MAC таблица | 16 384 |
Количество ARP записей | 1981 |
Таблица VLAN | 4094 |
Количество групп L2 Multicast (IGMP Snooping) | 2048 |
Количество L3 интерфейсов | 2032 |
Количество маршрутов L3 IPv4 Unicast | 4064 |
Количество маршрутов L3 IPv6 Unicast | 1014 |
Количество VRF (включая VRF по умолчанию) | 16 |
Количество VRRP-маршрутизаторов | 255 |
Максимальный размер ECMP-групп | 8 |
Количество правил SQinQ (ingress / egress) | 1320 / 654 или 654 / 1320 |
Количество правил ACL MAC, максимальное (если правил ACL IPv4 / IPv6 = 0) |
1974 |
Количество правил ACL IPv4 / IPv6, максимальное (если правил MAC ACL = 0) |
1974 / 987 |
Количество правил ACL в одном ACL | 512 |
Количество групп LAG (Link Aggregation Groups) | 32, до 8 портов в одном LAG |
Качество обслуживания QoS, выходные очереди на порт | 8 |
Максимальный размер Jumbo-фрейма, байт | 10240 |
Кол-во устройств в стеке | 8 |
Функции
Уровень коммутатора | L3 |
Поддержка MLAG (Multi-Switch Link Aggregation Group) | Да |
Поддержка ERPS (G.8032v2) | Да |
Поддержка сверхдлинных кадров (Jumbo frames) | Да |
Поддержка Q-in-Q | Да |
Поддержка Selective Q-in-Q | Да |
Физические характеристики
Питание, ток | AC, DC |
Питание, В | 100–240 В AC, 12 В DC |
Разъем для АКБ | + |
PoE | Нет |
Поддерживаемые стандарты PoE | Нет |
Бюджет PoE, Вт | Нет |
Максимальная потребляемая мощность, Вт | 55 |
Максимальная потребляемая мощность без учёта заряда АКБ, Вт | 40 |
Аппаратная поддержка Dying Gasp | Есть |
Промышленный | Нет |
Рабочая температура окружающей среды | От -20 до +65 °С |
Рабочая влажность | Не более 80% |
Тепловыделение, Вт | 43 |
Тип охлаждения | Front-to-Back, 4 вентилятора |
Установка в стойку | 1U |
Габариты коммутатора (ШхВхГ), мм | 430 x 44 x 305 |
Габариты и вес
Размер коробки ШхВхГ, мм | 550 x 85 x 450 |
Вес брутто, кг | 4 |
Ключевые преимущества
- Пропускная способность до 128 Гбит/с
- Неблокируемая коммутационная матрица
- До 4 портов 10G
- Коммутаторы уровня L3
- Стекирование до 8 устройств
- Бесперебойное питание от АКБ
Новое поколение коммутаторов доступа MES осуществляет подключение конечных пользователей к сети крупных предприятий, предприятий малого и среднего бизнеса и к сетям операторов связи с помощью интерфейсов 1G/10G.
Коммутаторы MES2300B-24F также могут использоваться в операторских сетях в качестве коммутаторов уровня агрегации или транспортных коммутаторов.
Порты устройств поддерживают работу на скоростях 1 Гбит/с и 10 Гбит/с, что обеспечивает гибкость в использовании и возможность постепенного перехода на более высокие скорости передачи данных. Неблокируемая коммутационная матрица позволяет осуществлять корректную обработку пакетов при максимальных нагрузках, сохраняя при этом минимальные и предсказуемые задержки на всех типах трафика.
Функциональные возможности коммутаторов обеспечивают физическое стекирование, поддержку виртуальных локальных сетей, многоадресных групп рассылки и расширенные функции безопасности.
Бесперебойное питание
Коммутаторы MES2300B-24F имеют возможность подключения аккумуляторной батареи для обеспечения гарантированного питания в случае пропадания первичной сети 220 В. Коммутатор оснащен блоком питания, который позволяет заряжать АКБ при наличии питания 220 В. Система резервного питания позволяет следить за состоянием первичной сети и извещать о переходе с одного типа питания на другой.
Интерфейсы
- 1000BASE-X/100BASE-FX (SFP) - 20
- 10/100/1000BASE-T/1000BASE-X/100BASE-FX Combo - 4
- 10GBASE-R (SFP+)/1000BASE-X (SFP) - 4
- Консольный порт RS-232 (RJ-45) - 1
Производительность
- Пропускная способность - 128 Гбит/с
- Производительность на пакетах длиной 64 байта1 - 95.2 MPPS
- Объём буферной памяти - 1.5 Мбайт
- Объём ОЗУ - 2 Гбайт (DDR4)
- Объём ПЗУ - 512 Мбайт (RAW NAND)
- Таблица MAC-адресов - 16 384
- Количество ARP-записей2 - 1981
- Таблица VLAN - 4094
- Количество групп L2 Multicast (IGMP Snooping) - 2048
- Количество правил SQinQ (ingress / egress) - 1320 / 654 или 654 / 13203
- Количество правил ACL, общее (MAC + IPv4 / IPv6) -
- Количество правил ACL MAC, максимальное (если правил ACL IPv4 / IPv6 = 0) - 1974
- Количество правил ACL IPv4 / IPv6, максимальное (если правил MAC ACL = 0) - 1974 / 987
- Количество маршрутов L3 IPv4 Unicast4 - 4064
- Количество маршрутов L3 IPv6 Unicast4 - 1014
- Количество маршрутов L3 IPv4 Multicast (IGMP Proxy, PIM)4 - 2029
- Количество маршрутов L3 IPv6 Multicast (IGMP Proxy, PIM)4 - 505
- Количество VRRP-маршрутизаторов - 255
- Максимальный размер ECMP-групп - 8
- Количество VRF (включая VRF по умолчанию) - 16
- Количество L3-интерфейсов - 2032
- Link Aggregation Groups (LAG) - 32, до 8 портов в одном LAG
- Качество обслуживания QoS, выходные очереди на порт - 8
- Размер Jumbo-фрейма, максимальный размер пакетов - 10240 байт
- Стекирование, количество устройств - 8
Функции интерфейсов
- Защита от блокировки очереди (HOL)
- Поддержка обратного давления (Back pressure)
- Поддержка Auto MDI/MDIX
- Поддержка сверхдлинных кадров (Jumbo frames)
- Управление потоком (IEEE 802.3X)
- Зеркалирование портов (SPAN, RSPAN)
- Стекирование
Функции при работе с МAC-адресами
- Независимый режим обучения в каждой VLAN
- Поддержка многоадресной рассылки (MAC Multicast Support)
- Регулируемое время хранения MAC-адресов
- Статические MAC-адреса (Static MAC Entries)
- Логирование событий MAC Flapping
Поддержка VLAN
- Поддержка Voice VLAN
- Поддержка IEEE 802.1Q
- Поддержка Q-in-Q
- Поддержка Selective Q-in-Q
- Поддержка GVRP
Функции L2 Multicast
- Поддержка профилей Multicast
- Поддержка статических Multicast-групп
- Поддержка IGMP Snooping v1,2,3
- Поддержка IGMP Snooping Fast Leave на основе хоста/порта
- Поддержка функции IGMP proxy-report
- Поддержка авторизации IGMP через RADIUS
- Поддержка MLD Snooping v1,2
- Поддержка IGMP Querier
- Поддержка MVR
Функции L2
- Поддержка STP (Spanning Tree Protocol, IEEE 802.1d)
- Поддержка RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w)
- Поддержка MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s)
- Поддержка PVSTP+
- Поддержка RPVSTP+
- Поддержка Spanning Tree Fast Link option
- Поддержка STP Root Guard
- Поддержка BPDU Filtering
- Поддержка STP BPDU Guard
- Поддержка Loopback Detection (LBD)
- Поддержка ERPS (G.8032v2)
- Поддержка Flex-link
- Поддержка Private VLAN
- Поддержка Layer 2 Protocol Tunneling (L2PT)
Функции L3
- Статические IP-маршруты
- Протоколы динамической маршрутизации RIPv2, OSPFv2, OSPFv3, IS-IS (IPv4 Unicast), BGP5 (IPv4 Unicast, IPv4 Multicast)
- Поддержка протоколов BFD (для BGP)
- Address Resolution Protocol (ARP)
- Поддержка Proxy ARP
- Поддержка протокола VRRP
- Протоколы динамической маршрутизации мультикаста PIM SM, PIM DM, IGMP Proxy, MSDP
- Балансировка нагрузки ECMP
- Поддержка функции IP Unnumbered
- Поддержка технологии VRF lite
Функции Link Aggregation
- Создание групп LAG
- Объединение каналов с использованием LACP
- Поддержка LAG Balancing Algorithm
- Поддержка Multi-Switch Link Aggregation Group (MLAG)
Поддержка IPv6
- Функциональность IРv6 Host
- Совместное использование IРv6, IРv4
Сервисные функции
- Виртуальное тестирование кабеля (VCT)
- Диагностика оптического трансивера
- Green Ethernet
Функции обеспечения безопасности
- Защита от несанкционированных DHCP-серверов (DHCP Snooping)
- Опция 82 протокола DHCP
- IP Source Guard
- Dynamic ARP Inspection
- Поддержка sFlow
- Проверка подлинности на основе MAC-адреса, ограничение количества MAC-адресов, статические MAC-адреса
- Проверка подлинности по портам на основе IEEE 802.1x
- Guest VLAN
- Система предотвращения DoS-атак
- Сегментация трафика
- Фильтрация DHCP-клиентов
- Предотвращение атак BPDU
- Фильтрация NetBIOS/NetBEUI
Списки управления доступом ACL
- L2-L3-L4 ACL (Access Control List)
- Поддержка Time-Based ACL
- IРv6 ACL
- ACL на основе:
- Порта коммутатора
- Приоритета IEEE 802.1p
- VLAN ID
- EtherType
- DSCP
- Типа IP-протокола
- Номера порта TCP/UDP
- Содержимого пакета, определяемого пользователем (User Defined Bytes)
Основные функции качества обслуживания (QoS) и ограничение скорости
- Статистика QoS
- Ограничение скорости на портах (Shaping, Policing)
- Поддержка класса обслуживания IEEE 802.1р
- Поддержка Storm Control для различного трафика (broadcast, multicast, unknown unicast)
- Управление полосой пропускания
- Обработка очередей по алгоритмам Strict Priority/Weighted Round Robin (WRR)
- Три цвета маркировки
- Классификация трафика на основании ACL
- Назначение меток CoS/DSCP на основании ACL
- Настройка приоритета 802.1p для VLAN управления
- Перемаркировка DSCP to COS, COS to DSCP
- Назначение VLAN на основании ACL
- Назначение меток 802.1p, DSCP для протокола IGMP
ОАМ
- 802.3ah Ethernet Link OAM
- 802.3ah Unidirectional Link Detection (протокол обнаружения однонаправленных линков)
Основные функции управления
- Загрузка и выгрузка конфигурации и ПО по TFTP
- Протокол SNMP
- Интерфейс командной строки (CLI)
- Web-интерфейс
- Syslog
- SNTP (Simple Network Time Protocol)
- Traceroute
- LLDP (802.1ab) + LLDP MED
- LLDP (IEEE 802.1ab)
- Управление доступом к коммутатору — уровни привилегий для пользователей
- Списки контроля доступа (Management ACL)
- Блокировка интерфейса управления
- Локальная аутентификация
- Фильтрация IP-адресов для SNMP
- Клиент RADIUS/TACACS+ (Terminal Access Controller Access Control System)
- Сервер Telnet, сервер SSH
- Клиент Telnet, клиент SSH
- Поддержка SSL
- Поддержка макрокоманд
- Журналирование вводимых команд
- Системный журнал
- Автоматическая настройка по DHCP
- DHCP Relay (поддержка IPv4)
- DHCP Option 12
- Команды отладки
- Механизм ограничения трафика в сторону CPU
- Шифрование паролей
- Восстановление пароля
- Ping (IPv4/IPv6)
Функции мониторинга
- Статистика интерфейсов
- Удаленный мониторинг RMON/SMON
- Поддержка IP SLA
- Мониторинг загрузки CPU по задачам и типу трафика
- Мониторинг оперативной памяти (RAM)
- Мониторинг температуры
- Мониторинг TCAM
MIB
- RFC 1065, 1066, 1155, 1156, 2578 MIB Structure
- RFC 1212 Concise MIB Definitions
- RFC 1213 MIB II
- RFC 1215 MIB Traps Convention
- RFC 1493, 4188 Bridge MIB
- RFC 1157, 2571-2576 SNMP MIB
- RFC 1901-1908, 3418, 3636, 1442, 2578 SNMPv2 MIB
- RFC 1271,1757, 2819 RMON MIB
- RFC 2465 IPv6 MIB
- RFC 2466 ICMPv6 MIB
- RFC 2737 Entity MIB
- RFC 4293 IPv6 SNMP Mgmt Interface MIB
- Private MIB
- RFC 2021 RMONv2 MIB
- RFC 1398, 1643, 1650, 2358, 2665, 3635 Ether-like MIB
- RFC 2668 IEEE 802.3 MAU MIB
- RFC 2674, 4363 IEEE 802.1p MIB
- RFC 2233, 2863 IF MIB
- RFC 2618 RADIUS Authentication Client MIB
- RFC 4022 MIB для TCP
- RFC 4113 MIB для UDP
- RFC 3289 MIB для Diffserv
- RFC 2620 RADIUS Accounting Client MIB
- RFC 2925 Ping & Traceroute MIB
- RFC 768 UDP
- RFC 791 IP
- RFC 792 ICMPv4
- RFC 2463, 4443 ICMPv6
- RFC 4884 Extended ICMP для поддержки сообщений Multi-Part
- RFC 793 TCP
- RFC 2474, 3260 определение поля DS в заголовке IPv4 и IPv6
- RFC 1321, 2284, 2865, 3580, 3748 Extensible Authentication Protocol (EAP)
- RFC 2571-2574 SNMP
- RFC 826 ARP
- RFC 854 Telnet
- МЭК 61850
Физические характеристики и условия окружающей среды
- Питание:
- 100–240 В AC, 50–60 Гц;
- 12 В DC
- Максимальная потребляемая мощность - 55 Вт
- Максимальная потребляемая мощность без учета заряда АКБ - 40 Вт
- Тепловыделение - 43 Вт
- Аппаратная поддержка Dying Gasp - есть
- Рабочая температура окружающей среды - от -20 до +65 °С
- Температура хранения - от -50 до +70 °С
- Рабочая влажность - не более 80 %
- Вентиляция - Front-to-Back, 4 вентилятора
- Исполнение - 19", 1U
- Габариты (Ш × В × Г) - 430 × 44 × 305 мм
- Масса - 4.08 кг
1Значения указаны для односторонней передачи
2Для каждого хоста в ARP-таблице создается запись в таблице маршрутизации
3Всего 1974 правила. Делятся в разных пропорциях между входящими и исходящими правилами, но не более 1320 для каждого
4Маршруты IPv4/IPv6 Unicast/Multicast используют общие аппаратные ресурсы
5Поддержка протокола BGP предоставляется по лицензии



Услуги, входящие в сертификат:
- Диагностика оборудования
- Бесплатный ремонт, если диагностирован гарантийный случай
- Платный ремонт, если диагностирован не гарантийный случай
по МСК и НСК
- Сертификат привязан к серийному номеру оборудования
- Гарантийное обслуживание является непрерывным
- Максимальный срок гарантийного обслуживания - 5 лет
Способы обращения в техническую поддержку:
- Интернет портал. Удобно для сложных вопросов. Все ответы будут зафиксированы, и они никогда не потеряются
- Email. Удобно для простых вопросов. Вопрос и Вам ответят сразу
- «Душевный» чат в Telegram. Для интересных и нестандартных вопросов. Можно получить ответ и воспользоваться опытом коллег.
по МСК и НСК
- Сертификат привязан к серийному номеру оборудования
Способы обращения в техническую поддержку:
- Интернет портал. Удобно для сложных вопросов. Все ответы будут зафиксированы, и они никогда не потеряются
- Email. Удобно для простых вопросов. Вопрос и Вам ответят сразу
- «Душевный» чат в Telegram. Для интересных и нестандартных вопросов. Можно получить ответ и воспользоваться опытом коллег.
- Сертификат привязан к серийному номеру оборудования
*Next Business Shipping - на следующий день
Услуги, входящие в сертификат:
- Отправка оборудования на подмену на время ремонта на следующий рабочий день
- Диагностика неисправного оборудования
- Бесплатный ремонт, если диагностирован гарантийный случай
- Платный ремонт, если диагностирован не гарантийный случай
по МСК и НСК
- Сертификат привязан к серийному номеру оборудования
- Сертификат приобретается только при наличии действующей стандартной/расширенной гарантии
Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI, необходимо подключиться к коммутатору при помощи терминальной программы (например, HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Для загрузки файла текущей конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:
console# copy tftp:// xxx.xxx.xxx.xxx/File_Name running-config
, где
- xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
- File_Name – имя конфигурационного файла
и нажать "Enter". Если загрузка прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully
Для загрузки файла начальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:
console# boot config tftp:// xxx.xxx.xxx.xxx/File_Name
, где
- xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
- File_Name – имя конфигурационного файла
и нажать "Enter". В окне терминальной программы должно появиться следующее сообщение:
Overwrite file [startup-config].... (Y/N)[N] ?
Для записи конфигурационного файла необходимо нажать клавишу "y". Если загрузка файла прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully
Для выгрузки файла первоначальной конфигурации на TFTP сервер необходимо в командной строке CLI ввести следующую команду:
console# copy startup-config tftp:// xxx.xxx.xxx.xxx/File_Name
, где
- xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;
- File_Name – имя конфигурационного файла
и нажать "Enter". Если выгрузка файла прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully
Источник:
docs.eltex-co.ru
MES2300-08P | MES2300-24 | MES2300B-24F | MES2300-24P | MES2300B-48 | MES2300-48P | MES2300DI-28 | MES2300D-24P | MES3300-08F | MES3300-16F | MES3300-24 | MES3300-24F | MES3300-48 | MES5316A | MES5316A rev.C | MES5316A rev.C1 | MES5324A | MES5324A rev.C | MES5324A rev.C1 | MES5332A | MES5332A rev.C | MES5400-24 | MES5400-48 | MES5410-48 | MES5500-32 | MES5300-24 | MES5300-48 | MES5305-48 | MES5310-48 | |
MES2300-08P | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300-24 | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300B-24F | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300-24P | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300B-48 | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300-48P | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300DI-28 | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2300D-24P | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3300-08F | - | - | - | - | - | - | - | - | + | + | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3300-16F | - | - | - | - | - | - | - | - | + | + | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3300-24 | - | - | - | - | - | - | - | - | + | + | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3300-24F | - | - | - | - | - | - | - | - | + | + | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3300-48 | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES5316A | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES5316A rev.C | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES5316A rev.C1 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES5324A | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - |
MES5324A rev.C | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - |
MES5324A rev.C1 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - |
MES5332A | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - |
MES5332A rev.C | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - |
MES5400-24 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - |
MES5400-48 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - |
MES5410-48 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - |
MES5500-32 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - |
MES5300-24 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - |
MES5300-48 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - |
MES5305-48 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - |
MES5310-48 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + |
Источник:
docs.eltex-co.ru
OOB (out-of-band) порт представляет собой интерфейс для передачи трафика, управления коммутатором, отдельного от сети передачи данных. Концепция OOB позволяет организовать управление оборудованием независимо от состояния остальной сети и обеспечить отсутствие пересечения управляющего и клиентского трафика. Эти условия являются необходимыми для эксплуатации коммерческих сетей, наподобие IP-фабрик, в которых подобный подход подразумевает физическое разделение сети управления от сети передачи пользовательских данных.
Архитектурно OOB интерфейс подключен непосредственно к CPU коммутатора и не участвует в маршрутизации с остальными интерфейсами.
В дефолтной конфигурации коммутатор не имеет IP-адреса для управления через OOB интерфейс (фактически на него назначен 0.0.0.0/32 для указания source ip в пакетах dhcp discover) и ожидает его получения по протоколу DHCP:
Для примера настроим статический IP-адрес 172.16.0.1/16:
как видим в конфигурации интерфейса появляется строка no ip address dhcp, означающая отключение на нем DHCP клиента.
Теперь удалим IP-адресацию с интерфейса и в выводе команды show ip interface oob
обнаружим вновь запущенный DHCP клиент на OOB интерфейсе:
В данном случае поведение аналогично default vlan интерфейсу и это важно при добавлении OOB интерфейса в VRF.
К примеру создадим для управления коммутатором отдельный VRF с именем mgmt и попробуем добавить в него OOB интерфейс:
коммутатор сообщает об ошибке, так как перед добавлением любого интерфейса в VRF требуется удалить из глобальной таблицы маршрутизации все подсети, адреса которых на него назначены.
Применим команду no ip address dhcp
в контексте конфигурации интерфейса, чтобы удалить дефолтный адрес 0.0.0.0/32, после чего можем добавить интерфейс в VRF:
Те же действия следует выполнять при изменении/удалении VRF в конфигурации интерфейса.
Ранее было сказано, что интерфейс OOB не участвует в маршрутизации. Настроим на коммутаторе три ip адреса на интерфейсах oob, te1/0/1, te1/0/2 и посмотрим таблицу маршрутизации:
подсети всех трех интерфейсов являются connected.
Теперь установим OSPF соседство с другим коммутатором, попробуем инжектировать connected сети в процесс OSPF и посмотрим на отправляемые LSA:
видим в сообщении LS Update LSA только с префиксами 192.168.1.0/24 и 192.168.2.0/24
соответственно, те же префиксы наблюдаем в LSDB и таблице маршрутизации на OSPF соседе:
Коммутатор не инжектирует в OSPF подсеть OOB интерфейса, несмотря на то, что она является connected, так как OOB интерфейс не участвует в маршрутизации.
Еще один важный момент.
Соберем стек из двух коммутаторов и настроим на нем адрес OOB интерфейса:
Теперь перезагрузим master unit. Backup берет на себя роль master'а, применяет конфигурацию, но при этом интерфейс OOB находится в состоянии Down:
Для избежания таких ситуаций при стекировании коммутаторов правильной практикой является включение патч-кордов в OOB порты и master и backup юнитов.
Источник:
docs.eltex-co.ru
Для настройки приветствия неавторизованных пользователей при подключении к коммутатору требуется в глобальном режиме конфигурации выполнить команду:
console(config)# banner exec X
, где Х - разделитель, который послужит символом окончания ввода баннера.
коммутатор предложит ввести текст приветствия, который должен быть ограничен 2000 символами, строка не может содержать более 510 символов, баннер должен заканчиваться на заданный разделитель, пример:
console# configure
console(config)# banner exec X
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
X
console(config)# exit
console# exit
21-Jan-2021 15:31:02 %AAA-I-DISCONNECT: User CLI session for user admin over console , source 0.0.0.0 destination 0.0.0.0 TERMINATED. The Telnet/SSH session may still be connected
Console baud-rate auto detection is enabled, press Enter twice to complete the detection process
User Name:admin
Password:*****
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
console#
В тексте приветствия можно использовать переменные.
При выводе переменных используются данные, сохраненные в конфигурации устройства.
Список доступных переменных :
$(hostname) - имя устройства
$(domain) - доменное имя, установленное по умолчанию. Команда для конфигурации : ip domain name name
$(location) - местоположение устройства. Команда для конфигурации : snmp-server location location
$(contact) - контактная информация устройства. Команда для конфигурации : snmp-server contact contact
$(mac-address) - MAC-адрес устройства
Пример конфигурации :
MES5324A# configure
MES5324A(config)# banner exec X
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
$(hostname)
$(domain)
$(location)
$(contact)
$(mac-address)
X
Вывод приветствия :
User Name:admin
Password:admin
________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
MES5324A
eltex-co.ru
Novosibirsk
+73832741001
e8:28:c1:19:24:00
Источник:
docs.eltex-co.ru
Коммутаторы MES5312/MES5316A/MES5324A/MES5332A можно объединять в стек до 8 устройств. В режиме стекирования коммутаторы MES5312/53xxA используют XG-порты для синхронизации, коммутаторы MES5400-XX используют 100G порты для синхронизации, при этом интерфейсы в режиме стекирования работают только на максимальной скорости интерфейса. Указанные порты не участвуют в передаче данных. Возможны две топологии синхронизирующихся устройств – кольцевая и линейная. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.
Коммутаторы по умолчанию уже работают в режиме стека с UNIT ID 1.
Конфигурация коммутатора:
console(config)# stack configuration unit-id {1-8}
console(config)# stack configuration links {te1-24|hu1-6}
Необходимо указывать два стековых интерфейса на каждом юните. Пример команды :
console(config)# stack configuration unit 1 links te23-24
Конфигурация применится после перезагрузки.
Для удаления конфигурации стека вводится команда:
console(config)# no stack configuration
Конфигурация удаляется после перезагрузки устройства.
При отказе мастера его роль на себя берет бэкап коммутатор. На бэкап коммутаторе резервируется конфигурация. Мастером могут быть только юнит 1 и 2.
Если мастер вернется в строй, то вновь возьмет на себя мастерство в случае, если аптайм бэкап-коммутатора составляет менее 10 минут (при этом бекап коммутатор перезагрузится).
Если аптайм бэкапа будет более 10 минут, то мастерство останется за юнитом 2.
При передаче мастерства возможен кратковременный перерыв в предоставлении сервисов на время доинициализации нового мастера стека.
Каждый коммутатор использует свои TCAM правила (правила ACL, SQinQ).
Нагрузка идет только на процессор мастера.
Передача данных между юнитами ограничивается пропускной способностью стековых портов.
Внутри юнита - пропускной способностью портов коммутатора.
Подробней с настройкой стекирования можно ознакомиться в "Руководстве по эксплуатации" раздел 4.4
Работа портов OOB в стеке.
Если на стеке задействованы несколько портов OOB, то их порядок работы будет следующий:
- Активен порт только на мастере.
- IP адресация для такого интерфейса назначается глобально для всего стека.
console(config)#interface oob
console(config-oob)#ip address X.X.X.X /XX
- При статической адресации, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этом IP-адрес остается тот же.
- Если настроено получение IP-адреса OOB по DHCP, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этот IP-адрес будет выдан сервером другой, т.к. MAC-адрес OOB-порта изменился.
Рекомендуемый порядок действий при сборке стека.
Для минимизации потерь в эксплуатации при объединении коммутаторов в стек, рекомендуется следующий общий порядок при его формировании:
1. Установить единую актуальную версию ПО на всех стекируемых коммутаторах.
2. Выполнить настройки стекирования для каждого коммутатора:
- определяем номер юнита и порты для стекирования (обязателен выбор двух портов):
console_unit1(config)# stack configuration unit-id 1 links te 1-2 (unit 1 будет master)
console_unit2(config)# stack configuration unit-id 2 links te 1-2 (unit 2 будет backup, последующие unit будут slave)
3. Подключить стековые линки и перезагрузить коммутаторы для применения стековых настроек.
4. После загрузки проверить настройки и состояние стека:
console# show stack configuration
Unit Id After Reboot Configuration
Unit Id Stack Links
-------- ------- ---------------
1 1 te1-2
2 2 te1-2
console# show stack
Topology is Chain
Units stack mode: Native
Unit Id MAC Address Role Network Uplink
Port Port
Type Type
------- ------------------- -------- ------- ------
1 68:13:e2:ac:7a:80 master
2 68:13:e2:89:b0:c0 backup
console# show stack links details
UNIT ID Link Status Speed Uptime Neighbor Neighbor Neighbor
(d,h:m:s) Unit ID Link MAC Address
------- -------- ---------- ----- ----------- -------- -------- -------------------
1 te1 Active 10G 00,00:15:38 2 te1 68:13:e2:89:b0:c0
1 te2 Active 10G 00,00:15:37 2 te2 68:13:e2:89:b0:c0
2 te1 Active 10G 00,00:15:38 1 te1 68:13:e2:ac:7a:80
2 te2 Active 10G 00,00:15:38 1 te2 68:13:e2:ac:7a:80
5. Добавить остальную конфигурацию, сохранить и перезагрузить стек.
Примечание:
Данная последовательность действий по усмотрению инженера может быть изменена.
Источник:
docs.eltex-co.ru
Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к заводским настройкам:
- при нажатии на кнопку длительностью менее 10 с. происходит пере-загрузка устройства;
- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.
Отключить кнопку можно командой:
console(config)# reset-button disable
Чтобы запретить сброс устройства к заводским настройкам, но разрешить перезагрузку, следует ввести команду:
console(Config)# reset-button reset-only
Источник:
docs.eltex-co.ru
Для этого необходимо отключить изучение MAC адресов в VLAN. Команда в CLI для отключения изучения MAC адресов во всех VLAN:
console(config)# no mac address-table learning vlan all
Команда в CLI для отключения изучения MAC адресов в данной VLAN:
console(config)# no mac address-table learning vlanvlan_id
Источник:
docs.eltex-co.ru
При просмотре информации командой show можно использовать несколько способов:
-
Для вывода информации полностью используем клавишу "а"
-
Для вывода информации постранично используем "Space"
-
Для вывода информации построчно "Enter"
При использовании команды
console# terminal datadump
вывод информации командой show будет происходить полностью, не постранично.
Источник:
docs.eltex-co.ru
Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.
Настройка:
1) Включаем автоматическое резервирование конфигурации на сервере
console(config)# backup auto
2) Указываем сервер, на который будет производиться резервирование конфигурации.
console(config)# backup server tftp://10.10.10.1
3) Указываем путь расположения файла на сервере
console(config)# backup path backup.conf
Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс. Пример: MES5324A.conf_20240821064314
4) Включаем сохранение истории резервных копий
console(config)# backup history enable
5) Указываем промежуток времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.
console(config)# backup time-period 500
6) Включаем резервирование конфигурации при сохранении пользователем конфигурации
console(config)# backup write-memory
Начиная с версии 6.6.4.4 поддержана возможность отключения отправки пустого пакета для проверки наличия TFTP-сервера
console(config)# no backup reachability-check tftp
Также доступно резервирование конфигурации на SCP-сервере.
console(config)# backup server scp://user_scp:password_scp@scp_ip
console(config)# backup server scp://user1:passord1@10.10.10.1
В выводе конфигурации пароль будет храниться в открытом виде. Для хранения пароля в шифрованном виде применяются команды:
console(config)# ip ssh-client username user_scp
console(config)# ip ssh-client password password_scp
IP адрес сервера SCP указывается аналогично TFTP:
console(config)# backup server scp://10.10.10.1
Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.
Источник:
docs.eltex-co.ru
Сброс конфигурации к заводским настройкам возможно осуществить через CLI, выполнив команду
console# delete startup-config
и перезагрузив коммутатор, а также при помощи кнопки "F" на лицевой панели.
Для этого необходимо нажать и удерживать кнопку "F" не менее 15 секунд.
Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.
Источник:
docs.eltex-co.ru
Рассмотрим создание макроса на примере удаления порта из LAG.
Создать макрос можно командой:
macro name remove_g1_from_po1
config
interface gi1/0/24
no channel-group
switchport mode trunk
switchport trunk allowed vlan add 7,26,28,114,150,152,598-599,2794
@
Выполнение макроса можно запустить командой:
console# macro apply remove_g1_from_po1
Источник:
docs.eltex-co.ru
Необходимо подключить коммутатор к компьютеру при помощи кабеля RS-232 (через порт "Console").
Используя терминальную программу (например, "HyperTerminal"), создайте подключение, произведя следующие настройки:
- выберите соответствующий последовательный порт.
- установите скорость передачи данных – 115200 бит/с.
- задайте формат данных: 8 бит данных, 1 стоповый бит, без контроля четности.
- отключите аппаратное и программное управление потоком данных.
Перезагрузите коммутатор и войдите в меню "Startup", прервав загрузку нажатием клавиши "Esc" или "Enter" в течение первых двух секунд после появления сообщения автозагрузки:
Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.
В появившемся меню выберите пункт "Password Recovery Procedure", нажав клавишу "2".
Далее необходимо вернуться в меню "Startup", нажав клавишу "Enter", и продолжить загрузку коммутатора, нажав клавишу "Esc".
При подключении имя пользователя и пароль будут проигнорированы.
Источник:
docs.eltex-co.ru
Необходимо использовать команду:
console# set interface active <имя интерфейса>
Источник:
docs.eltex-co.ru
Коммутаторы MES поддерживают SFP-трансиверы, которые соответствуют стандартам INF-8074_2000 и SFF-8472-2010 (для модулей поддерживающих DDM). Это относится как к 100M, так и к 1000M трансиверам.
- Для SFP+ стандарт SFF-8431.
- Для QSFP+ стандарты SFF-8635 и SFF-8436.
- Для QSFP28 стандарт SFF-8635.
К конкретным производителям привязки нет.
Источник:
docs.eltex-co.ru
Для этого необходимо воспользоваться командой:
console
#
show fiber-ports optical-transceiver interface{tengigabitethernette_port}
Пример:
console
#
show fiber-ports optical-transceiver interface TengigabitEthernet1/0/1
Port Temp Voltage Current Output Input LOS
[C] [Volt] [mA] Power Power
[mWatt] [mWatt]
------ ------ ------- ------- ------- ------- ---
te1/0/1 23 3.29 3.49 0.50 0.49 No
Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts
Input Power - Measured RX received power in milliWatts
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, W - Warning, E - Error
Transceiver information:
Vendor name: FANG HANG
Serial number: A85371140603
Part number: FH-SP851TCDL03
Vendor revision: V02
Connector type: LC
Type: SFP/SFP+
Compliance code: 10GBASE-SR
Laser wavelength: 850 nm
Transfer distance: 80 m
Diagnostic: supported
Источник:
docs.eltex-co.ru
Для просмотра использовать команду:
console# show cpu input-rate detailed
Источник:
docs.eltex-co.ru
Команда для просмотра статистики для всех интерфейсов:
console# show interfaces utilization
Для просмотра статистики на определенном интерфейсе необходимо воспользоваться командой с указанием интерфейса:
console# show interfaces utilization {tengigabitethernet te_port | port-channel group}
Источник:
docs.eltex-co.ru
Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
console# show interfaces counters [interface-id]
Например,
console#
sh interfaces counters te 1/0/12
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
FCS Errors: 0
Принятые пакеты содержат ошибки контрольной суммы CRC
Single Collision Frames: 0
Количество кадров , принятых с единичной коллизией и впоследствии переданные успешно
Multiple Collision Frames: 0
Количество кадров , принятых больше, чем с одной коллизией и впоследствии переданные успешно
SQE Test Errors: 0
Количетство раз, когда принят SQE TEST ERROR.
Deferred Transmissions: 0
Количество кадров, для которых первая передача задерживается из-за занятости среды передачи
Late Collisionss: 0
Количество раз когда обнаружена Late Collisions
Carrier Sense Errors: 0
Количество раз, когда происходили ошибки из-за потери несущей при попытке передаче данных
Oversize Packets: 0
Количество принятых, кадров, превышающих максимально разрешенный размер кадра
Internal MAC Rx Errors: 0
Количество кадров, приём которых сопровождался внутренними ошибками на физическом уровне
Symbol Errors: 0
Количество раз, когда интерфейс не может интерпретировать принятый символ
Received Pause Frames: 0
Количество принятых пакетов, содержащих pause-frame
Transmitted Pause Frames: 0
Количество переданных пакетов, содержащих pause-frame
Источник:
docs.eltex-co.ru
Для просмотра использовать команду:
console# show tasks utilization
Источник:
docs.eltex-co.ru
Для этого необходимо воспользоваться командой:
console# show fiber-ports optical-transceiver detailed
Тип трансивера будет указан в поле «Transceiver Type».
Источник:
docs.eltex-co.ru
Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.
!!! Наличие хотя бы одного правила Selective Q-in-Q на интерфейсе запрещает включение функции логирования широковещательного шторма на этом интерфейсе.
Рассмотрим несколько типовых примеров настройки SQinQ
1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30
interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 31 tagged
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress_vlan 31
selective-qinq list ingress add_vlan 30
exit
!
interface gigabitethernet1/0/12
switchport mode trunk
switchport trunk allowed vlan add 30-31
exit
2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4
interface gigabitethernet 1/0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add_vlan 3 ingress_vlan 68,456,905
selective-qinq list ingress add_vlan 4 ingress_vlan 234,324,657
exit
3) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68
interface gigabitethernet 1/0/8
switchport mode general
switchport general allowed vlan add 3,4 tagged
selective-qinq list ingress override_vlan 3 ingress_vlan 856
selective-qinq list ingress override_vlan 4 ingress_vlan 68
selective-qinq list egress override_vlan 856 ingress_vlan 3
selective-qinq list egress override_vlan 68 ingress_vlan 4
exit
4) Для всего трафика приходящего на порт 11 добавить метку 30
interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit
или
interface gigabitethernet 1/0/11
switchport mode customer
switchport customer vlan 30
exit
Источник:
docs.eltex-co.ru
Конфигурация будет выглядеть следующим образом:
(config)# vlan mode tr101
interface TenGigabitEthernet 1/0/1
switchport mode customer
switchport customer vlan <SVLAN> inner-vlan <CVLAN>
exit
Настройки на аплинк порту
interface TenGigabitEthernet 1/0/24
switchport mode trunk
switchport trunk allowed vlan add <SVLAN>
exit
Пример конфигурации портов:
SVLAN - 3000, CVLAN -101
interface TenGigabitEthernet1/0/1
description Customer
switchport mode customer
switchport customer vlan 3000 inner-vlan 101
exit
!
interface TenGigabitEthernet 1/0/24
description Uplink
switchport mode trunk
switchport trunk allowed vlan add 3000
exit
Источник:
docs.eltex-co.ru
Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
console(config-if)# switchport forbidden default-vlan
Источник:
docs.eltex-co.ru
Конфигурация SW1:
qos advanced
qos advanced ports-trusted
qos advanced-mode trust dscp
ip access-list extended test
permit ip any any any any ace-priority 20
exit
!
class-map test
match access-group test3
exit
!
policy-map test
class test
set vlan 20
exit
exit
!
interface gigabitethernet1/0/1
switchport mode trunk
switchport trunk allowed vlan add 20
service-policy input test1 default-action permit-any
exit
!
interface gigabitethernet1/0/2
switchport mode trunk
switchport trunk allowed vlan add 20
Весь трафик с PC1 попадает в 20 vlan
Источник:
docs.eltex-co.ru
Данная операция выполняется с помощью функционала PROTOCOL-BASED VLAN.
Ниже приведен пример добавления vlan 100 для приходящего на порт ARP трафика.
vlan database
vlan 100
map protocol 0806 ethernet protocols-group 1
exit
!
interface TengigabitEthernet 1/0/1
switchport mode general
switchport general allowed vlan add 100 untagged
switchport general map protocols-group 1 vlan 100
exit
Источник:
docs.eltex-co.ru
Настройка IPv6 адреса:
1) Stateless auto-configuration
Является режимом по-умолчанию. Включается следующим образом:
console(config)# interface vlan x
console(config)# ipv6 enable
После ввода команды устройство получает link-local адрес и может взаимодействовать с другими устройствами в данном сегменте сети.
Проверить наличие адреса командой:
console(config-if)# do sh ipv6 int
Interface IP addresses Type
----------- ------------------------------------------------ ------------
VLAN X fe80::e2d9:e3ff:fef1:dc80 linklayer
VLAN X ff02::1 linklayer
VLAN X ff02::1:fff1:dc80 linklayer
Адрес ff02::1, т.н. ‘all-nodes’ мультикаст-адрес, который прослушивается всеми узлами сети.
Адрес ff02::1:fff1:dc80 - ‘solicited-node’ мультикаст-адрес, имеет значение в локальном сегменте сети и служит для получения адреса 2-го уровня в рамках протокола NDP (аналог ARP в сетях IPv4).
Формирование link-layer адреса.
Link-local адреса всегда начинаются с префикса FE80::/10, к которому присоединяется идентификатор устройства, включающий мак-адрес. Данный идентификатор формируется по алгоритму EUI-64.
Пример:
Пусть коммутатор имеет мак-адрес e0:d9:e3:f1:dc:80. Согласно EUI-64 мак-адрес разбивается на 2 части по 24 бита - e0:d9:e3 и f1:dc:80, которые разделяются вставкой из 16 бит – FFFE. В первой 24-битной части инвертируется бит U/L. Таким образом, из имеющегося мак-адреса получаем link-local адрес fe80::/10 + e2d9e3 +fffe+f1dc80 -> fe80::e2d9:e3ff:fef1:dc80.
2) Настройка адреса вручную
Настройка вручную осуществляется следующим образом:
console(config)# interface vlan x
console(config)# ipv6 enable
Примечание: включение ipv6 является обязательным требованием
Далее можно задать желаемый global-scope адрес вручную:
console(config)# ipv6 address 2001::a/64
задать желаемый link-local адрес вручную:
console(config)# ipv6 address fe80::a/64 link-local
или использовать формирование адреса по алгоритму EUI-64:
console(config)# ipv6 address 2001::/64 eui-64
Если при назначении адреса вручную не указывать область действия (scope) адреса как link-local, то адреса будут доступны вне локального сегмента сети и будут маршрутизироваться в сетях.
Примечание: на коммутаторах MES не предусмотрено получение адреса с помощью DHCPv6.
Источник:
docs.eltex-co.ru
Для настройки максимального количества MAC адресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# port security mode max-addresses
- Задать максимальное количество адресов, которое может изучить порт, например, 1:
console(config-if)# port security max 1
- Включить функцию защиты на интерфейсе:
console(config-if)# port security
Источник:
docs.eltex-co.ru
Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-фреймов могут быть назначены QoS-атрибуты для приоритезации трафика. Классификация фреймов, относящихся к фреймам VoIP-оборудования, базируется на OUI ( Organizationally Unique Identifier – первые 24 бита MAC-адреса) отправителя.
Функционал настраивается в 2 этапа:
1) Добавление Voice VLAN на стороне коммутатора
а) Динамически на основе OUI входящего фрейма:
Назначение Voice VLAN для интерфейса происходит автоматически - когда на порт поступает фрейм с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN – данный порт добавляется во VLAN как tagged.
Voice VLAN может быть активирован на портах, работающих в режиме trunk и general.
Активировать voice vlan и добавить запись в таблицу OUI для используемого телефона
console(config)# voice vlan oui-table add 002618
console(config)# voice vlan id 10
console(config)# voice vlan state oui-enabled
console(config)# !
console(config)# interface gigabitethernet 1/0/10
console(config-if)# switchport mode general
console(config-if)# voice vlan enable
console(config-if)# exit
б) Статически:
console(config)# interface gigabitethernet 1/0/10
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 10 tagged
В примере VLAN 10 используется под голосовой трафик.
2) Назначение Voice VLAN на стороне оконечного оборудования
а) С помощью lldp-med политик
ID Voice VLAN будет присвоен VoIP оборудованию с помощью lldp-med фреймов. Инициатором получения Voice VLAN в данном случае является VoIP-оборудование.
Настройка lldp-med политики с указанием номера voice vlan
console(config)# no lldp med network-policy voice auto
console(config)# lldp med network-policy 1 voice vlan 10 vlan-type tagged up 4
Привязать lldp-med политику, активировать voice vlan для интерфейса
console(config)# interface gigabitethernet 1/0/10
console(config-if)# switchport mode general
console(config-if)# lldp med enable network-policy
console(config-if)# lldp med network-policy add 1
console(config-if)# switchport general allowed vlan add 20 untagged
console(config-if)# switchport general pvid 20
console(config-if)# exit
В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.
Проверить работу voice vlan можно при помощи команд show voice vlan type oui GigabitEthernet1/0/10
console# show voice vlan type oui GigabitEthernet1/0/10
Aging timeout: 1440 minutes
CoS: 7
Remark: No
OUI table
MAC Address - Prefix Description
-------------------------- --------------------------------
00:26:18 PC
Interface Enabled Secure Activated COS Mode
------------ ------------------ ------------- ----------------- ----------
gi1/0/12 Yes No Yes src
б) Назначение Voice VLAN по DHCP
В ответе от DHCP-сервера присутствует опция 132 (VLAN ID), с помощью которой устройство автоматически назначает себе VLAN для маркировки трафика (Voice VLAN).
Данная схема не получила широкого применения.
Существует ещё 1 вариант настройки Voice VLAN.
Если VoIP-оборудование и ПК подключены к одному порту коммутатора и оба устройства передают нетегированный трафик, то для настройки отдельного vlan для телефонии можно воспользоваться функцией map mac. В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.
Настраиваем map mac, где используем mac address телефона:
vlan database
vlan 10,20
map mac aa:bb:cc:00:00:00 24 macs-group 1
exit
Выполняем настройку порта коммутатора:
interface gigabitethernet 1/0/10
switchport mode general
switchport general allowed vlan add 10,20 untagged
switchport general map macs-group 1 vlan 10
switchport general pvid 20
exit
Источник:
docs.eltex-co.ru
Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой, необходимо воспользоваться функцией изоляция портов.
Данная функция позволяет изолировать группу портов (в пределах одного коммутатора), находящихся в одном широковещательном домене между собой, позволяя при этом обмен трафиком с другими портами, находящимися в этом же широковещательном домене, но не принадлежащими к этой группе.
Например, необходимо на MES5332A изолировать порты TengigabitEthernet 1/0/1 и TengigabitEthernet 1/0/2.
Для этого нужно включить функцию на данных портах:
console# configure
console(config)# interface range TengigabitEthernet 1/0/1-2
console(config-if-range)# switchport protected-port
console# show interfaces protected-ports
Interface State Community
--------- ------------- ---------
te1/0/1 Protected Isolated
te1/0/2 Protected Isolated
te1/0/3 Unprotected Isolated
te1/0/4 Unprotected Isolated
te1/0/5 Unprotected Isolated
te1/0/6 Unprotected Isolated
te1/0/7 Unprotected Isolated
te1/0/8 Unprotected Isolated
Источник:
docs.eltex-co.ru
Начиная с версии ПО 6.6.3.5, на коммутаторах MES5400-xx/MES5410-48/MES5500-32 появилась возможность настройки режима breakout на 100G-портах.
На коммутаторах MES5400-24, MES5400-48, MES5410-48 в режиме расщепления HG-интерфейса поддерживается работа порта на скоростях 1 Гбит/с, 10 Гбит/с и 25 Гбит/с. Режим расщепления позволяет расщепить до 6 HG-интерфейсов, что в сумме дает 24 TWE-интерфейса. На коммутаторе MES5500-32 в режиме расщепления HG-интерфейса поддерживается работа на скоростях 1 Гбит/с, 10 Гбит/с и 25 Гбит/с. Режим расщепления позволяет расщепить до 30 HG-интерфейсов, что в сумме дает 120 TWE-интерфейсов.
Важно! На MES5400-24 в режиме расщепления могут работать 100G-интерфейсы HG3–HG6. На интерфейсах HG1, HG2 данный режим не поддерживается. На MES5400-24 rev.B поддержка расщепления есть на всех 100G-интерфейсах.
Важно! Обновление ПО коммутаторов MES5400-XX и MES5410-48 выполняется по стандартной инструкции по обновлению. Обновление ПО коммутаторов MES5500-32 при переходе с версии 6.6.3.4 и более ранних на 6.6.3.5 (с поддержкой breakout) и более поздние необходимо выполнять согласно инструкции "Инструкция по обновлению версии ПО в сетевых коммутаторах MES5500-32 при переходе с версии 6.6.3.4 и более ранних на 6.6.3.5 (с поддержкой breakout) и более поздние", которую можно скачать с официального сайта из раздела Документы и файлы - ПО: https://eltex-co.ru/catalog/kommutator_tsod_mes5500-32#docsAndFiles
Порядок действий, который необходимо выполнить для расщепления 100G порта:
1) На интерфейсе Hu1/0/x применяем команду hardware profile portmode 4x25g:
console(config)#interface HundredGigabitEthernet1/0/1
console(config-if)#hardware profile portmode 4x25g
Для применения команды необходимо сохранить конфигурацию и перезагрузить коммутатор, о чем будет предупреждение:
This setting will take effect only after copying running configuration to startup configuration and resetting the device
До перезагрузки коммутатора можно проверить командой show hardware profile portmode, что режим расщепления установлен и применится после перезагрузки (столбец Port Mode after reset):
Interface Port Mode after reset Port Mode Expanded interfaces
---------------- ---------------------- ----------- ---------------------
hu1/0/1 4x25G 1x100G twe1/0/1-4
hu1/0/2 1x100G 1x100G twe1/0/5-8
hu1/0/3 1x100G 1x100G twe1/0/9-12
hu1/0/4 1x100G 1x100G twe1/0/13-16
hu1/0/5 1x100G 1x100G twe1/0/17-20
hu1/0/6 1x100G 1x100G twe1/0/21-24
hu1/0/7 1x100G 1x100G twe1/0/25-28
hu1/0/8 1x100G 1x100G twe1/0/29-32
hu1/0/9 1x100G 1x100G twe1/0/33-36
hu1/0/10 1x100G 1x100G twe1/0/37-40
2) После загрузки коммутатора нужно проверить, что порт перешел в режим расщепления (столбец Port Mode):
Interface Port Mode after reset Port Mode Expanded interfaces
---------------- ---------------------- ----------- ---------------------
hu1/0/1 4x25G 4x25G twe1/0/1-4
hu1/0/2 1x100G 1x100G twe1/0/5-8
hu1/0/3 1x100G 1x100G twe1/0/9-12
hu1/0/4 1x100G 1x100G twe1/0/13-16
hu1/0/5 1x100G 1x100G twe1/0/17-20
hu1/0/6 1x100G 1x100G twe1/0/21-24
hu1/0/7 1x100G 1x100G twe1/0/25-28
hu1/0/8 1x100G 1x100G twe1/0/29-32
hu1/0/9 1x100G 1x100G twe1/0/33-36
hu1/0/10 1x100G 1x100G twe1/0/37-40
Либо через show interface status, где вместо Hu1/0/x будут указаны twe интерфейсы:
Port Type Duplex Speed Neg ctrl State (d,h:m:s) Pressure Mode Port Mode (VLAN)
---------- ------------ ------ ------ -------- ---- ----------- ------------- -------- ------- ------------------------
twe1/0/1 25G-Fiber Full 25000 Disabled Off Up 00,00:00:58 Disabled Off Access (4095)
twe1/0/2 25G-Fiber Full 25000 Disabled Off Up 00,00:00:30 Disabled Off Access (4095)
twe1/0/3 25G-Fiber Full 25000 Disabled Off Up 00,00:00:24 Disabled Off Access (4095)
twe1/0/4 25G-Fiber Full 25000 Disabled Off Up 00,00:00:19 Disabled Off Access (4095)
Порядок действий, который необходимо выполнить, чтобы убрать расщепление с 100G порта:
На интерфейсе Hu1/0/x применить команду hardware profile portmode 1x100g:
console(config)#interface HundredGigabitEthernet1/0/1
console(config-if)#hardware profile portmode 1x100g
После применения команды необходимо сохранить конфигурацию и перезагрузить коммутатор, о чем будет предупреждение:
This setting will take effect only after copying running configuration to startup configuration and resetting the device
Важно! Расщепленный twe-порт помимо работы на скорости 25G может также работать на скорости 1G или 10G, для этого необходимо задать скорость на интерфейсе командой speed 1000 или speed 10000 соответственно.
Источник:
docs.eltex-co.ru
Для этого необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit
rate-limit vlan_id rate burst
Где
- vlan_id – номер VLAN;
- rate – средняя скорость трафика (CIR), кбит/с;
- burst – размер сдерживающего порога (ограничение скорости) в байтах.
Источник:
docs.eltex-co.ru
Для этого необходимо в режиме настройки Ethernet-интерфейса выполнить следующие команды.
Для ограничения входящего трафика:
rate-limit rate burst burst size in bytes
Где rate - скорость трафика в кбит/с, burst size in bytes - размер корзины в байтах (рекомендуется устанавливать максимально возможное значение).
Для ограничения исходящего трафика:
traffic-shape committed-rate burst size in bytes
Где committed-rate - скорость трафика в кбит/с, burst size in bytes - размер корзины в байтах (рекомендуется устанавливать максимально возможное значение).
Источник:
docs.eltex-co.ru
Необходимо перейти в настройки интерфейса и ввести команду:
no ip address dhcp
Например, отключить DHCP-клиент на интерфейсе VLAN1 (DHCP-клиент включен по умолчанию):
console(config)# interface vlan 1
console(config-if)# no ip address dhcp
Источник:
docs.eltex-co.ru
Переключение Ethertype кадра показано на примере порта TenGigabitEthernet 1/0/12. Производится подмена 0х8100 на 0х9100.
Ниже приведен пример конфигурации:
vlan database
vlan 10
exit
!
interface TenGigabitEthernet 1/0/12
switchport mode trunk
switchport trunk allowed vlan add 10
switchport dot1q ethertype ingress stag add 9100
switchport dot1q ethertype egress stag 9100
exit
!
interface TenGigabitEthernet 1/0/24
switchport mode customer
switchport customer vlan 10
exit
Источник:
docs.eltex-co.ru
Для сброса настроек с интерфейса необходимо использовать следующую команду:
(config)# default interface имя интерфейса
Configuration for these interfaces will be set to default.
It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y
Источник:
docs.eltex-co.ru
Для режима trunk:
console(config-if)# switchport trunk allowed vlan remove all
Для режима general:
console(config-if)# switchport general allowed vlan remove all
Источник:
docs.eltex-co.ru
Функция mac-based vlan позволяет определять принадлежность трафика к определённому vlan, основываясь на mac-адресе источника.
Рассмотрим самый простейший пример настройки mac-based vlan.
На ПК1 настроен адрес 192.168.1.1, на ПК2 192.168.1.2
Порт gigabitethernet 1/0/12 настроен в vlan 10
interface gigabitethernet1/0/12
switchport access vlan 10
Для ПК1 настроим перенаправление трафика на основе MAC address.
Создаем правило, где mac ПК1 - f4:f2:6d:03:42:31, 40 - битовая маска, macs-group 1 - идентификатор группы
vlan database
vlan 10
map mac f4:f2:6d:03:42:31 40 macs-group 1
exit
Настраиваем порт interface gigabitethernet1/0/11
interface gigabitethernet1/0/11
switchport general map macs-group 1 vlan 10
switchport mode general
switchport general allowed vlan add 10 untagged
В результате настроек ПК1 и ПК2 окажутся в одном vlan 10.
С помощью данной функции можно предоставить с порта несколько услуг, например, телефонную и передачу данных.
Пример настройки vlan 69 - телефония, vlan 112 - передача данных, macs-group 1 - группа mac адресов телефонов:
vlan database
vlan 112,69
map mac 00:26:1e:00:00:00 32 macs-group 1
exit
interface gigabitethernet 1/0/10
switchport mode general
switchport general allowed vlan add 69,112 untagged
switchport general map macs-group 1 vlan 69
switchport general pvid 112
exit
Источник:
docs.eltex-co.ru
Данный механизм позволяет устройству отслеживать закольцованные порты. Петля на порту обнаруживается путём отсылки коммутатором кадра (frame) с MAC-адресом порта коммутатора в поле Source MAC, и широковещательным (по умолчанию) адресом в поле Destination MAC.
Настройка loopback detection возможна как на порту, так и в VLAN.
Пример конфигурирования при настройке на порту (настройка позволяет защитить коммутатор от петли между портами коммутатора):
- Включить механизм обнаружения петель глобально для коммутатора:
console(config)# loopback-detection enable
- Включить механизм обнаружения петель на портах:
console(config)# interface range GigabitEthernet1/0/1-24
console (config-if-range)# loopback-detection enable
- Включить автоматическое восстановление интерфейса через заданный таймер:
console(config)# errdisable recovery cause loopback-detection
console(config)# errdisable recovery interval 30
Источник:
docs.eltex-co.ru
Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.
Пример настройки.
- Перейти в режим конфигурирования интерфейса.
- Включить функцию. Ограничения настраиваются, либо при помощи указания полосы пропускания в kbps, либо в процентах от полосы пропускания - level
console(config)# interface tengigabitethernet 1/0/1
console(config-if)# storm-control broadcast level 2
console(config-if)# storm-control broadcast kbps 8500
- Для настройки ограничения в PPS необходимо изменить режим в глобальной конфигурации:
console(config)# traffic-limiter mode pps
console(config)# interface tengigabitethernet 1/0/1
console(config-if)# storm-control broadcast pps 200
С настройками по умолчанию трафик выше настроенного предела просто отбрасывается, без блокировки порта и отправки сообщения в лог.
Для настройки блокировки порта при превышении предела сушествует опция shutdown
console(config-if)# storm-control broadcast level 2 shutdown
Такой порт отправляется в errdisable, для настройки автоматического восстановления порта необходимо воспользоваться функционалом errdisable recovery:
console(config)# errdisable recovery interval 30
console(config)# errdisable recovery cause storm-control
Для включения записи в журнал сообщений (trap) при срабатывании storm-control:
console(config-if)# storm-control broadcast level 2 trap
Источник:
docs.eltex-co.ru
Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.
К контролирующему порту применяются следующие ограничения:
-
Порт не может быть контролирующим и контролируемым портом одновременно;
-
Порт не может быть членом группы портов;
-
IP-интерфейс должен отсутствовать для этого порта;
-
Протокол GVRP должен быть выключен на этом порту.
К контролируемым портам применяются следующие ограничения:
-
Порт не может быть контролирующим и контролируемым портом одновременно.
Пример настройки RSPAN.
Организуем мониторинг трафика с порта TengigabitEthernet 1/0/1 через vlan 100 в порт TengigabitEthernet 1/0/2 (обычно в качестве reflector-port используется Uplink интерфейс). На reflector-port (TenGigabitEthernet1/0/2) добавлять remote-vlan в trunk не требуется.
vlan database
vlan 20,90,100
exit
!
interface TenGigabitEthernet1/0/1
description DOWNLINK
switchport mode trunk
switchport trunk allowed vlan add 20, 90
exit
!
interface TenGigabitEthernet1/0/2
description UPLINK
switchport mode trunk
switchport trunk allowed vlan add 20,90
exit
!
interface vlan 100
remote-span
exit
!
monitor session 1 destination remote vlan 100 reflector-port TenGigabitEthernet1/0/2 network
monitor session 1 source interface TenGigabitEthernet1/0/1 both
На промежуточных коммутаторах, где прописан vlan 100 должен быть отключен mac learning в данном vlan (no mac address-table learning vlan 100).
P.S. Если в качестве транзитного коммутатора используется коммутатор серии MES5448/MES7048, то на нем обучение MAC-адресов отключается следующим образом:
MES5448(config)# vlan 100
MES5448(config)(Vlan 100)# remote-span
Также на данной линейке необходимо увеличить MTU на портах, т.к. за счет дополнительного заголовка размер отзеркалированного пакета увеличивается.
MES5448(config)# interface 1/0/1
MES5448(Interface 1/0/1# mtu 9000
Источник:
docs.eltex-co.ru
Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.
При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.
К контролирующему порту применяются следующие ограничения:
-
Порт не может быть контролирующим и контролируемым портом одновременно;
-
Порт не может быть членом группы портов;
-
IP-интерфейс должен отсутствовать для этого порта;
-
Протокол GVRP должен быть выключен на этом порту.
К контролируемым портам применяются следующие ограничения:
-
Порт не может быть контролирующим и контролируемым портом одновременно.
Пример настройки SPAN.
Организуем мониторинг трафика с порта TengigabitEthernet 1/0/1 и с vlan 3 в порт TengigabitEthernet 1/0/2 на примере MES5332A:
console(config)# monitor session 1 destination interface tengigabitethernet 1/0/2 network
console(config)# monitor session 1 source interface tengigabitethernet 1/0/1 rx | tx | both
console(config)# monitor session 1 source vlan 3
Источник:
docs.eltex-co.ru
При необходимости удаленного зеркалирования большого количества портов в один интерфейс, нельзя назначать более 8 source-int на один destination-int. Однако возможно воспользоваться следующей схемой:
где te1/0/1-te1/0/16 - контролируемые порты;
te1/0/17-te1/0/19 - физическая петля для session 1 (te1/0/17 выступает в качестве destination-int для session 1);
te1/0/18-te1/0/20 - физическая петля для session 2 (te1/0/18 выступает в качестве destination-int для session 2);
te1/0/23 - выходной интерфейс отзеркалированного трафика.
Распределим зеркалирование трафика с портов te1/0/1-te1/0/16 между сессиями. Например, к 1-ой сессии можно назначить в качестве "source int" нечетные порты, тогда ко второй сессии - четные порты. Выглядит это следующим образом:
monitor session 1 destination interface TenGigabitEthernet1/0/17
monitor session 2 destination interface TenGigabitEthernet1/0/18
monitor session 1 source interface TenGigabitEthernet1/0/1 both
monitor session 1 source interface TenGigabitEthernet1/0/3 both
monitor session 1 source interface TenGigabitEthernet1/0/5 both
monitor session 1 source interface TenGigabitEthernet1/0/7 both
monitor session 1 source interface TenGigabitEthernet1/0/9 both
monitor session 1 source interface TenGigabitEthernet1/0/11 both
monitor session 1 source interface TenGigabitEthernet1/0/13 both
monitor session 1 source interface TenGigabitEthernet1/0/15 both
monitor session 2 source interface TenGigabitEthernet1/0/2 both
monitor session 2 source interface TenGigabitEthernet1/0/4 both
monitor session 2 source interface TenGigabitEthernet1/0/6 both
monitor session 2 source interface TenGigabitEthernet1/0/8 both
monitor session 2 source interface TenGigabitEthernet1/0/10 both
monitor session 2 source interface TenGigabitEthernet1/0/12 both
monitor session 2 source interface TenGigabitEthernet1/0/14 both
monitor session 2 source interface TenGigabitEthernet1/0/16 both
Далее необходимо произвести настройку конфигурации портов с физическими петлями. В нашем случае это te1/0/18-te1/0/20. В первую очередь необходимо на данных интерфейсах отключить работу протокола STP и установить режим обработки пакетов BPDU filtering. Необходимо это для того, чтобы не происходило закольцовывание STP BPDU.
Далее необходимо сделать так, чтобы входящий трафик на портах te1/0/19 и te1/0/20 коммутировался на выход интерфейса te1/0/23. Для этого на te1/0/19 и te1/0/20 добавляется метка 1001 и 1002 соответственно, а интерфейс te1/0/23 настраивается под них. Таким образом, конфигурация ключевых интерфейсов будет выглядеть следующим образом:
interface TenGigabitEthernet1/0/17
spanning-tree disable
spanning-tree bpdu filtering
interface TenGigabitEthernet1/0/18
spanning-tree disable
spanning-tree bpdu filtering
interface TenGigabitEthernet1/0/19
spanning-tree disable
spanning-tree bpdu filtering
switchport mode customer
switchport customer vlan 1001
interface TenGigabitEthernet1/0/20
spanning-tree disable
spanning-tree bpdu filtering
switchport mode customer
switchport customer vlan 1002
Пример настройки интерфейса для всего отзеркалированного трафика:
interface TenGigabitEthernet1/0/23
switchport mode general
switchport general allowed vlan add 1001-1002 untagged
exit
Также для корректной коммутации трафика на интерфейс te1/0/23 необходимо отключить в режиме глобальной конфигурации mac-learning на VLAN, метки которых мы добавляли на входе te1/0/19 и te1/0/20 (1001 и 1002 соответственно).
no mac address-table learning vlan 1001
no mac address-table learning vlan 1002
Источник:
docs.eltex-co.ru
Для настройки удаленного зеркалирования, где трафик из физических интерфейсов или из vlan зеркалируется в несколько аплинков, можно воспользоваться следующей схемой:
Где te1/0/1 — контролируемый порт;
te1/0/15, te1/0/16 — аплинки;
te1/0/2, te1/0/3 — физическая петля для Q-in-Q.
Трафик с контролируемого порта te1/0/1 зеркалируется с помощью SPAN на te1/0/2, с этого порта трафик выходит в тех vlan, что и изначально.
Порт te1/0/2 физически соединён с портом te1/0/3, где на весь зеркалируемый трафик добавляется вторая метка 100. В этом vlan зеркалированный трафик будет передаваться дальше через аплинки, поэтому на промежуточных коммутаторах, где прописан vlan 100, должен быть отключен mac learning в данном vlan.
vlan database
vlan 10,100
exit
!
no mac address-table learning vlan 100
!
interface TenGigabitEthernet1/0/1
switchport mode general
switchport general allowed vlan add 10 tagged
exit
!
interface TenGigabitEthernet1/0/2
spanning-tree disable
spanning-tree bpdu filtering
exit
!
interface TenGigabitEthernet1/0/3
spanning-tree disable
spanning-tree bpdu filtering
switchport mode customer
switchport customer vlan 100
exit
!
interface TenGigabitEthernet1/0/15
switchport mode customer
switchport customer vlan 100
exit
!
interface TenGigabitEthernet1/0/16
switchport mode customer
switchport customer vlan 100
exit
!
monitor session 1 destination interface TenGigabitEthernet1/0/2
monitor session 1 source interface TenGigabitEthernet1/0/1 both
!
end
Источник:
docs.eltex-co.ru
Устройство поддерживает два режима работы группы портов (port-channel) – статическая группа и группа, управляемая по протоколу LACP.
Рассмотрим настройку статических групп.
Необходимо выполнить следующее:
1) Перейти в режим конфигурирования порта:
console(config)# interface TengigabitEthernet 1/0/2
2) Настроить статическую группу:
console(config-if)# channel-group 1 mode on
Где 1 - номер группы, on – добавить порт в статическую группу.
Примечание: В port-channel можно добавлять порты только одного типа.
Рассмотрим настройку LACP-групп.
Необходимо выполнить следующее:
1) Перейти в режим конфигурирования порта:
console(config)# interface TengigabitEthernet 1/0/2
2) Настроить LACP-группу:
console(config-if)# channel-group 1 mode auto
Где 1 - номер группы, auto – добавить порт в LACP группу в режиме active.
Примечание: В зависимости от типа портов в группе (fastethernet/gigabitethernet/tengigabitethernet) рекомендуется предварительно настроить на соответствующем port-channel скорость. Т.е если в port-channel 1 будут порты tengigabitethernet, следовательно выполнить такую настройку на port-channel 1:
console(config-if)# interface Port-Channel 1
console(config-if)# speed 10000
Источник:
docs.eltex-co.ru
На коммутаторе MES можно выбрать следующие алгоритмы балансировки:
- src-dst-mac-ip — режим по умолчанию, балансировка основана на MAC адресе источника, MAC адресе назначения, IP адресе источника и IP адресе назначения.
- src-dst-mac — балансировка основана на MAC адресе источника, MAC адресе назначения.
- src-dst-ip — балансировка основана на IP адресе источника, IP адресе назначения.
- src-dst-mac-ip-port — балансировка основана на MAC адресе источника, MAC адресе назначения, IP адресе источника, IP адресе назначения и TCP/UDP-порте.
- dst-mac — балансировка основана на MAC адресе назначения.
- dst-ip — балансировка основана на IP адресе назначения.
- src-mac — балансировка основана на MAC адресе источника.
- src-ip — балансировка основана на IP адресе источника.
Алгоритм балансировки выбирается командой:
console(config)# Port-Channel load-balance
Алгоритм работы балансировки src-dst-mac-ip:
IP source address (c 0 по 5 бит) операция XOR IP source address (c 16 по 21 бит) операция XOR IP destination address (с 0 по 5 бит) операция XOR IP destination address (c 16 по 21 бит) операция XOR source MAC (с 0 по 5 бит) операция XOR destination MAC (с 0 по 5 бит) получаем HASH. Над HASH выполняем операцию MOD X (x - кол-во портов в LAG). Получаем Index порта в LAG.
Алгоритм работы балансировки src-dst-mac:
source MAC (с 0 по 5 бит) операция XOR destination MAC (с 0 по 5 бит) получаем HASH. Над HASH выполняем операцию MOD х (x - кол-во портов в LAG). Получаем Index порта в LAG.
Индексы порта в LAG нумеруются от нуля до кол-ва физических интерфейсов в LAG-1. Например, если в LAG 8 интерфейсов, то индекс 0 соответствует наименьшему по нумерации физическому интерфейсу в LAG, индекс 7 - наибольшему.
Источник:
docs.eltex-co.ru
Типовая схема для использования VPC:
Предполагается использование пары в качестве STP root в сети, командой system priority value устанавливается приоритет системы для отправки в VPC порты. Должен быть одинаковый на обоих устройствах. При этом, если установлено значение, отличное от допустимых для приоритета STP/RSTP, число будет округлено в меньшую сторону. Например, если использовать system priority 101, то в приоритете STP/RSTP будет установлен 0.
Конфигурация vpc-домена:
Switch_1
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
role priority 1
system priority 101
peer link port-channel 1
exit
Switch_2
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.1 1.1.1.2
peer keepalive
role priority 1
system priority 101
peer link port-channel 1
exit
В качестве Root ID и Bridge ID парой используется system-mac-addr вида 00:02:bc:00:82:01, где 01 - номер домена.
Просмотр состояния STP на всех устройствах схемы:
Switch_1#show spanning-tree active
Spanning tree enabled mode: RSTP
Default port cost method: long
Loopback guard: Disabled
TC protection: Disabled
Root ID Priority: 0
Address: 00:02:bc:00:82:01
This switch is the root
Hello Time: 2 sec Max Age: 20 sec Forward Delay: 15 sec
Number of TC BPDU handled 6
Number of topology changes: 5 last change occurred: 00:08:31 ago
from Po2
Times: hold: 1, topology change: 35, notification: 2
hello: 2, max age: 20, forward delay: 15
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
---------- -------- --------- -------- ------ ---- -------- -----------------
Po1 enabled 128.1000 2000 Frw Desg No P2P (RSTP)
Po2 enabled 128.1001 2000 Frw Desg No P2P (RSTP)
Po3 enabled 128.1002 2000 Frw Desg No P2P (RSTP)
Switch_2#show spanning-tree active
Spanning tree enabled mode: RSTP
Default port cost method: long
Loopback guard: Disabled
TC protection: Disabled
Root ID Priority: 0
Address: 00:02:bc:00:82:01
This switch is the root
Hello Time: 2 sec Max Age: 20 sec Forward Delay: 15 sec
Number of TC BPDU handled 6
Number of topology changes: 4 last change occurred: 00:08:31 ago
from Po2
Times: hold: 1, topology change: 35, notification: 2
hello: 2, max age: 20, forward delay: 15
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
---------- -------- --------- -------- ------ ---- -------- -----------------
Po1 enabled 128.1000 2000 Frw Desg No P2P (RSTP)
Po2 enabled 128.1001 2000 Frw Desg No P2P (RSTP)
Po3 enabled 128.1002 2000 Frw Desg No P2P (RSTP)
Access_1#show spanning-tree active
*********************************** Process 0 ***********************************
Spanning tree enabled mode RSTP
Default port cost method: long
Loopback guard: Disabled
Loop guard default: Disabled
TC protection: Disabled
Root ID Priority 0
Address 00:02:bc:00:82:01
Cost 1000
Port Po1
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32768
Address e4:5a:d4:d3:66:40
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Number of TC BPDU handled 24
Number of topology changes 2 last change occurred 00:08:32 ago
from Po1
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
--------- --------- -------- -------- ------ ---- -------- ----------------------------
Po1 enabled 128.1000 1000 Frw Root No P2P (RSTP)
Access_2#show spanning-tree active
*********************************** Process 0 ***********************************
Spanning tree enabled mode RSTP
Default port cost method: long
Loopback guard: Disabled
Loop guard default: Disabled
TC protection: Disabled
Root ID Priority 0
Address 00:02:bc:00:82:01
Cost 1000
Port Po1
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32768
Address e4:5a:d4:6a:16:00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Number of TC BPDU handled 12
Number of topology changes 2 last change occurred 00:08:31 ago
from Po1
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
--------- --------- -------- -------- ------ ---- -------- ----------------------------
Po1 enabled 128.1000 1000 Frw Root No P2P (RSTP)
Если Root в сети должно быть какое-либо другое устройство, то конфигурация пары меняется, STP-приоритет паре устанавливается командой spanning-tree priority value. Должен быть одинаковым на обоих устройствах.
В примере Access_1 выбран в качестве STP root.
Switch_1#show running-config
spanning-tree priority 8192
!
vlan database
vlan 10,1001
exit
!
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
role priority 1
peer link port-channel 1
exit
Switch_1#show spanning-tree active
Spanning tree enabled mode: RSTP
Default port cost method: long
Loopback guard: Disabled
TC protection: Disabled
Root ID Priority: 0
Address: e4:5a:d4:d3:66:40
Cost: 2000
Port: Po2
Hello Time: 2 sec Max Age: 20 sec Forward Delay: 15 sec
Bridge ID Priority: 8192
Address: 00:02:bc:00:82:01
Hello Time: 2 sec Max Age: 20 sec Forward Delay: 15 sec
Number of TC BPDU handled 9
Number of topology changes: 6 last change occurred: 00:25:31 ago
from Po2
Times: hold: 1, topology change: 35, notification: 2
hello: 2, max age: 20, forward delay: 15
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
---------- -------- --------- -------- ------ ---- -------- -----------------
Po1 enabled 128.1000 2000 Frw Desg No P2P (RSTP)
Po2 enabled 128.1001 2000 Frw Root No P2P (RSTP)
Po3 enabled 128.1002 2000 Frw Desg No P2P (RSTP)
Если STP BPDU попадает на Primary коммутатор, то через Peer-Link информация передается к Secondary в служебных VPC-сообщениях. Аналогично механизм работает, если STP BPDU поступает на Secondary.
При падении Root-интерфейса на одном из коммутаторов пары, новым Root-интерфейсом будет Peer-Link.
15-Aug-2024 02:27:06 %LINK-W-Down: te1/0/12
15-Aug-2024 02:27:06 %TRUNK-W-PORTREMOVED: Port te1/0/12 removed from Po2
15-Aug-2024 02:27:06 %STP-N-ROOTBRIDGECHANGE: This bridge is root.
15-Aug-2024 02:27:06 %LINK-W-Down: Po2
15-Aug-2024 02:27:06 %STP-N-ROOTBRIDGECHANGE: New root bridge e4:5a:d4:d3:66:40 is on Po1.
Switch_1#show spanning-tree active
Spanning tree enabled mode: RSTP
Default port cost method: long
Loopback guard: Disabled
TC protection: Disabled
Root ID Priority: 0
Address: e4:5a:d4:d3:66:40
Cost: 4000
Port: Po1
Hello Time: 2 sec Max Age: 20 sec Forward Delay: 15 sec
Bridge ID Priority: 8192
Address: 00:02:bc:00:82:01
Hello Time: 2 sec Max Age: 20 sec Forward Delay: 15 sec
Number of TC BPDU handled 9
Number of topology changes: 6 last change occurred: 00:26:28 ago
from Po2
Times: hold: 1, topology change: 35, notification: 2
hello: 2, max age: 20, forward delay: 15
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
---------- -------- --------- -------- ------ ---- -------- -----------------
Po1 enabled 128.1000 2000 Frw Root No P2P (RSTP)
Po3 enabled 128.1002 2000 Frw Desg No P2P (RSTP)
Источник:
docs.eltex-co.ru
Использование VPC и VRRP позволяет создать отказоустойчивый сегмент сети, на котором реализована маршрутизация трафика, где в качестве шлюза используется пара VPC коммутаторов.
Используется стандартная конфигурация VRRP, vlan добавляются в vpc-group, к которым подключены Access коммутаторы, а также на Peer-link
Для клиентов, подключаемых к коммутатору Access_1, используется vlan 1001 с подсетью 10.10.10.0 /24, vrrp ip назначен 10.10.10.1, он же используется в качестве шлюза по умолчанию.
Для клиентов, подключаемых к коммутатору Access_2, используется vlan 1002 с подсетью 10.10.20.0 /24, vrrp ip назначен 10.10.20.1, он же используется в качестве шлюза по умолчанию.
Конфигурация Primary :
vlan database
vlan 1001-1002
!
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
role priority 1
peer link port-channel 1
exit
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
vpc group 3
domain 1
vpc-port port-channel 3
exit
!
hostname Switch_1
!
interface TenGigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/12
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/13
channel-group 3 mode auto
exit
!
interface Port-Channel1
switchport mode trunk
switchport trunk allowed vlan add 1001-1002
exit
!
interface Port-Channel2
switchport mode trunk
switchport trunk allowed vlan add 1001
exit
!
interface Port-Channel3
switchport mode trunk
switchport trunk allowed vlan add 1002
exit
!
interface vlan 1001
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.1
no vrrp 1 shutdown
vrrp 1 priority 20
vrrp 1 accept mode accept
exit
!
interface vlan 1002
ip address 10.10.20.2 255.255.255.0
vrrp 2 ip 10.10.20.1
no vrrp 2 shutdown
vrrp 2 priority 10
vrrp 2 accept mode accept
exit
Конфигурация Secondary:
vlan database
vlan 1001-1002
!
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.1 1.1.1.2
peer keepalive
role priority 2
peer link port-channel 1
exit
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
vpc group 3
domain 1
vpc-port port-channel 3
exit
!
hostname Switch_2
!
interface TenGigabitEthernet1/0/1
ip address 1.1.1.2 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/12
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/13
channel-group 3 mode auto
exit
!
interface Port-Channel1
switchport mode trunk
switchport trunk allowed vlan add 1001-1002
exit
!
interface Port-Channel2
switchport mode trunk
switchport trunk allowed vlan add 1001
exit
!
interface Port-Channel3
switchport mode trunk
switchport trunk allowed vlan add 1002
exit
!
interface vlan 1001
ip address 10.10.10.3 255.255.255.0
vrrp 1 ip 10.10.10.1
no vrrp 1 shutdown
vrrp 1 priority 10
vrrp 1 accept mode accept
exit
!
interface vlan 1002
ip address 10.10.20.3 255.255.255.0
vrrp 2 ip 10.10.20.1
no vrrp 2 shutdown
vrrp 2 priority 20
vrrp 2 accept mode accept
exit
В конфигурации SVI для проверки доступности виртуального IP-адреса (шлюза по умолчанию для клиентов) используется команда vrrp X accept mode accept.
Более подробную настройку VRRP и VPC по отдельности, с описанием всех команд, можно прочитать также в базе знаний.
Источник:
docs.eltex-co.ru
Используется типовая схема организации связи с помощью VPC.
Так как через Peer-link должен коммутироваться трафик во всех созданных VLAN, для упрощения эксплуатации рекомендованная конфигурация Peer-Link на обоих коммутаторах пары:
interface Port-Channel1
switchport mode trunk
switchport trunk allowed vlan all
exit
В дальнейшем каждый новый созданный VLAN будет по-умолчанию добавлен на Peer-Link.
Switch_1#
Switch_1#configure terminal
Switch_1(config)#vlan
Switch_1(config)#vlan 1001
15-Aug-2024 01:32:19 %LINK-I-Up: Vlan 1001
Switch_1(config)#exit
Switch_1#show vlan tag 1001
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN
Vlan Name Tagged Ports UnTagged Ports Created by
---- ----------------- ------------------ ------------------ ----------------
1001 - Po1 S
При этом на MLAG интерфейсах рекомендуется использовать перечисление vlan командой switchport trunk allowed vlan add vlan_list
Источник:
docs.eltex-co.ru
С помощью использования топологии VPC Back to Back повышается отказоустойчивость Достигается за счёт объединения двух VPC-доменов (пар) через агрегированные интерфейсы.
Основной особенностью эксплуатации схемы является использование уникального номера домена в рамках пары коммутаторов.
В рассматриваемой схеме используются коммутаторы MES5324A.
Назначенные имена устройств:
- Коммутаторы участники VPC-пар:
- SW10-1
- SW10-2
- SW20-1
- SW20-2
- Коммутаторы доступа:
- Access_1
- Access_2
- VPC домены:
- Domain 10 : SW10-1 и SW10-2
- Domain 20 : SW20-1 и SW20-2
На схеме представлено условное разделение VPC-доменов в схеме.
В представленной схеме в качестве клиентов используются коммутаторы доступа, но в эксплуатации может быть как любое оконечное оборудование, например, сервер или вышестоящие устройства в сети, в контексте VPC конфигурация Port-Channel будет идентична.
Рассмотрим конфигурацию VPC домена 10:
SW10-1
vpc
vpc domain 10
peer detection
peer detection ipaddr 10.10.10.2 10.10.10.1
peer keepalive
role priority 1
system priority 1
peer link port-channel 1
exit
!
interface TenGigabitEthernet1/0/1
ip address 10.10.10.1 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
channel-group 1 mode auto
exit
SW10-2
vpc
vpc domain 10
peer detection
peer detection ipaddr 10.10.10.1 10.10.10.2
peer keepalive
role priority 2
system priority 2
peer link port-channel 1
exit
!
interface TenGigabitEthernet1/0/1
ip address 10.10.10.2 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
channel-group 1 mode auto
exit
Конфигурация VPC домена 20:
SW20-1
vpc
vpc domain 20
peer detection
peer detection ipaddr 20.20.20.2 20.20.20.1
peer keepalive
role priority 1
peer link port-channel 1
exit
!
interface TenGigabitEthernet1/0/1
description Peer-Detection
ip address 20.20.20.1 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
channel-group 1 mode auto
exit
SW20-2
vpc
vpc domain 20
peer detection
peer detection ipaddr 20.20.20.1 20.20.20.2
peer keepalive
role priority 2
peer link port-channel 1
exit
!
interface TenGigabitEthernet1/0/1
description Peer-Detection
ip address 20.20.20.2 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
channel-group 1 mode auto
exit
Примечания:
1. В качестве Peer Detection необходимо использовать физический интерфейс с настроенным IP адресом. Критически важно исключить влияние L2 в обмене сообщениями в данном линке.
2. В качестве Peer Detection необходимо назначать на интерфейс с порядковым номером меньше, чем порядковый номер интерфейсов, входящих в Peer-Link. В примере для Peer Detection используется te1/0/1.
3. В качестве Peer-Link необходимо назначать интерфейсы с максимальной пропускной способностью. Так как в примере используются коммутаторы MES53xxA, Peer-Link собирается из двух XG интерфейсов te1/0/2-3.
Контроль состояний пар
VPC домен 10:
SW10-1#show vpc
VPC is enabled
VPC domain 10
VPC role Primary
peer detected (peer-link)
role-priority 1
peer keepalive enabled
system priority 32768
peer detection enabled
peer link Po1
SW10-2#show vpc
VPC is enabled
VPC domain 10
VPC role Secondary
peer detected (peer-link)
role-priority 2
peer keepalive enabled
system priority 32768
peer detection enabled
peer link Po1
VPC домен 20 :
SW20-1#show vpc
VPC is enabled
VPC domain 20
VPC role Primary
peer detected (peer-link)
role-priority 1
peer keepalive enabled
system priority 32768
peer detection enabled
peer link Po1
SW20-2#show vpc
VPC is enabled
VPC domain 20
VPC role Primary
peer detected (peer-link)
role-priority 2
peer keepalive enabled
system priority 32768
peer detection enabled
peer link Po1
Настроим VPC-группу и физические интерфейсы для объединения доменов аналогично для всех коммутаторов:
vpc group 2
domain 10
vpc-port port-channel 2
exit
interface TenGigabitEthernet1/0/10
description Link_to_SW20-1
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/11
description Link_to_SW20-2
channel-group 2 mode auto
exit
Для коммутаторов домена 20 команды аналогичные.
Выполняем коммутацию согласно целевой схемы:
Схема подключения и использования агрегированных интерфейсов:
Корректность коммутации можно проверить с помощью LLDP:
SW10-1 Port Device ID Port ID System Name Capabilities TTL
---------- ----------------- ----------------- ------------------------------ ------------ -----
te1/0/1 e8:28:c1:8a:bf:00 te1/0/1 SW10-2 B, R 119
te1/0/2 e8:28:c1:8a:bf:00 te1/0/2 SW10-2 B, R 94
te1/0/3 e8:28:c1:8a:bf:00 te1/0/3 SW10-2 B, R 94
te1/0/10 e4:5a:d4:14:00:40 te1/0/10 SW20-1 B, R 92
te1/0/11 e4:5a:d4:14:0d:c0 te1/0/11 SW20-2 B, R 92
SW10-2 Port Device ID Port ID System Name Capabilities TTL
---------- ----------------- ----------------- ------------------------------ ------------ -----
te1/0/1 e8:28:c1:19:24:00 te1/0/1 SW10-1 B, R 111
te1/0/2 e8:28:c1:19:24:00 te1/0/2 SW10-1 B, R 119
te1/0/3 e8:28:c1:19:24:00 te1/0/3 SW10-1 B, R 119
te1/0/10 e4:5a:d4:14:0d:c0 te1/0/10 SW20-2 B, R 90
te1/0/11 e4:5a:d4:14:00:40 te1/0/11 SW20-1 B, R 91
SW20-1 Port Device ID Port ID System Name Capabilities TTL
---------- ----------------- ----------------- ------------------------------ ------------ -----
te1/0/1 e4:5a:d4:14:0d:c0 te1/0/1 SW20-2 B, R 111
te1/0/2 e4:5a:d4:14:0d:c0 te1/0/2 SW20-2 B, R 118
te1/0/3 e4:5a:d4:14:0d:c0 te1/0/3 SW20-2 B, R 118
te1/0/10 e8:28:c1:19:24:00 te1/0/10 SW10-1 B, R 114
te1/0/11 e8:28:c1:8a:bf:00 te1/0/11 SW10-2 B, R 114
SW20-2 Port Device ID Port ID System Name Capabilities TTL
---------- ----------------- ----------------- ------------------------------ ------------ -----
te1/0/1 e4:5a:d4:14:00:40 te1/0/1 SW20-1 B, R 93
te1/0/2 e4:5a:d4:14:00:40 te1/0/2 SW20-1 B, R 95
te1/0/3 e4:5a:d4:14:00:40 te1/0/3 SW20-1 B, R 95
te1/0/10 e8:28:c1:8a:bf:00 te1/0/10 SW10-2 B, R 90
te1/0/11 e8:28:c1:19:24:00 te1/0/11 SW10-1 B, R 90
При подключении состояние VPC не меняется, проверим состояние интерфейса Po2:
SW10-1SW10-1#show interfaces Po2
Port-Channel2 is up (connected)
Interface index is 1001
Hardware is aggregated ethernet interface(s), MAC address is e8:28:c1:19:24:01
Interface MTU is 1500
Link is up for 0 days, 0 hours, 9 minutes and 50 seconds
Link aggregation type is LACP
No. of members in this port-channel: 4 (active 2)
TenGigabitEthernet1/0/10, full-duplex, LACP active, 10000Mbps (active)
TenGigabitEthernet1/0/11, full-duplex, LACP active, 10000Mbps (active)
TenGigabitEthernet3/0/10, LACP passive, 0Mbps (non-candidate)
TenGigabitEthernet3/0/11, LACP passive, 0Mbps (non-candidate)
Active bandwidth is 20000Mbps
15 second input rate is 0 Kbit/s
15 second output rate is 0 Kbit/s
81 packets input, 8320 bytes received
0 broadcasts, 81 multicasts
0 input errors, 0 FCS
0 oversize, 0 internal MAC
0 pause frames received
82 packets output, 8448 bytes sent
0 broadcasts, 82 multicasts
0 output errors, 0 collisions
N/S excessive collisions, 0 late collisions
0 pause frames transmitted
Интерфейсы, входящие в виртуальный Port-Channel на данном коммутаторе Te1/0/10-11, но также указаны интерфейсы Te3/0/10-11, это интерфейсы удаленного коммутатора, в данном случае SW10-2.
Аналогичное состояние Po2 на остальных коммутаторах схемы.
Подключение клиентов
Для подключения клиентов будут использоваться интерфейсы Port-Channel 3 в обоих парах.
Для этого добавим группу в VPC-домены:
Конфигурация домена 10:vpc group 3
domain 10
vpc-port port-channel 3
exit
Конфигурация домена 20:vpc group 3
domain 20
vpc-port port-channel 3
exit
В Port-Channel 3 на каждом устройстве будет добавлен один интерфейс:interface TenGigabitEthernet1/0/15
channel-group 3 mode auto
Для коммутации клиентского трафика создадим VLAN на всех устройствах:interface vlan 200
name Customers_L2
exit
В Peer Link VLAN 200 будет добавлен автоматически в соответствии с режимом работы интерфейса switchport trunk allowed vlan all. В конфигурацию Port-Channel 2 и Port-Channel 3 VLAN 200 необходимо добавить вручную.
Схема прохождения клиентского L2-трафика (icmp ping) от Access_1 до Access_2
Схема прохождения клиентского L2-трафика при отказе интерфейсов SW10-1 - te1/0/15 и SW20-1 - te1/0/15. На приведенных схемах красным крестом отмечены вышедшие из строя линки, либо узлы.
Схема прохождения клиентского L2-трафика при отказе SW10-1 и SW20-2
Проверка задействования Peer-Link каждой пары.
Источник:
docs.eltex-co.ru
Обновление ПО необходимо проводить только в рамках регламентированного перерыва связи.
Алгоритм обновления ПО (с сохранением текущих ролей устройств после перезагрузки):
1. Загрузить ПО на оба коммутатора пары.
2. Проверить вывод команды show version.
3. Перезагрузить Primary. Роль Primary перейдет на текущий Secondary коммутатор.
4. После восстановления нового Secondary, убедиться, что пара собралась с помощью команды show vpc.
5. После восстановления пары переходить к перезагрузке текущего Primary. Роль Primary вернется на изначальный коммутатор.
Можно начать обновление с Secondary коммутатора, в таком случае исключается один шаг по передаче роли Primary, так как при первой перезагрузке она останется на том же коммутаторе (текущий Primary), далее будет передача от текущего Primary на текущий Secondary. Таким образом минимизируется количество передач ролей, но в итоге Primary и Secondary меняются местами.
Источник:
docs.eltex-co.ru
Способность поддерживать передачу сверхдлинных кадров позволяет передавать данные меньшим числом пакетов. Это снижает объем служебной информации, время обработки и перерывы. Поддерживаются пакеты размером до 10К.
Пример настройки:
- в режиме глобального конфигурирования разрешить работать с фреймами большого размера командой:
console(config)# port jumbo-frame
- сохранить конфигурацию и перезагрузить коммутатор.
Источник:
docs.eltex-co.ru
На всех линейках коммутаторов MES доступен функционал errdisable. Данная функция позволяет восстановить интерфейс, если тот был отключен по какой-либо причине. Причины могут быть разные, хх можно посмотреть командой:
console# show errdisable recovery
Timer interval: 300 Seconds
Reason Automatic Recovery
---------------------- ------------------------------
loopback_detection Disable
port-security Disable
dot1x-src-address Disable
acl-deny Disable
stp-bpdu-guard Disable
stp-loopback-guard Disable
udld Disable
storm-control Disable
link-flapping Enable
Из вывода видно, что в каких-то причинах защита errdisable уже включена по умолчанию. Рассмотрим пример.
На порту te 0/2 настроим защиту spanning-tree bpduguard. С данной настройкой, если со встречного устройства прилетит bpdu, порт отключится по errdisable:
console(config-if)# do sh run int te 1/0/2
interface te 1/0/2
spanning-tree bpduguard enable
switchport mode trunk
switchport trunk allowed vlan add 100,111-112
!
В лог выведется соответствующее сообщение:
console(config-if)#09-Nov-2018 14:39:38 %STP-W-BPDUGRDPRTSUS: te 1/0/2 suspend by BPDU guard.
09-Nov-2018 14:39:38 %LINK-W-PORT_SUSPENDED: Port te 1/0/2 suspended by stp-bpdu-guard
Также заблокированные интерфейсы по errdisable можно посмотреть командой:
console# show errdisable interfaces
Interface Reason
------------- ------------------
te1/0/2 stp-bpdu-guard
По умолчанию автоматическое восстановление интрефейса отключено. Можно интерфейс поднять вручную командой:
console# set interface active te 1/0/2
Либо настроить автоматическое восстановление:
console(config)# errdisable recovery cause stp-bpdu-guard
Интерфейс поднимется через 300 секунд (по умолчанию) после падения. Данный таймер можно изменить, минимальное значение 30 секунд:
console(config)# errdisable recovery interval
<30-86400> Specify the timeout interval.
Источник:
docs.eltex-co.ru
Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.
Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.
Пример настройки MSTP:spanning-tree mode mst
!
spanning-tree mst configuration
instance 1 vlan 201,301
instance 2 vlan 99
instance 3 vlan 203,303
name test
exit
Примечание: По умолчанию все VLAN'ы находятся в 0 instance.
Источник:
docs.eltex-co.ru
При распространении STP BPDU от Root Bridge каждый последующий коммутатор в кольце увеличивает значение "Message Age" на время задержки (обычно 1). Как только это значение превысит максимальное пороговое значение ("Max Age", по умолчанию 20), STP BPDU далее этого коммутатора распространяться не будут.
При большом количестве коммутаторов в кольце (при удалении от Root Bridge более чем на 20 коммутаторов) требуется увеличить параметр "Max Age" на всех коммутаторах в кольце.
Настройка для протоколов STP/RSTP:console(config)#spanning-tree max-age
<6-40> Set a Spanning Tree MAX AGE Interval
Настройка для протоколов PVST/RPVST:
console(config)#spanning-tree vlan ID max-age
<6-40> Set a Spanning Tree MAX AGE Interval
При задании STP параметров forward-time, hello-time, max-age необходимо выполнение условия: 2*(Forward-Delay - 1) ⩾ Max-Age ⩾ 2*(Hello-Time + 1).
Пример настройки:console(config)# spanning-tree forward-time 20
console(config)# spanning-tree hello-time 5
console(config)# spanning-tree max-age 38
Для протокола MSTP также дополнительно требуется настроить max-hops:console(config)# spanning-tree mst max-hops
<1-40> Configure the number of hops in a region before the BPDU is discarded and the information held for a port is aged.
Источник:
docs.eltex-co.ru
Протокол мониторинга сети (RMON) является расширением протокола SNMP, позволяя предоставить более широкие возможности контроля сетевого трафика. Основное отличие RMON от SNMP состоит в том, что rmon-агенты могут самостоятельно осуществлять сбор и обработку данных. Информация, собранная и обработанная агентом, передается на сервер.
1) Первоначально необходимо настроить условие выдачи аварийного сигнала rmon alarm.
Примечание: alarm - периодическое извлечение статистических выборок из переменных в датчике и их сравнение с заранее выбранными пороговыми значениями. Если наблюдаемые значения выходят за границы пороговых, генерируется событие.
Настроим условие: На интерфейсе gigabitethernet0/11 при превышении порога InUcastPkts (OID: 1.3.6.1.2.1.2.2.1.11) в 200 пакетов, сгенерировать событие trap.console(config)# rmon alarm 1 1.3.6.1.2.1.2.2.1.11.59 5 200 100 1 2 owner TEST_SW
По порядку слева направо опишу значение параметров в команде:
• 1 – index аварийного события;
• 1.3.6.1.2.1.2.2.1.11.1 – OID;
• 5 - интервал, в течение которого данные отбираются и сравниваются с восходящей и нисходящей границами;
• 200 - rthreshold – восходящая граница;
• 100 - fthreshold – нисходящая граница;
• 1 - revent – индекс события, которое используется при пересечении восходящей границы;
• 2 - fevent – индекс события, которое используется при пересечении нисходящей границы;
• Owner – имя создателя аварийного события;
2) Далее необходимо настроить событие для случая пересечения верхней границы в системе удаленного мониторинга:
console(config)# rmon event 1 trap community test_community description "On Gig0/11 counter inUnPackets > 200" owner TEST_SW
• 1 – индекс события;
• Trap - тип уведомления, генерируемого устройством по этому событию;
• community - строка сообщества SNMP для пересылки trap;
• description - описание события;
• Owner – имя создателя аварийного события;
3) Также необходимо настроить события для случая пересечения нижней границы в системе удаленного мониторинга:console(config)# rmon event 2 trap community test_community description "On Gig0/11 counter inUnPackets < 100" owner TEST_SW
Примечание: Индексы событий rmon event, указанные в rmon alarm (revent, fevent) должны совпадать с индексами, указанными в rmon event.
Источник:
docs.eltex-co.ru
Flex-link – функция резервирования, предназначенная для обеспечения надежности канала передачи данных. В связке flex-link могут находиться Ethernet и Port-channel интерфейсы. Один из этих интерфейсов находится в заблокированном состоянии и начинает пропускать трафик только в случае аварии на втором интерфейсе.
Настройка делается на основном (активном) интерфейсе:
console(config)# interface te1/0/1
console(config-if)# flex-link backup te1/0/2
te1/0/1 - Active
te1/0/2 - Backup
На обоих интерфейсах должен быть отключён STP (spanning-tree disable).
Настройка preemption mode:
console(config-if)# flex-link preemption mode forced | band-width | off
- forced – если поднявшийся интерфейс настроен как master, то он станет активным интерфейсом;
- bandwidth – при поднятии интерфейса активным станет интерфейс с большей пропускной способностью;
- off – поднявшийся интерфейс останется в заблокированном состоянии.
Примечания:
1) При падении активного порта таблица MAC-адресов с этого линка копируется на backup-порт.
2) При событии preemption и при создании Flex Link пары происходит рассылка ARP пакетов в ставший active-порт.
3) В IGMP Snooping добавляются оба порта Flex Link как mrouter порты.
4) При событии preemption рассылаются IGMP report для подписанных групп.
Источник:
docs.eltex-co.ru
GARP VLAN Registration Protocol (GVRP) – протокол VLAN-регистрации. Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет её в свою базу данных, как Type - dynamicGvrp .
Пример настройки switch1
Распространить vlan 300 по сети.
console(config)# gvrp enable
console(config)# interface te 1/0/1
console(config-if)# gvrp enable
console(config-if)# swichport mode trunk
console(config-if)# swichport trunk allowed add 100,300
Пример настройки на switch2console(config)# gvrp enable
console(config)# interface te 1/0/1
console(config-if)# gvrp enable
console(config-if)# swichport mode trunk
console(config-if)# swichport trunk allowed add 100
27-Jul-2016 11:53:25 %VLAN-I-GVRPAddVlan: Dynamic VLAN Vlan 300 was added by GVRP
27-Jul-2016 11:53:25 %VLAN-I-GVRPAddPort: Dynamic port te 1/0/1 was added to VLAN Vlan 300 by GVRP
console# sh vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN
Vlan | Name | Tagged ports | Untagged ports | Created by |
1 | - | - | te1/0/1-7,te1/0/9-28,Po1-xx | D |
100 | - | te1/0/1 | - | S |
300 | - | te1/0/1 | - | G |
По умолчанию VLAN c Created by - G (GVRP) нельзя назначить на порт. Для этого vlan нужно добавить в vlan database.
Источник:
docs.eltex-co.ru
Функционал IP Helper позволяет пересылать широковещательные UDP-пакеты на определенный адрес.
Примечание: Для переадресации DHCP пакетов (67,68 порты) используется функционал DHCP Relay.
Пример настройки.
Во VLAN 10 приходят широковещательные UDP-пакеты (49 порт). Данные пакеты необходимо юникастом отправить на сервер 20.20.20.1, находящийся во VLAN 20.
Настроим адресацию:console(config)# interface vlan 10
console(config-if)# ip address 10.10.10.2 /24
console(config)# interface vlan 20
console(config-if)# ip address 20.20.20.2 /24
Настроим функционал IP Helper:console(config)# ip helper-address 10.10.10.2 20.20.20.1 49
Где
- 10.10.10.2 - IP адрес интерфейса, который будет перехватывать приходящие на него широковещательные UDP-пакеты. Можно указать ALL.
- 20.20.20.1 - IP адрес сервера, на который будут перенаправляться пакеты. Можно указать несколько серверов.
- 49 - UDP порт, широковещательный трафик, направленный на перечисленные в списке порты, подвергается переадресации.
Примечание: Если не указывать порты, то по умолчанию перехват работает для 37,42,49,53,137,138.
Примечание: Для переадресации DHCP пакетов (67,68 порты) используется функционал DHCP Relay.
Примечание: Для того, чтобы функционал работал, в пакетах обязательно должна быть полезная нагрузка (частая проблема при тестировании функционала в лабораториях).
Диагностика:show ip helper-address
Interface Helper Address Udp port
--------------- --------------- ------------------------
10.10.10.2 20.20.20.1 49
Источник:
docs.eltex-co.ru
Настройка IP Service Level Agreements (IP SLA).
IP SLA – технология активного мониторинга, использующаяся для измерения параметров быстродействия компьютерных сетей и качества передачи данных. Активный мониторинг представляет собой продолжительную циклическую генерацию трафика, сбор информации о его прохождении по сети и ведение статистики.
На данный момент измерение параметров сети может осуществляться с использованием протокола ICMP. При каждом выполнении операции ICMP Echo устройство отправляет ICMP Echo request сообщение на адрес назначения, ожидает получения сообщения ICMP Echo reply в течение заданного интервала времени.
C одной IP SLA операцией можно связать несколько объектов TRACK. Состояние объекта TRACK изменяется в момент изменения состояния IP SLA операции, либо с заданной задержкой.
При изменении состояния трека возможно выполнение макрокоманд. Макрокоманды выполняются в режиме глобального конфигурирования. Для выполнения команд режима privileged EXEC команды необходимо дополнить префиксом do.
Для использования функции IP SLA необходимо выполнить следующие действия:
- Создать операцию icmp-echo и сконфигурировать её.
- Запустить выполнение операции.
- Создать TRACK объект, связанный с конкретной IP SLA операцией и сконфигурировать его.
- При необходимости, создать макросы, выполняемые при изменении состояния объекта TRACK.
- Просмотреть статистику, при необходимости, очистить ее.
- При необходимости, прекратить выполнение операции.
Операция ICMP-Echo:
При каждом выполнении операции ICMP Echo устройство отправляет ICMP Echo request сообщение на адрес назначения, ожидает получения сообщения ICMP Echo reply и измеряет время двустороннего прохождения ICMP-пакета. Операция ICMP Echo также предоставляет информацию о минимальном, среднем и максимальном временных значениях и количестве измерений, завершившихся неудачно по той или иной причине.
Для примера выполним настройку операции ICMP Echo на коммутаторе доступа MES2300-24:
1) Для начала необходимо перейти в режим конфигурирования операции IP SLA. Всего можно создать 64 операции.console(config)# ip sla 1
console(config-ip-sla)#
2) Создать операцию icmp-echo и перейти в режим её конфигурирования:console(config-ip-sla)# icmp-echo 192.168.1.1 source-address 192.168.1.22
3) Установим параметры операции ICMP Echo:
- частота выполнения (frequency) 10 секунд (по умолчанию 10 секунд);
- таймаут операции (timeout - как часто ожидать ответ на icmp запрос) 2000 мс;
- количество байт, передаваемых в icmp-пакете (request-data-size) 28 байт.console(config-ip-sla-icmp-echo)# frequency 10
console(config-ip-sla-icmp-echo)# timeout 500
console(config-ip-sla-icmp-echo)# request-data-size 64
Для корректного функционирования операции ICMP Echo рекомендуется установить значение frequency больше, чем значение timeout.
4) После конфигурирования операции необходимо указать время запуска и выполнения (операцию можно запустить моментально и выполняться она будет неограниченное время).console(config)# ip sla schedule 1 life forever start-time now
5) После конфигурирования операции необходимо привязать её к track (выполнение макросов, привязанных к треку, будет осуществляться при изменении состояния операции).console(config)# track 1 ip sla 1 state
IP SLA операция при запуске уже находится в состоянии UP. Т.е после запуска всей связки "макрос ↔ IP SLA операция" в первый раз (при переходе в состояние UP) не будет выполнена.
6) Привязка макроса к треку выполняется командой:console(config)# macro name m1
Далее происходит наполнение командами самого макроса.
7) Просмотр статистики IP SLA операции.console# show ip sla operation 1
IP SLA Operational Number: 1
Type of operation: icmp-echo
Target address: 10.9.2.65
Source Address: 10.9.2.80
Request size (ICMP data portion): 92
Operation frequency: 20
Operation timeout: 500
Operation state: scheduled
Operation return code: OK
Operation Success counter: 254
Operation Failure counter: 38
ICMP Echo Request counter: 292
ICMP Echo Reply counter: 254
ICMP Error counter: 0
- Operation state — текущее состояние операции:
- sсheduled — операция выполняется;
- pending — выполнение операции остановлено.
- Operation return code — код завершения последней выполненной операции:
- OK — успешное завершение предыдущей операции;
- Error — неудачное завершение последней попытки измерения.
- Operation Success counter — количество успешно законченных операций.
- Operation Failure counter — количество неудачно законченных операций.
- ICMP Echo Request counter — количество проведённых запусков операции.
- ICMP Echo Reply counter — количество полученных ответов на ICMP запрос.
8) Отображает информацию о настроенных track-объектах.console# show track 1
9) Запуск макроса с отслеживанием вывода (выполняется для отладки работы макроса. При этом в конфигурации вступают в силу изменения, заложенные в самом макросе).console(config)# macro global trace 1
# Макрос для поднятия loopback-интерфейса, если ip sla 1 перешёл в DOWN:macro name m1
ip sla 2
icmp-echo 192.168.2.1 source-ip 192.168.1.2
frequency 30
exit
exit
ip sla schedule 2 life forever start-time now
track 2 ip sla 2 state
exit
@
# Макрос для удаления всех настроек из примера, если ip sla 1 перешёл в UP:macro name m2
interface loopback 1
no ip address
exit
no ip sla 2
no track 2 ip sla
@
# Макрос для создания loopback-интерфейса, чтобы ip sla 2 перешёл в UP:macro name m3
interface Loopback 1
ip address 192.168.2.1 /32
exit
@
# Макрос для создания loopback-интерфейса, чтобы ip sla 2 перешёл в DOWN:macro name m4
interface Loopback 1
no ip address
exit
@
# IP SLA опрашивающий определённый IP:ip sla 1
icmp-echo 192.168.1.1 source-ip 192.168.1.2
frequency 10
exit
exit
ip sla schedule 1 life forever start-time now
track 1 ip sla 1 state
exit
Источник:
docs.eltex-co.ru
Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии. Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.
Основные понятия и термины:
- RPL (Ring Protection Link) - резервный линк между коммутаторами, который будет заблокирован механизмом ERPS при нормальном режиме работы кольца (IDLE);
- RPL Owner - коммутатор, подключенный к RPL, который блокирует RPL Link при нормальном режиме работы кольца и разблокирует его при разрыве кольца;
- RPL Neighbor - коммутатор, напрямую связанный с RPL Owner через RPL Link. Также блокирует RPL Link при нормальном режиме работы кольца и разблокирует его при разрыве кольца;
- R-APS (Ring - Automatic Protection Switching) - протокол обмена сообщениями, определенный в Y.1731 и в G.8032. Используется для координации действий по защите кольца;
- RAPS VLAN (A-RPS Channel) - служебный VLAN, в котором передаются R-APS PDUs;
- Protected VLAN - VLANs для передачи DATA трафика. RPL Link блокирует передачу только в Protected VLAN.
Таймеры:
- Hold-Off Timer - используется при падении линка. На коммутаторах кольца, зафиксировавших аварию, запускается Hold-Off Timer, по истечении которого отправляется R-APS PDU Signal Fail. По дефолту таймер настроен на 0 сек;
- Guard Timer - Запускается на коммутаторах, фиксирующих изменение топологии (падение/поднятие линка). При этом отправляется R-APS PDU и запускается Guard Timer, до тех пор пока таймер не истек, все входящие R-APS pdu игнорируются. По дефолту таймер настроен на 500 мсек;
- WTR Timer - используется только RPL Owner для отложенной блокировки RPL порта. Таймер истечёт только в случае отсутствия изменений в топологии за время своего действия. По дефолту таймер настроен на 5 мин;
- Periodic Timer - интервал отправки R-APS PDUs.
Сообщения R-APS:
- Signal Fail (SF) - сигнализирует об обнаружении аварии;
- No Request (NR) - сигнализирует об устранении аварии или отсутствии сбоев в работе кольца;
- RPL Blocked (RB) - это сообщение отправляет RPL Owner и Neighbor, причем всегда совместно с No Request. Информирует о состоянии RPL линка.
Состояния кольца:
- IDLE - статус при нормальном режиме работы кольца, когда резервный линк между коммутаторами RPL Owner и RPL Neighbor заблокирован механизмом ERPS.
- PROTECTED - статус кольца в случае разрыва действущего линка/аварии, когда резервный линк между коммутаторами RPL Owner и RPL Neighbor разблокирован.
- PENDING - статус кольца, когда проблемный линк восстановлен, и запущен WTR таймер.
Важно!!! При настройке протокола ERPS в мультивендорной среде необходимо, чтобы все таймеры совпадали на всех участниках кольца.
Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS трафика в подкольце используется VLAN 100, защищает VLAN 200, 300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.
В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. RPL линк — это линк, который будет заблокирован при нормальном состоянии кольца, и разблокируется только в случае аварии на одном из линков кольца.
Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual link.
Примечания:
- Подкольцо не умеет определять разрыв виртуального линка. Поэтому при разрыве этого линка в подкольце не разблокируется rpl-link.
- По дефолту через интерфейс в режим trunk проходит дефолтный 1 VLAN. Поэтому данный VLAN необходимо или добавить в protected, или запретить его прохождение через интерфейс, чтобы избежать возникновения шторма.
- RPL link блокирует прохождение трафика в protected VLAN. Но на семейство протоколов xSTP данная блокировка не растространяется. Поэтому необходимо запрещать прохождение STP bpdu через кольцевые порты.
Конфигурация коммутатора 1:console(config)# erps
console(config)# erps vlan 10
console(config-erps)# ring enable
console(config-erps)# port west te1/0/1
console(config-erps)# port east te1/0/2
console(config-erps)# protected vlan add 20,30,40,100,200,300,400
console(config-erps)# rpl west owner
console(config-erps)# exit
console(config)#
console(config)# interface range TengigabitEthernet1/0/1-2
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 10,20,30,40,100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# spanning-tree bpdu filtering
Конфигурация коммутатора 2:console(config)# erps
console(config)# erps vlan 10
console(config-erps)# ring enable
console(config-erps)# port west te1/0/1
console(config-erps)# port east te1/0/2
console(config-erps)# protected vlan add 20,30,40,100,200,300,400
console(config-erps)# rpl west neighbor
console(config-erps)# exit
console(config)#
console(config)# interface range TengigabitEthernet1/0/1-2
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 10,20,30,40,100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# spanning-tree bpdu filtering
Конфигурация коммутаторов 3, 4:console(config)# erps
console(config)# erps vlan 10
console(config-erps)# ring enable
console(config-erps)# port west tengigabitethernet1/0/1
console(config-erps)# port east tengigabitethernet1/0/2
console(config-erps)# protected vlan add 20,30,40
console(config-erps)# sub-ring vlan 100
console(config-erps)# exit
console(config)# erps vlan 100
console(config-erps)# ring enable
console(config-erps)# port west tengigabitethernet1/0/3
console(config-erps)# protected vlan add 200,300,400
console(config-erps)# exit
console(config)#
console(config)# interfaceTengigabitEthernet1/0/1
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 10,20,30,40,100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# interfaceTengigabitEthernet1/0/2
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 10,20,30,40,100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# interfaceTengigabitEthernet1/0/3
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# spanning-tree bpdu filtering
Конфигурация коммутатора 5:console(config)# erps
console(config)# erps vlan 100
console(config-erps)# ring enable
console(config-erps)# port west te1/0/1
console(config-erps)# port east te1/0/2
console(config-erps)# protected vlan add 200,300,400
console(config-erps)# rpl west owner
console(config-erps)# exit
console(config)#
console(config)# interface range TengigabitEthernet1/0/1-2
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# spanning-tree bpdu filtering
Конфигурация коммутатора 6:console(config)# erps
console(config)# erps vlan 100
console(config-erps)# ring enable
console(config-erps)# port west te1/0/1
console(config-erps)# port east te1/0/2
console(config-erps)# protected vlan add 200,300,400
console(config-erps)# rpl west neighbor
console(config-erps)# exit
console(config)# interface range TengigabitEthernet1/0/1-2
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 100,200,300,400
console(config-if)# switchport forbidden default-vlan
console(config-if)# exit
console(config)# spanning-tree bpdu filtering
Статус колец можно посмотреть командами:console# show erps
console# show erps vlan 10
console# show erps vlan 100
Источник:
docs.eltex-co.ru
Функция Layer2 Protocol Tunneling (L2PT) позволяет пропускать служебные пакеты различных L2-протоколов (PDU) через сеть провайдера, что позволяет «прозрачно» связать клиентские сегменты сети. L2PT инкапсулирует PDU на граничном коммутаторе, передает их на другой граничный коммутатор, который ожидает специальные инкапсулированные кадры, а затем декапсулирует их, что позволяет пользователям передавать информацию 2-го уровня через сеть провайдера.
- Установить туннельный MAC-адрес в значение 01:00:0c:cd:cd:d0
- Включить отправку SNMP traps от триггера l2protocol-tunnel (триггера на срабатывание drop-threshold и shutdown-threshold)
console(config)#l2protocol-tunnel address 01:00:0c:cd:cd:d0
console(config)#snmp-server enable traps l2protocol-tunnel
- Включить режим туннелирования STP на интерфейсе te1/0/1
- Установить значение CoS-пакетов BPDU равным 4, а также включить контроль скорости входящих пакетов BPDU
console(config)#interface TenGigabitEthernet 1/0/1
console(config-if)#spanning-tree disable
console(config-if)#switchport mode customer
console(config-if)#switchport customer vlan 100
console(config-if)#l2protocol-tunnel stp
console(config-if)#l2protocol-tunnel cos4
console(config-if)#l2protocol-tunnel drop-threshold stp 40
console(config-if)#l2protocol-tunnel shutdown-threshold stp 100
console#show l2protocol-tunnel
MAC address for tunneled frames: 01:00:0c:cd:cd:d0
Port CoS Protocol Shutdown Drop Encaps Decaps Drop
Threshold Threshold Counter Counter Counter
-------- --- -------- --------- --------- --------- --------- ---------
te1/0/1 4 stp 100 40 650 0 450
Примеры сообщений о срабатывании триггера:12-Nov-2015 14:32:35 %-I-DROP: Tunnel drop threshold 40 exceeded for interface te1/0/1
12-Nov-2015 14:32:35 %-I-SHUTDOWN: Tunnel shutdown threshold 100 exceeded for interface te1/0/1
Источник:
docs.eltex-co.ru
sFlow — технология, позволяющая осуществлять мониторинг трафика в пакетных сетях передачи данных путем частичной выборки трафика для последующей инкапсуляции в специальные сообщения, передаваемые на сервер сбора статистики.
Пример настройки:
С интерфейса te1/0/11 делать выборку 1 пакета из каждых 1024 (flow-sampling). С интервалом 15 секунд отправлять счетчики интерфейса (counters-sampling). max-datagram-size - максимальное количество байт, которое может быть отправлено в один пакет данных (по умолчанию 1400). max-header-size - максимальное количество байт, которое будет скопировано из образца пакета.
console(config)# sflow receiver 1 192.168.10.5
console(config)# sflow receiver 1 192.168.10.5 max-datagram-size 1500
console(config)# interface te1/0/11
console(config-if)# sflow counters-sampling 15 1
console(config-if)# sflow flow-sampling 1024 1 max-header-size 254
console(config-if)# exit
192.168.10.5 - коллектор
show-команды:show sflow configuration
show sflow statistics
Источник:
docs.eltex-co.ru
Настройка синхронизации времени производится следующими командами:
console(config)# clock source sntp
console(config)# clock timezone MSK +3
console(config)# sntp unicast client enable
console(config)# sntp unicast client poll
console(config)# sntp server 91.226.136.136 poll
Настройка синхронизации времени с аутентификацией:
console(config)# clock source sntp
console(config)# clock timezone MSK +3
console(config)# encrypted sntp authentication-key 1 md5 v3NgLjCb1JzsRzsi3NoK0m7mOIi/wjnrsMvFoJhOGMk=
console(config)# sntp trusted-key 1
console(config)# sntp authenticate
console(config)# sntp unicast client enable
console(config)# sntp unicast client poll
console(config)# sntp server 192.168.10.5 poll key 1
Источник:
docs.eltex-co.ru
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения, уведомления, информационные и отладочные.
console(config)# logging host ip_address |host port port severity level facility facility description text
Пример: logging host 192.168.1.1 severity debugging
Команда включает передачу аварийных и отладочных сообщений на удаленный SYSLOG сервер 192.168.1.1.
- ip_address - IPv4 или IPv6-адрес SYSLOG-сервера;
- host - сетевое имя SYSLOG-сервера;
- port - номер порта для передачи сообщений по протоколу SYSLOG;
- level - уровень важности сообщений, передаваемых на SYSLOG-сервер;
- facility - услуга, передаваемая в сообщениях;
- text - описание SYSLOG-сервера.
Примечание: можно настроить несколько Syslog-серверов.
Источник:
docs.eltex-co.ru
Функция маршрутизации многоадресного трафика IGMP Proxy дает возможность коммутатору используя информацию, получаемую при обработке сообщений протокола IGMP, распознавать сведения о принадлежности интерфейсов к многоадресным группам и осуществлять на основе этих данных пересылку многоадресных данных между сетями.
Данный пример описывает настройку функции IGMP Proxy на коммутаторе.
- в качестве интерфейса к вышестоящей сети 10.1.0.0 использовать VLAN 100.
- в качестве интерфейсов к нижестоящим сетям 10.2.0.0 и 10.3.0.0 использовать VLAN 101 и 102 соответственно.
Пример:
console# configure
console (config)# vlan 100-102
console (config)# ip multicast-routing igmp-proxy
console (config)# interface vlan 100
console (config-if)# ip address 10.1.0.1 /24
console (config-if)# exit
console (config)# interface vlan 101
console (config-if)# ip igmp-proxy vlan 100
console (config-if)# ip address 10.2.0.1 /24
console (config-if)# exit
console (config)# interface vlan 102
console (config-if)# ip igmp-proxy vlan 100
console (config-if)# ip address 10.3.0.1 /24
console (config-if)# exit
Источник:
docs.eltex-co.ru
Функция IGMP Snooping используется в сетях групповой рассылки. Основной задачей IGMP Snooping является предоставление многоадресного трафика только для тех портов, которые запросили его.
Пример настройки
- Включить фильтрацию многоадресных данных:
console(config)# bridge multicast filtering
- Настроить VLAN для передачи многоадресных данных (VID1000):
console(config)# vlan database
console(config-vlan)# vlan 1000
console(config-vlan)# exit
- Настроить порты, через которые разрешено передавать многоадресные данные, например, te 1/0/1-2:
console(config)# interface range te 1/0/1-2
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 1000
console(config-if)# exit
- Настроить igmpsnooping глобально и на VLAN интерфейсах:
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 1000
Источник:
docs.eltex-co.ru
MLD snooping – механизм многоадресной рассылки сообщений, позволяющий минимизировать многоадресный трафик в IPv6-сетях. Выполняет аналогичную функцию что IGMP Snooping, только для IPv6 трафика, предоставляя мультикаст только тем клиентам, которые его запрашивали.
- Включаем фильтрацию многоадресных данных
console(config)# bridge multicast filtering
- Добавляем VLAN
console(config)# vlan 2
- Включаем MLD SNooping глобально и во VLAN
console(config)# ipv6 mld snooping
console(config)# ipv6 mld snooping vlan 2
- Если в сети нет querier-а, то назначаем mrouter порт
console(config)# ipv6 mld snooping vlan 2 mrouter interface te1/0/2
- Включаем IPv6 на VLAN, включаем фильтрацию незарегистрированного мультикаста
console(config)# interface vlan 2
console(config-if)# ipv6 enable
console(config-if)# bridge multicast unregistered filtering
Источник:
docs.eltex-co.ru
Функция «Multicast-TV VLAN» дает возможность использовать для передачи многоадресного трафика одну VLAN в сети оператора и доставлять этот трафик пользователям даже в том случае, если они не являются членами этой VLAN. За счет функции «Multicast-TV VLAN» может быть сокращена нагрузка на сеть оператора за счет отсутствия дублирования многоадресных данных, например, при предоставлении услуги IPTV.
Схема применения функции предполагает, что порты пользователей работают в режиме «access» или «customer» и принадлежат к любой VLAN за исключением multicast-tv VLAN. Пользователи имеют возможность только получать многоадресный трафик из multicast-tv VLAN и не могут передавать данные в этой VLAN. Кроме того, в коммутаторе должен быть настроен порт-источник multicast-трафика, который должен быть участником multicast-tv VLAN.
Пример конфигурации.
- Включить фильтрацию многоадресных данных
console(config)# bridge multicast filtering
- Настроить VLAN пользователей (VID100-124), multicast-tvVLAN (VID1000), VLAN управления (VID1200)
console(config)# vlan database
console(config-vlan)# vlan 100-124,1000,1200
console(config-vlan)# exit
- Настроить порты пользователей
console(config)# interface range te1/0/1-5
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 100
console(config-if)# switchport access multicast-tv vlan 1000
console(config-if)# exit
- Настроить uplink-порт, разрешив передачу многоадресного трафика, трафика пользователей и управление
console(config)# interface te1/0/6
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 100-124,1000,1200
console(config-if)# exit
- Настроить IGMP snooping глобально и на интерфейсах, добавить привязку групп
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 1000
console(config)# ip igmp snooping vlan 100
console(config)# ip igmp snooping vlan 101
console(config)# ip igmp snooping vlan 102
…
console(config)# ip igmp snooping vlan 124
- Настроить фильтрацию незарегистрированного multicast
console(config)# interface vlan 1000
console(config-if)# bridge multicast unregistered filtering
- Настроить интерфейс управления
console(config)# interface vlan 1200
console(config-if)# ip address 192.168.33.100 255.255.255.0
console(config-if)# exit
Источник:
docs.eltex-co.ru
PIM — протокол многоадресной маршрутизации для IP-сетей, созданный для решения проблем групповой маршрутизации. PIM базируется на традиционных маршрутных протоколах (например, Border Gateway Protocol), вместо того, чтобы создавать собственную сетевую топологию. PIM использует unicast-таблицу маршрутизации для проверки RPF. Эта проверка выполняется маршрутизаторами, чтобы убедиться, что передача многоадресного трафика выполняется по пути без петель.
1. Произвести настройку сетевых параметров на ПК.
РС2 – ip address 10.3.30.2/24 gateway 10.3.30.1 - Multicast Server
РС1 – ip address 10.2.0.2/24 gateway 10.2.0.1 - Client
2. Настроить на коммутаторах VLAN, IP- адреса, порты:
SW1:
vlan database
vlan 3,30
exit
!
hostname SW1
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/23
switchport access vlan 3
exit
!
interface vlan 3
ip address 10.2.0.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.1 255.255.255.0
exit
SW2:
vlan database
vlan 4,30
exit
!
hostname SW2
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/12
switchport access vlan 4
exit
!
interface vlan 4
ip address 10.3.30.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.2 255.255.255.0
exit
3. Настроить протокол PIM на SW1, SW2:
SW1:
ip multicast-routing pim
!
interface vlan 3
ip pim
ip pim join-prune-interval 10
exit
!
interface vlan 30
ip pim
ip pim join-prune-interval 10
exit
!
ip pim dm range 224.100.0.0/24
SW2:
ip multicast-routing pim
!
interface vlan 4
ip pim
ip pim join-prune-interval 10
exit
!
interface vlan 30
ip pim
ip pim join-prune-interval 10
exit
!
ip pim dm range 224.100.0.0/24
4. Настроить любой один из протоколов динамической маршрутизации (OSPF/RIP/BGP), либо статические маршруты
SW1:
router bgp 64700
bgp router-id 1.1.1.1
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.2
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
SW2:
router bgp 64700
bgp router-id 2.2.2.2
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.1
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
5. Проверить соседство PIM и наличие всех маршрутов в таблице маршрутизации.
show ip pim neighbor
show ip bgp neighbor
6. Проверить наличия записей (*,G), (S,G) после запуска мультикаста и клиентов
show ip mroute
Источник:
docs.eltex-co.ru
PIM — протокол многоадресной маршрутизации для IP-сетей, созданный для решения проблем групповой маршрутизации. PIM базируется на традиционных маршрутных протоколах (например, Border Gateway Protocol), вместо того, чтобы создавать собственную сетевую топологию. PIM использует unicast-таблицу маршрутизации для проверки RPF. Эта проверка выполняется маршрутизаторами, чтобы убедиться, что передача многоадресного трафика выполняется по пути без петель.
RP (rendezvous point) — точка рандеву, на которой будут регистрироваться источники многоадресных потоков и создавать маршрут от источника S (себя) до группы G: (S,G).
BSR (bootsrtap router) — механизм сбора информации о RP кандидатах, формировании списка RP для каждой многоадресной группы и отправка списка в пределах домена. Конфигурация многоадресной маршрутизации на базе IPv4.
1. Произвести настройку сетевых параметров на ПК.
РС2 – ip address 10.3.30.2/24 gateway 10.3.30.1 - Multicast Server
РС1 – ip address 10.2.0.2/24 gateway 10.2.0.1 - Client
2. Настроить на коммутаторах VLAN, IP- адреса, порты:
SW1:
vlan database
vlan 3,30
exit
!
hostname SW1
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/23
switchport access vlan 3
exit
!
interface vlan 3
ip address 10.2.0.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.1 255.255.255.0
exit
SW2:
vlan database
vlan 4,30
exit
!
hostname SW2
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/12
switchport access vlan 4
exit
!
interface vlan 4
ip address 10.3.30.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.2 255.255.255.0
exit
3. Настроить протокол PIM на SW1, SW2:
SW1:
ip multicast-routing pim
!
interface vlan 3
ip pim
exit
!
interface vlan 30
ip pim
exit
!
ip pim rp-address 3.0.0.2 224.100.0.0/24
SW2:
ip multicast-routing pim
!
interface vlan 4
ip pim
exit
!
interface vlan 30
ip pim
exit
!
ip pim rp-address 3.0.0.2 224.100.0.0/24
4. Настроить любой один из протоколов динамической маршрутизации (OSPF/RIP/BGP), либо статические маршруты
SW1:
router bgp 64700
bgp router-id 1.1.1.1
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.2
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
SW2:
router bgp 64700
bgp router-id 2.2.2.2
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.1
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
Проверка соседства PIM
SW1# sh ip pim neighbor
Neighbor Address(es)
|
Interface
|
Uptime
|
Expires
|
DR priority
|
---|---|---|---|---|
3.0.0.2 | vlan30 | 00:15:56 | 00:01:22 | 1 |
SW2# sh ip pim neighbor
Neighbor Address(es)
|
Interface
|
Uptime
|
Expires
|
DR priority
|
---|---|---|---|---|
3.0.0.1 | vlan30 | 00:17:18 | 00:01:26 | 1 |
Также необходимо проверить наличие всех маршрутов в таблице маршрутизации.
Проверка наличия записей (*,G), (S,G) после запуска мультикаста и клиентов:
console_SW1# sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, X - IGMP Proxy, s - SSM Group,
C - Connected, L - Local, R - RP-bit set, F - Register flag,
T - SPT-bit set, I - Received Source Specific Host Report
Timers: Uptime/Expires
(*, 224.100.0.1), uptime: 00:00:24, expires: never, RP 3.0.0.2, Flags: SL
Incoming interface: vlan 30, RPF neighbor 3.0.0.2
Outgoing interface list: vlan 3
(10.3.30.2, 224.100.0.1), uptime: 00:00:24, expires: 00:03:06, Flags: STR
Incoming interface: vlan 30, RPF neighbor 3.0.0.2
Outgoing interface list: vlan 3
console_SW2# sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, X - IGMP Proxy, s - SSM Group,
C - Connected, L - Local, R - RP-bit set, F - Register flag,
T - SPT-bit set, I - Received Source Specific Host Report
Timers: Uptime/Expires
(*, 224.100.0.1), uptime: 00:00:04, expires: never, RP 3.0.0.2, Flags: S
Incoming interface: Null, RPF neighbor 3.0.0.2
Outgoing interface list: vlan 30
(10.3.30.2, 224.100.0.1), uptime: 00:01:09, expires: 00:02:21, Flags: STR
Incoming interface: vlan 4, RPF neighbor 0.0.0.0
Outgoing interface list: vlan 30
Источник:
docs.eltex-co.ru
PIM Source-Specific Multicast (PIM-SSM) — это вариант протокола PIM, который основан на PIM-SM и работает вместе с IGMPv3.
IGMPv3 способен отправлять от клиента запрос на присоединение не только к определенной группе, но и на получение пакетов от определенного источника. PIM-SSM указывает какие группы в мультикаст-таблице маршрутизации будут обслуживаться как SSM-группы.
Так как уже из запроса клиента известно рассылку от какого источника и какой группы хочет получать клиент, то PIM-SSM работает с использованием только SPT-деревьев.
Для SSM выделен специальный диапазон IP-адресов: 232.0.0.0/8.
IGMPv3 и MLDv2 поддерживают SSM в чистом виде.
IGMPv1/v2, MLDv1 не поддерживают SSM, но имеет место такое понятие, как SSM Mapping
На коммутаторах для поддержки SSM включается режим PIM SSM:
console(config)# ip pim ssm default
На коммутаторах в таблице не будет записей (*, G), только (S, G).
Источник:
docs.eltex-co.ru
На коммутаторах есть возможность настроить ограничение на количество одновременных мультикаст-подписок на порту
Пример настройки для порта tengigabitethernet1/0/1
interface tengigabitethernet1/0/1
multicast snooping max-groups 2
exit
Источник:
docs.eltex-co.ru
На коммутаторах есть возможность фильтрации определенных Multicast-групп на порту. Для этого необходимо воспользоваться функцией multicast snooping profile. Также необходимо настроить функционал IGMP snooping.
Например, на порту tengigabitethernet1/0/1 разрешено просматривать только MC-группу с адресом 233.99.61.1, остальные группы будут запрещены:
- Cоздать MC профиль:
multicast snooping profile IPTV
match ip 233.99.61.1
exit
- Привязать MC профиль к порту:
interface tengigabitethernet1/0/1
multicast snooping add IPTV
exit
- Настроить IGMP snooping:
bridge multicast filtering
ip igmp snooping
ip igmp snooping vlan 1
Источник:
docs.eltex-co.ru
console(config)# ip http secure-server
При включении HTTPS по умолчанию будет использоваться дефолтный самоподписанный сертификат, который лежит в первом (из двух) слоте:
console#show ip https
HTTPS server enabled. Port: 443
Certificate 1 is active.
Issued by : C= , ST= , L= , CN=0.0.0.0, O= , OU=
Valid From: Dec 21 08:47:58 2022 GMT
Valid to: Dec 21 08:47:58 2023 GMT
Subject: C= , ST= , L= , CN=0.0.0.0, O= , OU=
SHA Fingerprint: 15108A16 BB3C48AE C8BDB8A2 3D846B84 E37B2E0E
Certificate 2 is not active.
Issued by : C= , ST= , L= , CN=0.0.0.0, O= , OU=
Valid From: Dec 21 08:47:59 2022 GMT
Valid to: Dec 21 08:47:59 2023 GMT
Subject: C= , ST= , L= , CN=0.0.0.0, O= , OU=
SHA Fingerprint: 91D665C9 E134755A 67A196D2 588DFCBD 6B4D35FF
Interactive timeout: 0 days, 0 hours, 10 minutes, 0 seconds
Источник:
docs.eltex-co.ru
Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.
- Для начала необходимо указать ip-адрес radius-сервера и указать key:
console(config)# radius-server host 192.168.10.5 key test
- Далее установить способ аутентификации для входа в систему по протоколу radius:
console(config)# aaa authentication login authorization default radius local
- Установить способ аутентификации при повышении уровня привилегий:
console(config)# aaa authentication enable authorization default radius enable
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных и задать пароль на привилегированный режим. - Создать учетную запись:
console(config)# username tester password eltex privilege 15
- Задать пароль на доступ в привилегированный режим:
console(config)# enable password eltex
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Источник:
docs.eltex-co.ru
На коммутаторах MES есть возможность настроить SSH-авторизацию по ключам, помимо подключения по логину/паролю. Ниже представлены примеры настройки для серий MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32.
Пример настройки для MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32:
username tester password encrypted ab4d8d2a5f480a137067da17100271cd176607a1 privilege 15
ip ssh server
ip ssh pubkey-auth auto-login
crypto key pubkey-chain ssh
user-key tester rsa
key-string row AAAAB3NzaC1yc2EAAAADAQABAAAAgQD0rxRFG2cN
key-string row uHv0Q93p1cVfghC/wNtNvVPkE99t7Doq2tYozTh2
key-string row xxJCiGtCuvn+5ipKyVKWua//bRA33M8Zvl2+93jG
key-string row WYb3aR2p01AfalsyNyz9+230Ld86YcUF
key-string row 0aobdk61tPcjdAKQhqQGfc5/yO7JiBMvLOmIpGH/
key-string row 3Nl5nv+kRQ==
exit
exit
Обращаю внимание, что необходимо создать пользователя. Ключ (user-key) привязывается к созданному пользователю (tester). Соответсвенно имена должны быть идентичны. По умолчанию создан пользователь admin. Можно создать user-key относительно дефолтного пользователя.
PC@pc-VirtualBox:~/.ssh$ ssh tester@192.168.10.89
console# sh ip ssh
SSH Server enabled. Port: 22
RSA key was generated.
DSA(DSS) key was generated.
SSH Public Key Authentication is enabled with auto-login.
SSH Password Authentication is enabled.
Active incoming sessions:
IP address SSH username Version Cipher Auth Code
----------------- -------------- ----------- ----------- --------------
192.168.10.68 tester SSH-2.0-Ope aes128-cbc hmac-sha1
nSSH_7.2p2
Ubuntu-4ubu
ntu2.2
Отключение режима аутентификации по паролю.
Дополнительно при использовании метода авторизации по ключам, есть возможность отключить режим аутентификации по паролю:
console# configure terminal
console(config)# no ip ssh password-auth
После применения нелегитимные подключения будут запрещены. Пример такого подключения:
linux-host:~$ ssh user@10.10.10.100
user@10.10.10.100: Permission denied (publickey)
В случае же, если при включении команды no ip ssh password-auth авторизация по ключам не настроена на коммутаторе, то подключение с использованием логина/пароля по SSH останется доступным. При этом во время аутентификации будет игнорироваться имя пользователя, указанное при подключении (до @) и будет запрошено отдельно. Например:
linux-host:~$ ssh user@10.10.10.100
User Name:admin
Password:*****
console#
Источник:
docs.eltex-co.ru
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
- Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
console(config)# tacacs-server host 192.168.10.5 key secret
- Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
console(config)# aaa authentication login authorization default tacacs local
- Установить способ аутентификации при повышении уровня привилегий:
console(config)# aaa authentication enable authorization default tacacs enable
Чтобы не потерять доступ до коммутатора (в случае недоступности tacacs-сервера), рекомендуется создать учетную запись в локальной базе данных и задать пароль на привилегированный режим. - Создать учетную запись:
console(config)# username tester password eltex privilege 15
- Задать пароль на доступ в привилегированный режим:
console(config)# enable password eltex
- Разрешить ведение учета (аккаунта) для сессий управления.
console(config)# aaa accounting login start-stop group tacacs+
- Включить ведение учета введенных в CLI команд по протоколу tacacs+.
console(config)# aaa accounting commands stop-only group tacacs+
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Источник:
docs.eltex-co.ru
Функция контроля протокола ARP (ARP Inspection) предназначена для защиты от атак с использованием протокола ARP (например, ARP-spoofing – перехват ARP-трафика). Контроль протокола ARP осуществляется на основании таблицы соответствий DHCP Snooping или статических соответствий IP- и MAC-адресов, заданных для группы VLAN.
Пример настройки на основании статических соответствий IP- и MAC-адресов.
Включить контроль протокола ARP и добавить в список статическое соответствие IP- и MAC-адресов для соответствующей группы VLAN.
console(config)# ip arp inspection
console(config)# ip arp inspection vlan 398
console(config)# ip arp inspection list create test
console(config)# ip 192.168.1.34 mac-address 00:11:22:33:44:55
console(config)# exit
console(config)# ip arp inspection list assign 398 test
По умолчанию все интерфейсы «недоверенные».
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP, необходимо для интерфейса выполнить команду:
console(config-if)# ip arp inspection trust
Пример настройки на основании таблицы соответствий DHCP Snooping.
Включить контроль протокола ARP и функцию DHCP Snooping для соответствующей группы VLAN.
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 1
console(config)# ip arp inspection
console(config)# ip arp inspection vlan 1
По умолчанию все интерфейсы «недоверенные». При использовании контроля протокола ARP порт должен быть также «недоверенным» для функции DHCP Snooping.
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP и функции DHCP Snooping, необходимо для интерфейса выполнить команды:
console(config-if)# ip arp inspection trust
console(config-if)# ip dhcp snooping trust
Также можно записывать таблицу DHCP Snooping в файл для восстановления записей в случае перезагрузки устройства (необходима настроенная синхронизация системного времени по NTP/SNTP):console(config)# ip dhcp snooping database
Источник:
docs.eltex-co.ru
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
- Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 1
console(config)# ip source-guard
- Если вместо динамических привязок требуется создать статическую запись в таблице соответствия для интерфейса, например, для Tengigabitethernet 1/0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:
console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 Tengigabitethernet 1/0/1
- Включить функцию защиты IP-адреса для интерфейса Tengigabitethernet 1/0/1:
console(config-if)# ip source-guard
- Для проверки mac-адреса источника для входящего трафика используется команда ip source-guard mac-check
Так как IP Source Guard работает на основании таблицы соответствий DHCP snooping, необходимо настроить для функции DHCP Snooping доверенный порт:
console(config-if)# ip dhcp snooping trust
- Также можно записывать таблицу DHCP Snooping в файл для восстановления записей в случае перезагрузки устройства (необходима настроенная синхронизация системного времени по NTP/SNTP):
console(config)# ip dhcp snooping database
Источник:
docs.eltex-co.ru
CPU является неотъемлемой частью любого сетевого устройства, потому что берёт на себя задачи Control Plane. В данном разделе будет описание каждой очереди, дефолтные лимиты и причины их переполнения.
Traffic type |
Default rate limit (in pps) |
Description |
stack |
- |
Стековый трафик. Трафик, который попадает с Backup/Slave юнита на Master. Ограничен протокольным лимитом каждой очереди. |
http |
256 |
В данной очереди обрабатывается трафик, предназначенный для коммутатора, с 80 и 443 портами (http/https). |
telnet |
512 |
Обрабатываются Telnet подключения (порт 23) |
ssh |
512 |
Обрабатываются SSH подключения (порт 22) |
snmp |
160 |
Обрабатываются SNMP опросы (порт 161) |
ip |
1024 |
Обрабатываются входящие и исходящие ICMP пакеты |
link local |
512 |
Пакеты OSPF (Hello, DBD, LSU, LSA) |
arp |
256 |
Обрабатывается протокол ARP |
arp inspection |
256 |
Очередь для формирования записей в control-plane для функционала ARP Inpection. |
stp bpdu |
256 |
STP/RSTP BPDU |
other bpdu |
256 |
RPVST BPDU, GVRP, LLDP, LACP PDU |
routing |
256 |
Обрабатывается Route unknown трафик |
ip options |
128 |
Фрагментация пакетов (MTU exceeded) |
dhcp snooping |
128 |
Очередь для формирования записей в control-plane для функционала DHCP Snooping |
igmp snooping |
1024 |
Обрабатываются IGMP сообщения |
mld snooping |
128 |
Обрабатываются MLD сообщения |
ace |
32 |
Очередь для логирования правил в ACL |
vrrp |
64 |
Обрабатываются VRRPv2/v3 пакеты |
multicast routing |
32 |
Обрабатывается мультикастовый трафик при использовании PIM |
tcp syn |
256 |
Очередь для работы функционала Security-suite (защита от DoS-атак) |
Route Unknown
Основные причины утилизации очереди:
- Для connected-сетей. На коммутатор поступает трафик с адресами назначения, для которых нет полной записи в ARP-таблице. Коммутатор не может корректно перенаправить этот трафик, пытается добавить arp-запись в arp-таблицу для маршрутизации трафика, но хосты не отвечают. Вследствие чего весь транзитный трафик на эти хосты перехватывается на CPU, утилизация CPU в такие моменты обычно возрастает. Зачастую такое встречается у клиентов, когда на сети работают различные системы мониторинга, которые периодически с большим pps подключаются к хостам и снимают различную информацию независимо от того, включено оборудование конечного хоста или нет. Также возможны всплески в данной очереди по причине флаша мак таблицы, как правило из-за перестроения xSTP, например на какой-либо порт пришла TCN BPDU--------> флашнулась мак таблица-------> запись в ARP таблице стала невалидна--->коммутатор перехватывает трафик до момента заполнения ARP таблицы
Посмотреть с какого порта пришла TCN BPDU можно по команде sh spanning-tree в поле Number of topology changesspine-1(config)#do sh spanning-tree
*********************************** Process 0 ***********************************
Spanning tree enabled mode RSTP
Default port cost method: long
Loopback guard: Disabled
Loop guard default: Disabled
TC protection: Disabled
Root ID Priority 32768
Address e4:5a:d4:d7:8c:40
This switch is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Number of TC BPDU handled 0
Number of topology changes 1 last change occurred 00:00:36 ago
from te1/0/2
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Если наблюдается проблема со всплесками pps в очереди route unknown - то стоит обратить внимание как меняется значение Dynamic unicast в выводе sh mac address-table count. Если большое количество маков удаляется/добавляется за короткий промежуток времени, это будет дополнительным подтверждением, что проблема связана с xSTPspine-1#sh mac address-table count
Capacity : 32768
Free : 32755
Used unicast : 13
Used multicast : 0
Used IPv4 hosts : 0
Used IPv6 hosts : 0 (each IPv6 host consumes 2 entries in MAC address table)
Secure : 0
Dynamic unicast : 8
Static unicast : 0
Internal : 5
Service dynamic : 0 - Для не connected-сетей. Это обычный route unknown трафик, который попадает на коммутатор, т.е трафик, для которого нет маршрута в таблице маршрутизации. В маршрутизируемой сети должен распространяться black hole route для предотвращения описанной проблемы.
- Формирование icmp redirect сообщений. Может возникнуть при неоптимально настроенной маршрутизации трафика независимо от того, какая используется маршрутизация, статическая или динамическая. Обычно встречается в комбинированных сетях с множественным доступом. В большинстве случае понять, что загрузку очереди route unknown вызывают icmp redirect сообщения, можно по загруженным процессам IPG и 3SWF. Пример:
----------------- show tasks utilization ------------------
Task name five seconds one minute five minutes
--------- ------------ ------------ ------------
3SWF 19% 16% 16%
IPG_ 15% 14% 13%
В таске IPG формируются icmp redirect сообщения, в 3SWF осуществляется передача пакетов между канальным и сетевым уровнем, т.е в неё также попадает и обрабатывается icmp трафик. ICMP Redirect генерируются при следующих условиях:
- Интерфейс, на который поступает полезный трафик, также является выходным для этого трафика при маршрутизации (один и тот же SVI для входящего и исходящего трафика);
- IP адрес источника трафика находится в той же подсети при отправке маршрутизируемого трафика на следующий next-hop;
- На l3 интерфейсе включена отправка icmp redirect сообщений (по умолчанию включено).
Для большинства сетей хорошей практикой является отключение icmp redirect на всех l3 интерфейсах. Практического применения у данного функционала в текущих реалиях нет, рекомендуется отключать его на всех l3 интерфейсах коммутатора. Отключается в контексте ip интерфейса:spine-1#sh ip interface
IP Address I/F I/F Status Type Directed Prec Redirect Status
admin/oper Broadcast
------------------ ------------- ---------- ------- --------- ---- -------- ------
172.16.0.1/24 vlan 10 UP/UP Static disable No enable Valid
console#conf
console(config)#interface ip 172.16.0.1
console(config-ip)#no ip redirects
В данном случае необходимо понимать, что периодический рост route unknown - это обычное явление в эксплуатационной сети, в данную очередь попадает полезный трафик для формирования соответствующих записей в control-plane и аппаратного перенаправления трафика.
to be continued...
Источник:
docs.eltex-co.ru
На коммутаторах MES реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
console(config)# security-suite enable
Настроить на порту порог:
console(config)# interface te 1/0/1
console(config-if)# security-suite dos syn-attack 200 192.168.11.0 /24
Число подключений в секунду от 199 до 1000. В примере рассматривается 200
Посмотреть security-suite можно командой show security-suite configuration.
console# show security-suite configuration
Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled
Denial Of Service SYN Attack
Interface IP Address SYN Rate (pps)
-------------- -------------------- -----------------------
te1/0/1 192.168.11.0/24 200
Martian addresses filtering
Reserved addresses: disabled
Configured addresses:
SYN filtering
Interface IP Address TCP port
-------------- ---------------------- --------------------
ICMP filtering
Interface IP Address
-------------- ----------------------
Fragmented packets filtering
Interface IP Address
-------------- ----------------------
Источник:
docs.eltex-co.ru
Для предотвращения появления DHCP серверов на клиентских портах нужно использовать ACL.
Пример создания ACL. Порты 1-9 клиентские. Порт 10 uplink
1) Создаем IP ACL для запрета трафика bootpc (port 68). В конце ACL добавляем правило для пропуска остального трафика. ACL работает только для входящего в порт трафика:
ip access-list extended dhcp
deny udp any any any bootpc
permit ip any any any any
exit
2) Назначаем ACL на клиентские порты:
interface range TengigabitEthernet0/1-9
service-acl input dhcp
Источник:
docs.eltex-co.ru
Отключить DHCP client в vlan 1interface vlan 1
no ip address dhcp
Включить DHCP-сервер и настроить пул выдаваемых адресов:ip dhcp server
ip dhcp pool network Test
address low 192.168.101.10 high 192.168.101.254 255.255.255.0
default-router 192.168.101.2
dns-server 10.10.10.10
exit
Задать для интерфейса VLAN101 IP адрес и сетевую маску (это будет адрес DHCP сервера):interface vlan 101
ip address 192.168.101.1 255.255.255.0
exit
Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, te1/0/1):interface Tengigabitethernet 1/0/1
switchport access vlan 101
exit
Источник:
docs.eltex-co.ru
Для этого необходимо в режиме настройки Ethernet интерфейса или группы портов выполнить следующую команду:
service-acl input MAC-ACL IPv4-ACL
Где
- MAC-ACL – имя списка ACL на базе MAC;
- IPv4-ACL – имя списка ACL на базе IPv4.
Источник:
docs.eltex-co.ru
Имеется задача запретить инициировать TCP-сессии из сети, при этом оставить возможность отвечать на запрошенные соединения.
На интерфейсе создан следующий ACL:permit tcp 192.168.50.0 0.0.0.255 any any 1024-65535 ace-priority 20
Данное правило запрещает открывать сессии хостам из сети 192.168.50.0/24 для большинства административных сетевых служб, использующих общеизвестные (well-known) порты (Telnet, SSH, TACACS). В то же время, ответить на запрос такого соединения хосты из данной сети могут (диапазон зарегистрированных и динамических портов разрешён). Однако далеко не все службы используют диапазон общеизвестных портов для установки соединения, таким образом в полном объеме поставленная задача не выполняется.
Существует другой способ разрешить прохождение только ответного (с точки зрения хоста из сети 192.168.50.0/24) трафика - указать флаги (flags) в правиле ACL в качестве условия соответствия.
Если для срабатывания правила флаги должны присутствовать в сегменте, требуется указать их в следующем виде:permit tcp [...] match-all +urg, +ack, +psh, +rst, +syn, +fin
Если должен отсутствовать:permit tcp [...] match-all -urg, -ack, -psh, -rst, -syn, -fin
Для реализации поставленной задачи, правила будут выглядеть следующим образом:
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +rst
permit tcp 192.168.50.0 0.0.0.255 any any any match-all +ack
Таким образом, прохождение TCP-пакетов от хостов 192.168.50.0/24, содержащих флаги ACK или RST будет разрешено, а установка новых сессий (когда сегменте содержит только флаг SYN) - запрещена.
Источник:
docs.eltex-co.ru
Доступ к коммутатору можно ограничить при помощи Management ACL.
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).
1. Создать Management ACL с указанием IP-адреса источника:
console#
configure
console(config)#
management access-list IP
console(config-macl)#
permit ip-source 192.168.1.12
console(config-macl)#
exit
2. Применить созданный Management ACL:
console(config)# management access-class IP
Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show
:
console# show management access-list
IP
----
permit ip-source 192.168.1.12
! (Note: all other access implicitly denied)
console-only
------------
deny
! (Note: all other access implicitly denied)
console# show management access-class
Management access-class is enabled, using access-list IP
Источник:
docs.eltex-co.ru
Механизм QoS (Quality of service – качество обслуживания), реализованный в коммутаторах, позволяет организовать 8 выходных очередей для пакетов в зависимости от типа передаваемых данных. Все очереди в заводской конфигурации работают по механизму Strict Priority.
По умолчанию на всех портах коммутатора используется организация очереди пакетов по методу FIFO: первый пришел – первый ушёл (First In – First Out).
На коммутаторе доступно несколько режимов работы QoS.
qos trust cos / dscp / dscp-cos
- cos - доверие полю 802.1p в заголовке 802.1q
- dscp - доверие полю DSCP в IP-заголовке
- cos/dscp - если пакет имеет IP-заголовок, то доверие DSCP, если это L2-пакет (например PPPoE), то доверие cos.
Посмотреть текущий режим доверия можно при помощи команды show qosconsole# sh qos
Qos: Basic mode
Basic trust: dscp
По умолчанию настроено доверие DSCP
Посмотреть соответствие DSCP выходной очереди можно командой:console# show qos map dscp-queue
Dscp-queue map:
Dscp-queue map:
d1 : d2 0 1 2 3 4 5 6 7 8 9
-------------------------------------
0 : 02 01 01 01 01 01 01 01 01 03
1 : 03 03 03 03 03 03 07 04 04 04
2 : 04 04 04 04 07 05 05 05 05 05
3 : 05 05 07 06 06 06 06 06 06 06
4 : 07 08 08 08 08 08 08 08 07 07
5 : 07 07 07 07 07 07 07 07 07 07
6 : 07 07 07 07
По вертикали отображаются десятки, по горизонтали - единицы. Например, пакет с DSCP 36 попадёт в 6 выходную очередь
Изменить стандартные параметры можно при помощи настроек
qos map dscp-queue <dscp-list> to <queue number>
Посмотреть соответствие cos выходной очереди можно командой:show qos interface queuing
......
Cos-queue map:
cos-qid
0 - 1
1 - 1
2 - 2
3 - 5
4 - 4
5 - 7
6 - 7
7 - 6
Изменить стандартные параметры можно при помощи настроек
wrr-queue cos-map <queue number> <cos values>
Источник:
docs.eltex-co.ru
Попадая в коммутатор, пакет помещается в буфер, под него выделяется дескриптор (в дескрипторе написано в каких ячейках памяти (буферах) лежат данные пакета).
Буфер - это ячейки памяти, где лежат байты, из которых состоит пакет. В буфере пакет находится с момента прихода на входной интерфейс до момента выход с коммутатора. 1 буфер = 256 байт. В зависимости от размера пакет занимает разное кол-во буферов.
Если на устройстве включен port jumbo-frame, на 1 дескриптор выделяется до 40 буферов, в зависимости от размера пакета. (MTU 10240)
Если на устройстве выключен port jumbo-frame на 1 дескриптор выделяется до 8 буферов, в зависимости от размера пакета. (MTU 1536)
Дескриптор - это "карточка" со служебной информацией, которая прикреплена к каждому пакету. Там написан его размер, с какого порта пришёл и на какой должен уйти, класс трафика, как его нужно поменять и т.д. Эти данные хранятся в памяти - не в буферной вместе с пакетами, но тоже физически ограниченной.
Если расход буферов зависит от фактического размера пакетов и глобального MTU, то расход дескрипторов зависит от типа трафика (unicast, multicast) и количества портов, на которое нужно его отправить.
Когда через устройство проходят большие unicast пакеты (например, jumbo-frame), то на один дескриптор приходится несколько буферов. Соответственно, в такой ситуации буферы исчерпываются быстрее, чем дескрипторы. Когда чип решает, что пакет нужно отправить на N портов (multicast, broadcast), он аллоцирует (т.е. дополнительно потребляет) N-1 дескрипторов, которые все указывают на одни и те же буферы. Т.е. когда устройство передаёт много мультикаста, то дескрипторы могут исчерпываться быстрее чем буферы. Также дескрипторы выделяются под отзеркалированный трафик (SPAN/RSPAN).
Таким образом, в зависимости от характера трафика в сети (большие пакеты, multicast), узким местом может быть кол-во либо буферов, либо дескрипторов. Из-за этого чип позволяет настраивать лимиты на выходных очередях (qos tail-drop profile) как на буферы (лимит на буферы не настраивается напрямую, а задаётся как лимит дескрипторов с расчётом, что каждый пакет имеет размер MTU) , так и на дескрипторы (команды queue 1 limit xxx, port-limit yyy).
Алгоритм постановки в выходную очередь (Enqueuing) и Tail-Dropping:
В результате обработки чипом пакета дескриптору назначается выходной порт, с которого должно быть передано содержимое соответствующих буферов. На один порт может быть назначена передача бОльшего кол-ва пакетов, чем может обеспечить пропускная способность порта, поэтому дескрипторы выстраиваются в выходные FIFO-очереди. На каждом порту есть 8 очередей, куда дескрипторы помещаются в соответствии со своим TC (Traffic Class) - внутренней хар-кой дескриптора, определяемой на основе различных QoS-механизмов (доверие CoS и DSCP, Policy Map и т.д.). За порядок выбора пакетов из 8-ми очередей на передачу отвечает следующий механизм в конвеере - планировщик (Scheduler), его алгоритмы здесь не рассматриваются.
Т.к. количество дескрипторов и буферов, одновременно выделенных под пакеты, ограничено, то существование выходных очередей создаёт риск исчерпания всех ресурсов, если большое количество трафика будет перенаправляться на один порт и надолго "застревать" в очереди. Это может привести к невозможности аллоцировать дескрипторы или буферы при поступлении новых пакетов на порты устройства (т.н. ошибки ifInDiscards, которые можно посмотреть командой show rmon statistics gigabitethernet 0/xxx). Для противодействия этому существует алгоритм Tail-Dropping (дропов в конце очереди), который выполняется при постановке каждого дескриптора в очередь, и задачей которого является определить - может ли пакет быть поставлен в очередь на отправку или должен быть сразу же отброшен. Алгоритм Tail-Drop'ов представляет собой сравнение счётчиков утилизации дескрипторов и буферов с настроенными порогами в определённом порядке. Существует несколько видов счётчиков и соответствующих им порогов, которые проверяются алгоритмом:
Глобальный счётчик дескрипторов/буферов (на всех портах и очередях). Не настраивается.
Глобальный счётчик multicast/unicast дескрипторов. Не настраивается.
Глобальный счётчик Ingress и Egress зеркалируемых дескрипторов. Настраивается командами qos tail-drop mirror-limit rx aaa и qos tail-drop mirror-limit tx bbb.
Счётчик дескрипторов/буферов на порту (во всех очередях). Настраивается командой port-limit yyy.
Счётчик дескрипторов/буферов в очереди. Настраивается командой queue 1 limit xxx.
В самом простом варианте алгоритма сравнение идёт в том порядке, в котором перечислены счётчики. Если счётчик текущего потребления ресурсов меньше, чем его настроенный порог, то происходит переход к сравнению следующего счётчика. Если хотя бы один счётчик превышает порог - пакет отбрасывается, и увеличивается счётчик Tail Drop'ов на соответствующем порту и очереди. Если все счётчики находятся в пределах настроенных порогов - пакет ставится в выходную очередь.
Каждому счётчику соответствует порог, необходимый для соблюдения баланса ресурсов на своём уровне. Порог на очереди нужен, чтобы пакеты из одной очереди не потребляли все доступные ресурсы на порту, порог на порт - чтобы все глобальные ресурсы не занимал один порт на устройстве и т.д.
Shared (разделяемые) ресурсы:
В расширенном варианте алгоритма добавляется ещё один глобальный счётчик - т.к. называемые Shared (разделяемые) ресурсы. Он предоставляет пакету "второй шанс" попасть в выходную очередь, если тот вышел за пороги дескрипторов/буферов на порту или очереди (при превышении глобальных счётчиков этого шанса не будет). Если для очереди, в которую ставится пакет, разрешено использование Shared-ресурсов, то производится увеличение Shared-счётчика и сравнение его с порогом разделяемых ресурсов . Таким образом, использование Shared-ресурсов предоставляет дополнительную квоту на постановку определённого кол-ва пакетов в очередь на отправку сверх настроенных порогов (команда queue 1 limit xxx with-sharing/without-sharing). Эта общность дескрипторов/буферов в разных очередях на разных портах также обозначается как "Shared Pool", и ограничена общим порогом на буферы и дескрипторы ("размер Shared Pool'а"). Кол-во дескрипторов, берущихся из Shared Pool, равно кол-ву заданных для порта дескрипторов минус кол-во заданных для очереди дескрипторов.
Источник:
docs.eltex-co.ru
На коммутаторах MES есть возможность просмотра статистики QoS по выходным очередям. В статистике можно посмотреть количество переданных и отброшенных пакетов в выходных очередях.
Для включения статистики в режиме глобальной конфигурации требуется выполнить:console(config)# qos statistics interfaces
Для просмотра статистики по всем очередям на интерфейсе необходимо воспользоваться командой:console# show interfaces tengigabitethernet 1/0/1
------------------ show interfaces te1/0/1 ------------------
TenGigabitEthernet1/0/1 is down (not connected)
Interface index is 1
Hardware is TenGigabitEthernet, MAC address is e8:28:c1:36:91:c1
Interface MTU is 1500
Link is down for 0 days, 0 hours, 59 minutes and 51 seconds
Flow control is off, MDIX mode is off
15 second input rate is 0 Kbit/s
15 second output rate is 0 Kbit/s
45055 packets input, 4517604 bytes received
6522 broadcasts, 37754 multicasts
0 input errors, 0 FCS
0 oversize, 0 internal MAC
0 pause frames received
9650 packets output, 2181148 bytes sent
6657 broadcasts, 2357 multicasts
0 output errors, 0 collisions
0 excessive collisions, 0 late collisions
0 pause frames transmitted
Output queues: (queue #: packets passed/packets dropped)
1: 0/0
2: 0/0
3: 0/0
4: 0/0
5: 0/0
6: 0/0
7: 0/0
8: 0/0
В левом столбце отображается кол-во переданных пакетов, в правом - отброшенных.
Также на коммутаторах MES есть возможность просмотра статистики по отброшенным пакетам в буфере. Статистику можно посмотреть командой (искомый параметр - "dropped)":console# show rmon statistics tengigabitethernet 1/0/1
Port te1/0/1
Dropped: 0
Octets: 0 Packets: 0
Broadcast: 0 Multicast: 0
CRC Align Errors: 0 Collisions: 0
Undersize Pkts: 0 Oversize Pkts: 0
Fragments: 0 Jabbers: 0
64 Octets: 0 65 to 127 Octets: 0
128 to 255 Octets: 0 256 to 511 Octets: 0
512 to 1023 Octets: 0 1024 to max Octets: 0
Источник:
docs.eltex-co.ru
Доступно расширение дескрипторов для очередей и увеличение дескрипторов порта. Максимальное значение - 11480.
Пример увеличения буферов для всех очередей:
console(config)# qos tail-drop profile 1
console(config-tdprofile)# queue 1 limit 400
console(config-tdprofile)# queue 2 limit 400
console(config-tdprofile)# queue 3 limit 400
console(config-tdprofile)# queue 4 limit 400
console(config-tdprofile)# queue 5 limit 400
console(config-tdprofile)# queue 6 limit 400
console(config-tdprofile)# queue 7 limit 400
console(config-tdprofile)# queue 8 limit 400
console(config-tdprofile)# port-limit 400
console(config-tdprofile)# exit
Для того, чтобы назначить созданный профиль на интерфейс, требуется ввести:
interface tengigabitethernet 1/0/1
qos tail-drop profile 1
exit
Перед расширением дескрипторов рекомендуем ознакомиться со статьей: "Описание механизма обработки трафика в буфере на MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32".
Расширение не рекомендуем производить до максимальных значений, чтобы не возникли дропы в буфере (с методикой просмотра дропов в буфере можете ознакомиться в статье: "Просмотр статистики QoS по выходным очередям на MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32"). При расширении дескрипторов рекомендуем руководствоваться следующими принципами (расположены в порядке уменьшения важности):
- Главное - отсутствие дропов в буфере;
- Следующим этапом добиться отсутствия дропов в приоритетных очередях;
- Следующим этапом добиться отсутствия дропов в низкоприоритетной очереди (для интернет трафика). Данный пункт опционален.
Источник:
docs.eltex-co.ru
Существует возможность добавлять dscp, cos, устанавливать выходную очередь, назначать VLAN для входящего в интерфейс трафика. Функционал работает только в режиме qos advanced.
Пример назначения DSCP 14 и cos 5 для всего трафика, входящего в интерфейс gigabitethernet 1/0/4, установка для этого трафика 3 выходной очереди:
qos advanced ports-trusted
qos advanced-mode trust dscp
mac access-list extended DSCP
permit any any vlan 966
exit
class-map class_DSCP
match access-group DSCP
exit
policy-map pol_DSCP
class class_DSCP
set dscp 14
set cos 5
set queue 3
exit
exit
!
interface gigabitethernet 1/0/4
service-policy input pol_DSCP default-action permit-any
exit
Источник:
docs.eltex-co.ru
Существует возможность ограничения скорости входящего трафика при помощи Policy-map
Пример ограничения скорости во vlan 10. Ограничение срабатывает при передаче трафика с порта gigabitethernet 1/0/24 на другие порты коммутатора.
1) Глобально включить qos advanced
2) Создать MAC ACL для фильтрации пакетов, принадлежащих vlan 10mac access-list extended vlan10
permit any any vlan 10
exit
3) Создать список критериев классификации трафикаclass-map test-сlass
match access-group vlan10
exit
4) Создать стратегию классификации трафика. Определить шаблон настроек, который позволяет ограничить полосу пропускания канала 10 Мбит/с и, в то же время, гарантировать определенную скорость передачи данных. exceed-action drop - отбросить пакет при превышении полосы. policy-map test-policy
class test-class
police 10000 19173960 exceed-action drop
exit
exit
5) Назначить стратегию классификации трафика на порт tengigabitethernet 1/0/24interface tengigabitethernet 1/0/24
service-policy input test-policy default-action permit-any
Примечание: Без опции default-action permit-any весь трафик, не попадающий под ACL, будет отбрасываться.
Ограничение скорости при помощи aggregate-policer. Позволяет одну агрегированную политику с настроенным лимитом привязать к нескольким policy-map.
Пример настройки:qos advanced
!
mac access-list extended "vlan10"
permit any any vlan 10 ace-priority 20
exit
!
mac access-list extended "vlan20"
permit any any vlan 20 ace-priority 20
exit
!
qos aggregate-policer agg_pol 10000 3000 exceed-action drop
!
class-map class_test1
match access-group "vlan10"
exit
!
class-map class_test2
match access-group "vlan20"
exit
!
policy-map pol_test1
class class_test1
police aggregate agg_pol
exit
exit
!
policy-map pol_test2
class class_test2
police aggregate agg_pol
exit
exit
!
interface tengigabitethernet1/0/1
service-policy input pol_test1 default-action permit-any
exit
!
interface tengigabitethernet1/0/2
service-policy input pol_test2 default-action permit-any
exit
Настройка сбора статистики работы policy:
1 )Для aggregate-policerqos statistics aggregate-policer agg_pol
2) Для policy в самом policy-mapinterface gi0/1
qos statistics policer class_test1 pol_test1
Просмотр статистики:show qos statistics
Источник:
docs.eltex-co.ru
Существует возможность поместить трафик в определенную выходную очередь с помощью policy.
Пример назначения очереди. Такая policy применяется на вход порта te1/0/24, трафик попадет в выходную очередь порта назначения.
1) Глобально включить qos advanced
2) Создать MAC ACL для фильтрации пакетов, принадлежащих vlan 10mac access-list extended test
permit any any
exit
3) Создать список критериев классификации трафика
class-map test-сlass
match access-group test
exit
4) Создать стратегию классификации трафика. Определить шаблон настроек, который позволяет поместить трафик в определенную очередь на выходе с порта.policy-map test-policy
class test-class
set queue 5
exit
exit
5) Назначить стратегию классификации трафика на порт te1/0/24interface gigabitethernet 1/0/24
service-policy input test-policy default-action permit-any
Примечание: Без опции default-action permit-any весь трафик, не попадающий под ACL, будет отбрасываться.
Просмотр статистики выходного интерфейса для данного классифицированного трафика трафика:
show interfaces (для отображения статистики по очередям необходимо включить настройку qos statistics interface)
Источник:
docs.eltex-co.ru
Для настройки максимального количества MAC адресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# port security mode max-addresses
- Задать максимальное количество адресов, которое может изучить порт, например, 1:
console(config-if)# port security max 1
- Включить функцию защиты на интерфейсе:
console(config-if)# port security
Источник:
docs.eltex-co.ru
BGP (Border Gateway Protocol – протокол граничного шлюза) является протоколом маршрутизации между автономными системами (AS). Основной функцией BGP-системы является обмен информацией о доступности сетей с другими системами BGP. Информация о доступности сетей включает список автономных систем (AS), через которые проходит эта информация. BGP является протоколом прикладного уровня и функционирует поверх протокола транспортного уровня TCP (порт 179). После установки соединения передаётся информация обо всех маршрутах, предназначенных для экспорта. В дальнейшем передаётся только информация об изменениях в таблицах маршрутизации.
Функционал BGP на коммутаторах MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32 предоставляется по лицензии. Для получения лицензии нужно обратиться в коммерческий отдел.
Рассмотрим настройку BGP на примере вышеприведенной схемы:
1) Настроить на коммутаторах VLAN, порты:
SW1:
Отключаем STP, настраиваем фильтрацию BPDU-сообщений:console(config)# no spanning-tree
console(config)# spanning-tree bpdu filtering
Добавляем VLAN во vlan database:console(config)# vlan database
console(config)# vlan 30
Настраиваем порты, добавляем VLAN в разрешенные, запрещаем прохождение дефолтного VLAN для избежания петли:console(config)# interface tengigabitethernet1/0/11
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 30
console(config-if)# switchport forbidden default-vlan
2) Настраиваем IP-адреса на VLAN:console(config)# interface vlan 30
console(config-if)# ip address 3.0.0.1 255.255.255.0
SW2:console(config)# no spanning-tree
console(config)# spanning-tree bpdu filtering
console(config)# vlan database
console(config)# vlan 30
console(config)# interface tengigabitethernet1/0/11
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 30
console(config-if)# switchport forbidden default-vlan
console(config)# interface vlan 30
console(config-if)# ip address 3.0.0.2 255.255.255.0
3) Настроить BGP на коммутаторах в соответствующих AS:
SW1:
Включаем маршрутизацию по протоколу BGP. Задаем идентификатор AS и переходит в режим её конфигурирования.console(config)# router bgp 64700
Задаём идентификатор BGP-маршрутизатора console(router-bgp)# bgp router-id 1.1.1.1
Указываем тип IPv4 Address Family и переходим в режим её конфигурированияconsole(router-bgp)# address-family ipv4 unicast
Включаем редистрибьюцию connected-сетей в BGPconsole(router-bgp-af)# redistribute connected
Добавляем BGP-соседа и переходим в режим его конфигурированияconsole(router-bgp)# neighbor 3.0.0.2
Задаём номер автономной системы, в которой находится BGP-соседconsole(router-bgp-nbr)# remote-as 64701
Указывает тип IPv4 Address Family для BGP-соседа (по умолчанию активен тип IPv4 AF глобально и для соседей)console(router-bgp-nbr)# address-family ipv4 unicast
Для SW2 настраивается аналогично.router bgp 64701
bgp router-id 2.2.2.2
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.1
remote-as 64700
address-family ipv4 unicast
exit
exit
Примечания:
1) Для подмены значения атрибута NEXT_HOP на локальный адрес маршрутизатора используется команда console(router-bgp-nbr)# next-hop-self
Настройка актуальна при приеме маршрута от eBGP-соседа из другой AS и дальнейшей отправке этого маршрута внутри AS другим iBGP-соседям.
Диагностика протокола BGP
show ip bgp - таблица BGP-маршрутов
show ip bgp neighbor - отображение информации о настроенных BGP-соседях
clear ip bgp - переустанавливает соединения с BGP-соседями, очищая принятые от них маршруты.
Источник:
docs.eltex-co.ru
Multicast BGP позволяет разделить трафик Unicast и Multicast и пустить его по разным маршрутам.
В случае использования mBGP создается отдельная таблица маршрутизации для мультикаст-трафика.
Пример настройки SW1 для данной схемы:
Отключаем STP, добавляем vlan в database, настраиваем порты и IP-адреса, включаем PIMconsole(config)# no spanning-tree
console(config)# vlan 10,20console(config)# interface tengigabitethernet1/0/1
console(config-if)# switchport access vlan 10console(config)# interface tengigabitethernet1/0/2
console(config-if)# switchport access vlan 20console(config)# interface vlan 10
console(config-if)# ip address 1.1.1.1 255.255.255.252
console(config-if)# ip pimconsole(config)# interface vlan 20
console(config-if)# ip address 2.2.2.1 255.255.255.252
console(config-if)# ip pimconsole(config)# interface loopback 1
console(config-if)# ip address 4.4.4.4 255.255.255.255
Включаем PIM глобальноconsole(config)# ip multicast-routing pim
Настраиваем BGPconsole(config)# router bgp 64100
console(config-bgp)# bgp router-id 4.4.4.4
Включаем Unicast и Multicast AF глобально для BGPconsole(config-bgp)# address-family ipv4 unicast
console(config-bgp-af)# exitconsole(config-bgp)# address-family ipv4 multicast
console(config-bgp-af)# exit
Настраиваем соседейconsole(config-bgp)# neighbor 1.1.1.2
console(config-bgp-nbr)# remote-as 64100
console(config-bgp-nbr)# update-source vlan 10
Включаем AF multicast на соседе, от данного соседа будут приниматься только мультикаст-маршруты в отдельную таблицу маршрутизации. Для использования AF multicast на соседе она должна быть включена глобально.console(config-bgp-nbr)# address-family ipv4 multicast
console(config-bgp-nbr-af)# exit
console(config-bgp-nbr)# exit
Настраиваем второго соседа аналогично. Для данного соседа разрешена только AF unicast.console(config-bgp)# neighbor 2.2.2.1
console(config-bgp-nbr)# remote-as 64100
console(config-bgp-nbr)# update-source vlan 20
console(config-bgp-nbr)# address-family ipv4 unicast
console(config-bgp-nbr-af)# exit
console(config-bgp-nbr)# exit
console(config-bgp)# exit
Задаем PIM RP-адресconsole(config)# ip pim rp-address 1.1.1.1
После включения AF Multicast проверка RPF PIM происходит по таблице мультакст-маршрутов.
Диагностика:
show ip bgp all all - показывает вывод обоих таблиц маршрутизации
sh ip bgp all all neighbors - показывает вывод BGP-соседей для обоих AF
Источник:
docs.eltex-co.ru
В версии ПО 6.4.1.2 добавлена возможность активировать/деактивировать маршрут, что позволяет динамически менять таблицу маршрутизации, в зависимости от состояния track и доступности хоста указанного в нем
1. Настроить BGP:
R1interface vlan 4050
ip address 10.10.10.1 255.255.255.248
!
router bgp 1
bgp router-id 10.10.10.1
address-family ipv4 unicast
network 10.10.10.0 mask 255.255.255.248
exit
!
neighbor 10.10.10.2
remote-as 1
fall-over bfd
address-family ipv4 unicast
exit
exit
exit
R2interface vlan 4050
ip address 10.10.10.2 255.255.255.248
!
router bgp 1
bgp router-id 10.10.10.2
address-family ipv4 unicast
network 10.10.10.0 mask 255.255.255.248
exit
!
neighbor 10.10.10.1
remote-as 1
fall-over bfd
address-family ipv4 unicast
exit
exit
exit
2. Настроить prefix-list и привязать его к route-map
R1ip prefix-list PL_DEFAULT_ROUTE seq 5 permit 0.0.0.0/0
route-map RM_DEFAULT_ROUTE 10 permit
match ip address prefix-list PL_DEFAULT_ROUTE
exit
3. Добавить настройку default-originate route-map для анонсирования дефолтного маршрута соседу
R1R1(config)#router bgp
R1(router-bgp)#neighbor 10.10.10.2
R1(router-bgp-nbr)#address-family ipv4 unicast
R1(router-bgp-nbr-af)#default-originate route-map PL_DEFAULT_ROUTE
4. Создать IP SLA track и сделать привязку статического маршрута к номеру трека
R1ip sla 1
icmp-echo 172.21.251.1 source-ip 10.10.10.1
exit
exit
ip sla schedule 1 life forever start-time now
track 1 ip sla 1 state
exit
ip route 0.0.0.0 /0 172.21.251.1 track 1
Хост 172.21.251.1 пока недоступен
Проверим таблицу маршрутизации R1; R2 и состояние track на R1:
R1R1#sh ip route address 0.0.0.0
Maximum Parallel Paths: 1 (1 after reset)
Load balancing: src-dst-mac-ip
IP Forwarding: enabled
Codes: > - best, C - connected, S - static,
R - RIP,
O - OSPF intra-area, OIA - OSPF inter-area,
OE1 - OSPF external 1, OE2 - OSPF external 2,
B - BGP, i - IS-IS, L1 - IS-IS level-1,
L2 - IS-IS level-2, ia - IS-IS inter area
R1#show track
Object Object Operation Operation Up Delay Down Delay Delay Interval
Number State Type Number Remainder
------- ------- ---------- ---------- -------- ---------- --------------
1 down icmp-echo 1 0 0 0
R2R2#show ip route bgp
Maximum Parallel Paths: 1 (1 after reset)
Load balancing: src-dst-mac-ip
IP Forwarding: enabled
Codes: > - best, C - connected, S - static,
R - RIP,
O - OSPF intra-area, OIA - OSPF inter-area,
OE1 - OSPF external 1, OE2 - OSPF external 2,
B - BGP, i - IS-IS, L1 - IS-IS level-1,
L2 - IS-IS level-2, ia - IS-IS inter area
B 172.21.251.0/24 [200/0] via 10.10.10.1, 00:34:32, vlan 4050
5. Восстанавливаем связность с указанным в IP SLA хостом, в примере 172.21.251.1, и проверяем таблицы маршрутизации
R1R1#show track
Object Object Operation Operation Up Delay Down Delay Delay Interval
Number State Type Number Remainder
------- ------- ---------- ---------- -------- ---------- --------------
1 up icmp-echo 1 0 0 0
R1#sh ip route address 0.0.0.0
Maximum Parallel Paths: 1 (1 after reset)
Load balancing: src-dst-mac-ip
IP Forwarding: enabled
Codes: > - best, C - connected, S - static,
R - RIP,
O - OSPF intra-area, OIA - OSPF inter-area,
OE1 - OSPF external 1, OE2 - OSPF external 2,
B - BGP, i - IS-IS, L1 - IS-IS level-1,
L2 - IS-IS level-2, ia - IS-IS inter area
S 0.0.0.0/0 [1/4] via 172.21.251.1, 00:00:24, vlan 2
R2R2#sh ip route address 0.0.0.0
Maximum Parallel Paths: 1 (1 after reset)
Load balancing: src-dst-mac-ip
IP Forwarding: enabled
Codes: > - best, C - connected, S - static,
R - RIP,
O - OSPF intra-area, OIA - OSPF inter-area,
OE1 - OSPF external 1, OE2 - OSPF external 2,
B - BGP, i - IS-IS, L1 - IS-IS level-1,
L2 - IS-IS level-2, ia - IS-IS inter area
B 0.0.0.0/0 [200/0] via 10.10.10.1, 00:00:07, vlan 4050
R2#sh ip bgp 0.0.0.0
BGP routing table for 0.0.0.0/0, version 24
Local
10.10.10.1 from 10.10.10.1 (10.10.10.1)
Origin IGP, localpref 100, metric 0, internal, best
После того, как хост 172.21.251.1 перестанет быть доступен, данный маршрут будет деактивирован, соответственно удален из таблицы маршрутизации и не будет передан
К track можно привязать не только дефолтный, но и статический маршрут, для его активации необходимо добавить в настройки:
R1R1(config)#router bgp
R1(router-bgp)#address-family ipv4 unicast
R1(router-bgp-af)#redistribute static
Источник:
docs.eltex-co.ru
В протокол BGP возможно перераспределить маршруты других протоколов динамической маршрутизации, статических маршрутов, а также добавить connected-сети.
Редистрибьюция настраивается в рамках Address Family:
Анонсирование определенной подсети в BGP:
console(router-bgp-af)# network 20.20.20.0 mask 255.255.255.0
Анонсирование connected-сетей
console(router-bgp-af)# redistribute connected
Импорт маршрутов RIP в BGP
console(router-bgp-af)# redistribute rip
Анонсирование статических маршрутов, добавленных на коммутаторе
console(router-bgp-af)# redistribute static
Импорт маршрутов OSPF в BGP
console(router-bgp-af)# redistribute ospf
Возможно использовать фильтрацию передаваемых маршрутов при помощи ACL (на примере OSPF):
console(config)#ip access-list 1 permit 20.20.20.0/24
console(router-bgp-af)# redistribute ospf filter-list 1
Также возможно фильтровать на основании метрик.
Источник:
docs.eltex-co.ru
Протокол BFD позволяет быстро обнаружить неисправности линков и оперативно перестраивать таблицу маршрутизации, удаляя неактуальные маршруты. BFD может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP.
В текущей версии ПО реализована работа только с протоколом BGP.
Добавить BFD-соседа:console(config)# bfd neighbor ip_addr interval int min-rx min multiplier mult_num
- int – минимальный интервал передачи для обнаружения ошибки;
- min – минимальный интервал приёма для обнаружения ошибки.
- mult_num – количество потерянных пакетов до разрыва сессии
Пример:console(config)#bfd neighbor 1.1.1.1 interval 300 min-rx 300 multiplier 3
Включить протокол BFD на BGP-соседе:console(router-bgp-nbr)# fall-over bfd
Диагностика протокола BFD:show ip bfd neighbors
Источник:
docs.eltex-co.ru
Функционал Route reflectors (RR) позволяет избежать необходимости создания full mesh топологии между всеми iBGP-соседями, всем iBGP-соседям получить все iBGP-маршруты в AS, а также предотвратить образование петель
- Маршрут, полученный от RR-клиента перенаправляется всем остальным RR-клиентам и не-клиентам
- Маршрут, полученный от не-клиента перенаправляется всем RR-клиентам, но не перенаправляется другим не-клиентам
- Маршрут, полученный от eBGP-соседа перенаправляется всем RR-клиентам и не-клиентам
RR настраивается только на RR-сервере:
Включить пересылку маршрутов, полученных от reflector-клиента, другим BGP-соседямconsole(router-bgp)# bgp client-to-client reflection
Задать идентификатор кластера BGP-маршрутизатораconsole(router-bgp)# bgp cluser-id ip_add
Назначить BGP-cоседа Route-Reflector клиентом:console(router-bgp-nbr-af)# route-reflector-client meshed
meshed - параметр выставляется, если используется mesh-топология. При получении от такого клиента BGP-маршрутов они не будут пересылаться другим клиентам.
BGP-маршрутизатор является route-reflector'ом, если хотя бы один его сосед сконфигурирован как route-reflector клиент.
Соберем стенд из 3 коммутаторов:
и настроим следующую конфигурацию:
SW1
sw1#sh run
vlan database
vlan 5,10
exit
!
hostname sw1
!
interface TenGigabitEthernet1/0/1
description to-sw2
ip address 10.10.10.0 255.255.255.254
exit
!
interface TenGigabitEthernet1/0/2
switchport mode trunk
switchport trunk allowed vlan add 5,10
exit
!
interface vlan 5
ip address 192.168.5.1 255.255.255.0
exit
!
interface vlan 10
ip address 192.168.10.1 255.255.255.0
exit
!
!
router bgp 65500
bgp router-id 10.1.1.1
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 10.10.10.1
remote-as 65500
address-family ipv4 unicast
exit
exit
exit
!
!
end
SW2
sw2#sh run
hostname sw2
!
interface TenGigabitEthernet1/0/1
description to-sw1
ip address 10.10.10.1 255.255.255.254
exit
!
interface TenGigabitEthernet1/0/2
description to-sw3
ip address 10.10.10.2 255.255.255.254
exit
!
!
router bgp 65500
bgp router-id 10.2.2.2
bgp cluster-id 10.2.2.2
address-family ipv4 unicast
exit
!
neighbor 10.10.10.0
remote-as 65500
route-reflector-client
address-family ipv4 unicast
exit
exit
!
neighbor 10.10.10.3
remote-as 65500
route-reflector-client
address-family ipv4 unicast
exit
exit
exit
!
!
end
SW3
sw3#sh run
hostname sw3
!
interface TenGigabitEthernet1/0/2
description to-sw2
ip address 10.10.10.3 255.255.255.254
exit
!
!
router bgp 65500
bgp router-id 10.3.3.3
address-family ipv4 unicast
exit
!
neighbor 10.10.10.2
remote-as 65500
address-family ipv4 unicast
exit
exit
exit
!
!
end
коммутатор sw1 анонсирует на sw2 connected подсети:
коммутатор sw2 инсталлирует эти префиксы в свою таблицу маршрутизации и являясь route-reflector'ом отражает маршруты rr-client'ам, в данном случае sw3:
Смотрим таблицу маршрутизации sw3 и видим отсутствие маршрутов от sw2, при этом в таблице bgp они есть:
sw3 не инсталлирует маршруты из-за недоступности их next-hop'ов.
добавим опцию next-hop-self на sw2 в конфигурации соседа sw3:sw2#conf
sw2(config)#router bgp 65500
sw2(router-bgp)# neighbor 10.10.10.3
sw2(router-bgp-nbr)#next-hop-self
и снова посмотрим таблицу bgp на sw3:
маршруты по-прежнему имеют next-hop назначенный на sw1 и недоступный с sw3, соответственно не могут находиться в таблице маршрутизации.
Это корректное поведение bgp, регламентировано rfc4456, в соответствии с которым route-reflector не должен менять атрибут next-hop:
Для решения задачи произведем подмену next-hop'а средствами route-map. Настроим на sw2 следующую конструкцию:ip prefix-list from-sw1 seq 1 permit 192.168.5.0/24
ip prefix-list from-sw1 seq 2 permit 192.168.10.0/24
route-map to-sw3 1 permit
continue 2
match ip address prefix-list from-sw1
set ip next-hop 10.10.10.2
exit
route-map to-sw3 2 permit
exit
prefix-list from-sw1 фильтрует полученные от sw1 префиксы, route-map to-sw3 пропускает все маршруты и меняет next-hop на тех, что попадают под prefix-list from-sw1.
Применим созданный route-map на экспорт маршрутов в sw3
sw2#conf
sw2(config)#router bgp 65500
sw2(router-bgp)# neighbor 10.10.10.3
sw2(router-bgp-nbr)# address-family ipv4 unicast
sw2(router-bgp-nbr-af)#route-map to-sw3 out
Теперь отражаемые от sw2 маршруты 192.168.5/24 и 192.168.10/24 имеют next-hop назначенный на sw2 и доступный из connected подсети, стало быть будут проинсталлированы в таблицу маршрутизации:
Источник:
docs.eltex-co.ru
Применение route-map для соседа в BGP:console(config)# router bgp 64700
console(router-bgp)# neighbor 1.1.1.1
console(router-bgp-nbr)# address-family ipv4 unicast
console(router-bgp-nbr-af)# route-map test in
В момент применения route-map in для входящих маршрутов по умолчанию используется механизм Route-Refresh, отправляется запрос BGP-соседу на повторную отправку маршрутов без разрыва BGP-соседства для применения к ним политики Route-Map. Аналогично коммутатор отвечает на входящие сообщения Route Refresh от BGP-соседа, отправляя ему маршруты.
Также есть возможность настроить механизм Soft Reconfigurationconsole(router-bgp-nbr)#soft-reconfiguration inbound
В момент включения данной настройки происходит запись всех ранее полученных от BGP-соседа маршрутов в отдельную область памяти. В случае применения входящей политики будет использован механизм soft-reconfiguration inbound, а не Route Refresh, и политика будет применяться к маршрутам из памяти, перезапроса маршрутов у BGP-соседа не произойдет.
В случае получения от соседа сообщения route-refresh, коммутатор обработает это сообщение как и до включения soft-reconfiguration inbound, при этом сам он сообщения route-refresh слать не будет.
Команды диагностики:
Команда show ip bgp neighbors X.X.X.X received-routes позволяет посмотреть все принятые маршруты, до применения к ним входящей политики.
Измененные же маршруты будут доступны по команде show ip bgp.
Источник:
docs.eltex-co.ru
Балансировка нагрузки ЕСМР (Equal-cost multi-path routing) позволяет передавать пакеты одному получателю по нескольким «лучшим маршрутам». Данный функционал предназначен для распределения нагрузки и оптимизации пропускной способности сети. ЕСМР может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. Максимально можно настроить 8 путей для MES2300/3300/MES3500I и 64 для MES5312/MES53xxA/MES5310-48/MES5400-xx/MES5410-48/MES5500-32
По умолчанию метод балансировки src-dst-mac-ip, изменить можно командой Port-Channel load-balance
Пример настройки ECMP:console(config)# ip maximum-paths 3
P.S.Настройка вступит в силу только после сохранения конфигурации и перезагрузки устройства.
Просмотр текущих настроек:console# show ip route
Maximum Parallel Paths: 1 (1 after reset)
Load balancing: src-dst-mac-ip
Источник:
docs.eltex-co.ru
1) Создаем interface vlan для создания соседстваconsole(config)# interface vlan 10
console(config-if)# ip address 10.10.10.5 255.255.255.252
console(config-if)# exit
2) Настройки в режиме глобальной конфигурацииconsole(config)# router ospf 1
console(router_ospf_process)# network 10.10.10.5 area 4.4.4.4
console(router_ospf_process)# router-id 5.5.5.5
console(router_ospf_process)# exit
Контроль работы протокола
- Просмотр ospf соседей - show ip ospf neighbor
- Просмотр таблицы LSDB - show ip ospf database
- Просмотр состяния ospf - show ip ospf
Настройка параметров ospf аутентификации
1) Настраиваем ключ для аутентификацииconsole(config)# key chain TEST_KEYCHAIN
(config-keychain)# key 1
(config-keychain-key)# key-string test
(config-keychain-key)# exit
(config-keychain)# exit
2) Добавляем ключ к аутентификации md5 по ospfconsole(config)# interface ip 10.10.10.6
console(config-ip)# ip ospf authentication message-digest
console(config-ip)# ip ospf authentication key-chain TEST_KEYCHAIN
console(config-ip)# ip ospf authentication-key 1
console(config-ip)# ip ospf cost 1
console(config-ip)# exit
Для перевода номера области из числового вида в формат записи ip address нужно число перевести в двоичный вид. После этого записать его в строку и разделить на 4 части по 8 бит.
Источник:
docs.eltex-co.ru
Рассмотрим схему из 3 коммутаторов и двух различных area. На SW2 настроено несколько клиентских VLAN с включенным процессом OSPF.
SW1:ipv6 unicast-routing
ipv6 router ospf 1
router-id 10.1.4.73
exit
interface vlan 1858
ipv6 address 2001:67c:233c:b814::1/119
ipv6 ospf 1 area 0.0.0.46
exit
SW2:ipv6 unicast-routing
ipv6 router ospf 1
router-id 10.1.4.75
exit
interface vlan 2
ipv6 address 2001:10::1/125
ipv6 ospf 1 area 0.0.0.46
exit
!
interface vlan 3
ipv6 address 2001:10::5/126
ipv6 ospf 1 area 0.0.0.46
exit
!
interface vlan 882
ipv6 address 2001:67c:233c:b813::1/119
ipv6 ospf 1 area 0.0.0.0
exit
!
interface vlan 1858
ipv6 address 2001:67c:233c:b814::2/119
ipv6 ospf 1 area 0.0.0.46
exit
SW3:ipv6 unicast-routing
interface vlan 882
ipv6 address 2001:67c:233c:b813::2/119
ipv6 ospf 1 area 0.0.0.0
exit
ipv6 router ospf 1
router-id 10.1.4.1
exit
Команды для диагностики.show run
show ipv6 ospf neighbor
show ipv6 ospf
show ipv6 route
Источник:
docs.eltex-co.ru
Функционал позволяет маршрутизировать трафик на основании политик маршрутизации route-map.
Создаем IP ACL, в котором указываем, какой трафик будет попадать под политикуconsole(config)# ip access-list extended TEST
console(config-ip-al)# permit ip any 20.20.20.1 0.0.0.0 ace-priority 20
Создаем route-map, привязываем созданный IP ACL, устанавливает next-hop для трафика, попадающего под ACLconsole(config)# route-map test1 10 permit
console(config-route-map)# match ip address access-list TEST
console(config-route-map)# set ip next-hop 10.0.1.2
Привязываем созданный route-map к необходимым портам или SVIconsole(config)# interface gi0/1
console(config-if)# ip policy route-map test1
В данном примере весь трафик с ip.dst 20.20.20.1 приходящий в порт gi0/1 будет отправляться на next-hop 10.0.1.2
Примечание:
- Функционал доступен с версии 6.6.4
- Для настройки доступно 8 next-hop
- Для работы функционала необходимо выделить системные ресурсы для PBR и перезагрузить коммутатор (Команда в CLI: system router resources policy-ip-routes 32)
Источник:
docs.eltex-co.ru
Применение route-map позволяет изменять атрибуты у анонсируемых и принимаемых маршрутов BGP, а также реализовать работу функционала PBR.
Создание route-map и переход в режим его конфигурацииconsole(config)# route-map name section_id [ permit | deny]
- name - название route-map
- section_id - номер записи в этой route-map
- permit - применить set-команды к маршрутам
- deny - отбросить маршруты
Команды режима конфигурации Route-Map:
1) Задать номер следующей секции route-map, которая будет применена к маршрутам, после применения текущейconsole(config-route-map)# continue section_id and
- and - указывает, что match установки в этой route-map должны быть логически объединены (AND) с match установками в route-map, обозначенных параметром section_id.
Примечания:
- Создание цепочек route-map (без параметра and) возможен, если тип route-map выставлен в permit.
- Если при создании цепочки применяется пара-метр and, то все set установки должны находиться в последней секции этой цепочки.
------- Блок команд match. C помощью блока команд match мы выделяем маршруты, над которыми будут производиться дальнейшие изменения
2) Задание соответствия prefix-list и адреса маршрутаconsole(config-route-map)# match ip [ address | next-hop | route-source ] prefix-list name
- address - соответствие prefix-list и ip адреса маршрута.
- next-hop - соответствие prefix-list и next-hop ip адреса маршрута.
- route-source - соответствие prefix-list и ip адреса источника маршрута.
Примечание:
Чтобы не отбрасывались остальные маршруты, не указанные в prefix-list, необходимо создать пустой route-map и привязать его к текущему через continue.
3) Задать соответствие маршрута с атрибутом local-preference.console(config-route-map)# match local-preference value
4) Задать соответствие маршрута с атрибутом metric.console(config-route-map)# match metric value
5) Задать соответствие маршрута с атрибутом origin.console(config-route-map)# match origin [ igp |egp | incomplete ]
- igp – маршрут был получен из протокола внутренней маршрутизации (например командой network)
- egp – маршрут был выучен по протоколу EGP.
- incomplete – маршрут был выучен каким-то иным образом (например командой redistribute)
------- Блок команд set. C помощью блока команд set производятся изменения параметров в маршрутах, которые были выделены через match
6) Добавить к маршруту атрибут AS_PATHLIMITconsole(config-route-map)# set as-path path-limit value
Нулевое значение ограничивает анонсирование локально сгенерированных маршрутов, только между iBGP соседями (не будут видны для eBGP).
Значение больше 0 означает, что если AS_PATH атрибут имеет больше AS-номеров, чем значение AS_PATHLIMIT, то нужно его отбросить при выходе в eBGP.
7) Добавить к атрибуту AS-Path введенные AS номера.console(config-route-map)# set as-path prepend as_number
8) Добавить к атрибуту AS-Path value номеров Local AS (на выход eBGP соседу).console(config-route-map)# set as-path prepend local-as value
9) Удалить из атрибута AS-Path указанную ASconsole(config-route-map)# set as-path remove as_number
10) Установить next-hop атрибут маршрута.console(config-route-map)# set ip next-hop ip_address
11) Установить значение атрибута local-preference.console(config-route-map)# set local-preference value
12) Установить значение атрибута metric.console(config-route-map)# set metric value
13) Установить значение атрибута next-hop, как адрес соседа.console(config-route-map)# set next-hop-peer
14) Установить значение атрибута origin.console(config-route-map)# set origin [ igp | egp | incomplete ]
- igp – маршрут был получен из протокола внутренней маршрутизации (например командой network)
- egp – маршрут был выучен по протоколу EGP.
- incomplete – маршрут был выучен каким-то иным образом (например командой redistribute)
15) Установить значение атрибута weight.console(config-route-map)# set weight value
Пример создания route-map:console(config)# ip prefix-list test seq 5 permit 20.20.20.0/24
console(config)# route-map test 10 permit
console(config-route-map)# continue 15
console(config-route-map)# match ip address prefix-list test
console(config-route-map)# set local-preference 50
console(config)# route-map test 15 permit
Пустой route-map создан, для того, чтобы не отбрасывались маршруты, отличные от 20.20.20.0/24
Просмотр созданных Route-Map
show route-map
Источник:
docs.eltex-co.ru
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
Конфигурацию будем выполнять на базе коммутаторов MES5324A.
Собранная топология:
SW1, SW2 – два любых коммутатора пропускающих трафик прозрачно, использовались MES2324
R1, R2 — коммутаторы MES2324 с настроенным VRRP,
R1 — Master
R2 — Backup
Со стороны PC1 сеть VLAN 200
Cо стороны PC2 сеть VLAN 100
–---------------------------------------Настройки мастера (R1):------------------------------------------------
Отключение протокола STP:console_R1(config)# no spanning-tree
1) Настройка интерфейса VLAN 200
а) Настройка IP-адреса интерфейса VLAN 200 для подсети 10.0.200.0 /24: console_R1(config)# int vlan 200
console_R1(config-if)# ip address 10.0.200.1 255.255.255.0
б) Определение VRID (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24 console_R1(config-if)# vrrp 1 ip 10.0.200.1
Примечание: VRRP-маршрутизатор всегда будет становиться Master, если он владелец IP-адреса, который присвоен виртуальному маршрутизатору
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен) console_R1(config-if)# no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера). console_ R1(config-if)# vrrp 1 timers advertise msec 50
Примечание: Если интервал задан в миллисекундах, то происходит округление вниз до ближайшей секунды для VRRP Version 2 и до ближайших сотых долей секунды (10 миллисекунд) для VRRP Version 3.
2) Настройка интерфейса te1/0/23 console_R1(config)# int te 1/0/23
console_R1(config-if)# switchport mode trunk
console_R1(config-if)# switchport trunk allowed vlan add 200
3) Настройка интерфейса VLAN 100
a) Настройка IP-адреса интерфейса для подсети 10.0.100.0 /24 console_R1(config)# int vlan 100
console_R1(config-if)# ip address 10.0.100.1 255.255.255.0
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.100.0 /24 console_R1(config-if)# vrrp 1 ip 10.0.100.1
Примечание: R2 становится Backup-маршрутизатором и не выполняет функции маршрутизации трафика до выхода из строя Master.
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен) console_R1(config-if)# no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера). console_R1(config-if)# vrrp 1 timers advertise msec 50
4) Настройка интерфейса te 1/0/24console_R1(config)# int te 1/0/24
console_R1(config-if)# switchport mode trunk
console_R1(config-if)# switchport trunk allowed vlan add 100
–-------------------------------------------Настройки Backup (R2):---------------------------------------------
Отключение протокола STP:console_R1(config)#no spanning-tree
1) Настройка интерфейса VLAN 200:
а) Настройка IP-адреса интерфейса для подсети 10.0.200.0 /24: console_R1(config)#int vlan 200
console_R1(config-if)#ip address 10.0.200.2 255.255.255.0
б) Определение ID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24, console_R1(config-if)#vrrp 1 ip 10.0.200.1
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен) console_R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера). console_R1(config-if)#vrrp 1 timers advertise msec 50
2) Настройка интерфейса te 1/0/23 console_R1(config)#int te 1/0/23
console_R1(config-if)#switchport mode trunk
console_R1(config-if)#switchport trunk allowed vlan add 200
3) Настройка интерфейса VLAN 100:
a) Настройка IP-адреса интерфеса для подсети 10.0.100.0 /24 console_R1(config)#int vlan 200
console_R1(config-if)#ip address 10.0.100.2 255.255.255.0
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию VRRP-маршрутизатора для подсети 10.0.100.0 /24 console_R1(config-if)#vrrp 1 ip 10.0.100.1
в) console_R1(config-if)#no vrrp 1 shutdown
г) console_R1(config-if)#vrrp 1 timers advertise msec 50
4) Настройка интерфейса te 1/0/24
console_R1(config)#int te 1/0/24
console_R1(config-if)#switchport mode trunk
console_R1(config-if)#switchport trunk allowed vlan add 100
Примечание: На коммутаторах SW1 и SW2 также необходимо настроить порты te23 и te24 в режим trunk для своих VLAN, а порт gi1 в режим access для своих VLAN.
После настройки R1 и R2 при выходе из строя R1 мастером становится R2 и работает как шлюз по умолчанию с виртуальным IP-адресом 10.0.100.1 для сети 10.0.100.0 /24 и 10.0.200.1 для сети 10.0.200.0 /24
При возвращении R1 он снова становится мастером.
Примечание: На канальном уровне резервируемые интерфейсы имеют MAC-адрес 00:00:5E:00:01:XX, где XX – номер группы VRRP (VRID)
Примечание: Для проверки доступности виртуального IP-адреса (icmp ping) необходимо добавить команду vrrp X accept mode accept в конфигурацию interface vlan, на котором настроен VRRP.
Примечание: Лог %VRRP-W-PROTOERR: VRRP router with ID <VRID> on interface vlan <VLAN ID> has encountered the protocol virtual router ID error in a received advertisement может появляться в следующий случаях:
1. Выполнена неверная настройка VRRP на соседнем VRRP-маршрутизаторе - указан неверный VRID или VRRP IP. Необходимо проверить корректность настроек VRRP обоих маршрутизаторов. Наличие данной проблемы также можно проанализировать по состоянию VRRP в команде show vrrp. Если ошибок при настройке не допущено, будут указаны выданные устройствам роли - State is Master или State is Backup.
2. В этом же широковещательном домене запущен другой VRRP процесс с другими VRID и VRRP IP. Для того, чтобы данное событие не логировалось, необходимо выяснить VRID и VRRP IP других VRRP-процессов того же широковещательного домена и выполнить на interface vlan <VLAN ID> настройку vrrp <VRID> ip <VRRP IP> без команды no vrrp <VRID> shutdown. Таким образом коммутатор прекратит логировать найденное им несоответствие VRID и VRRP IP с настроенными на interface vlan VRID и VRRP IP, но при этом VRRP для этого VRRP ID не будет запущен.
Пример настройки:interface Vlan10
vrrp 10 ip 192.168.10.1
При такой настройке коммутатор будет знать, что во VLAN 10 имеется VRID 10, но работать VRRP с ним не будет, так как нет команды no vrrp 10 shutdown. Логироваться подобное событие на коммутаторе после этой настройки больше не будет.
Источник:
docs.eltex-co.ru
На коммутаторах MES2300-xx/MES3300-xx/MES3500I-10P/MES5312/MES53xxA/MES5310-48/MES5400-xx/MES5410-48/MES5500-32 для хранения паролей в конфигурации используется алгоритм RSA.
Источник:
docs.eltex-co.ru
Для восстановления коммутатора понадобится ПК с TFTP-сервером и доступ к коммутатору через консольный порт. Процесс восстановления сбросит устройство к заводским настройкам.
Процесс восстановления:
1) Подключаем консольный кабель и открываем терминальную программу, например, "PUTTY". Соединяем сетевую карту ПК с портом OOB коммутатора. Перезагружаем коммутатор по питанию.
2) В момент загрузки при появлении в выводе терминала:
Для MES5312/MES53xxA "Press x to choose XMODEM..."
Для MES5400-xx/MES5500-32 "ROS Booton: ..."
В течение трех секунд необходимо нажать "CTRL+SHIFT+6", чтобы включить режим с выводом трассировок.
3) Далее в выводе трассировок появится строка "Autoboot in 5 seconds..."
На этом месте требуется ввести пароль eltex. После чего появится приглашение командной строки "U-Boot'а".
4) В консоли "U-Boot'а" выставить следующие переменные:
Для MES5312/MES53xxA:
set ipaddr 10.10.10.2 (IP-адрес устройства, необходимо заменить на актуальный для рабочего места)
set serverip 10.10.10.1 (IP-адрес TFTP сервера, где находится файл образа ПО)
set rol_image_name mes5300-5544-R16.ros (Заменить название на актуальное для текущей версии ПО)
set bootcmd 'run bootcmd_tftp'
nand erase.chip
ubi part rootfs; ubi create rootfs
boot
Для MES5400-xx/MES5500-32:
set ipaddr 10.10.10.2 (IP-адрес устройства, необходимо заменить на актуальный для рабочего места)
set serverip 10.10.10.1 (IP-адрес TFTP сервера, где находится файл образа ПО)
set rol_image_name mes5500-662-R5.ros (Заменить название на актуальное для текущей версии ПО)
set bootcmd 'run bootcmd_tftp'
boot
После ввода команды boot коммутатор начнет загрузку образа ПО с TFTP-сервера и последующий его запуск.
Пример успешной загрузки образа:
Eltex>> boot
Using egiga1 device
TFTP from server 10.10.10.1; our IP address is 10.10.10.2
Filename 'mes5300-5544-R16.ros'.
Load address: 0x1c000000
Loading: #################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#####################
2.2 MiB/s
done
Bytes transferred = 24161376 (170ac60 hex)
We assume that image was copied to RAM address 0x1c000000
uimage_offset: 922756, uimage_size: 23224560Header version: 2
rolCopyFile: dst 0x2000000 src 0x1c0e1484 size 23224560
crc: ed10a504
DTB file matches (for CPU type 1)
rolCopyFile: dst 0x36260f0 src 0x1d7076a8 size 13240
crc: 2196439c
do_rolImage_cmd: start
SF: Detected MX25L25735E with page size 64 KiB, total 32 MiB
Initializing ROL image ...
zImage in RAM at addr 0x02000000 ...
ROL image kernel ver: 3.10
Формат по умолчанию
Данный формат является форматом по умолчанию, если нет дополнительных настроек формата
Пример сообщения<189>%SYSLOG-N-NEWSYSLOGSERVER: configure new syslog server 192.168.64.3
Origin ID
SYSLOG сообщение с заголовком близким к rfc5424
Для включения заголовка данного формата необходимо включить добавление origin id. Формат сообщения при этом должен быть по умолчанию.TOP(config)#logging origin-id
string The user defined string will be used as the hostname
field of syslog header
hostname The sysname will be used as the hostname field of a
syslog message
ip The IP address of the sending interface will be used
as the hostname field of a syslog message
ipv6 The IPv6 address of the sending interface will be used
Пример сообщения<189>1 2024-03-13T19:49:18+07:00 TOP SYSLOG - NEWSYSLOGSERVER - configure new syslog server 192.168.64.3
<189>1 2024-03-13T20:06:33+07:00 192.168.64.4 SYSLOG - NEWSYSLOGSERVER - configure new syslog server 192.168.64.3
<189>1 2024-03-13T20:07:21+07:00 SomeString SYSLOG - NEWSYSLOGSERVER - configure new syslog server 192.168.64.3
Proc ID всегда "-"
Источник:
docs.eltex-co.ru
Подробное описание всех возможностей для управления по SNMP представлено на официальном сайте в документации по SNMP в разделе "Центр загрузок" или в разделе "Документы и файлы" в карточке оборудования.
Базовая настройка SNMP для опроса коммутатора:snmp-server server
snmp-server community public ro
snmp-server community private rw
Проверка настроек SNMP:show snmp
Настройка отправки SNMP-trap:snmp-server host 192.168.1.1 traps version 2c public
По умолчанию не для всех события генерируются snmp-trap. Для включения новых событий используется команды:snmp-server enable traps [ cpu|erps|flex-link|ipv6|l2protocol-tunnel|mac-notification|memory|ospf|sensor|storage ]
Источник:
docs.eltex-co.ru
Без аутентификации:console(config)#snmp-server server
console(config)#snmp-server engineID local default
console(config)#snmp-server view iso iso included
console(config)#snmp-server group noAuthTraps v3 noauth notify iso
console(config)#snmp-server user U1 noAuthTraps v3
С аутентификацией без шифрования:console(config)#snmp-server server
console(config)#snmp-server engineID local default
console(config)#snmp-server view iso iso included
console(config)#snmp-server group authTraps v3 auth notify iso
console(config)#snmp-server user Md5 authTraps v3 auth md5 12345678
С аутентификацией и шифрованием:console(config)#snmp-server server
console(config)#snmp-server engineID local default
console(config)#snmp-server view iso iso included
console(config)#snmp-server group authPrivTraps v3 priv notify iso
console(config)#snmp-server user Md5Des authPrivTraps v3 auth md5 12345678 priv-protocol des priv 87654321
Источник:
docs.eltex-co.ru
Можно создать правила обозрения для SNMP – разрешающее либо ограничивающее серверу-обозревателю доступ к OID.
- OID – идентификатор объекта MIB, представленный в виде дерева ASN.1 (строка вида 1.3.6.2.4, может включать в себя зарезервированные слова, например: system, dod). С помощью символа * можно обозначить семейство поддеревьев: 1.3.*.2);
- include – OID включена в правило для обозревания;
- exclude – OID исключена из правила для обозревания.
Создание отдельного SNMP view:snmp-server view iso iso included
snmp-server community public ro view iso
snmp-server community private rw view iso
Пример ограничения опроса статуса интерфейсов Port-channel 1-128:snmp-server view iso 1.3.6.1.2.1.2.2.1.8.1000 excluded
snmp-server view iso 1.3.6.1.2.1.2.2.1.8.1001 excluded
...
snmp-server view iso 1.3.6.1.2.1.2.2.1.8.1127 excluded
либоsnmp-server view iso ifOperStatus.1000 excluded
snmp-server view iso ifOperStatus.1001 excluded
...
snmp-server view iso ifOperStatus.1127 excluded
Проверить включённые в view деревья OID можно командой show snmp views.
Источник:
docs.eltex-co.ru
Представляем таблицу коммутаторов MES23xx, MES33xx, MES35xx, MES5324 разных аппаратных ревизий в соответствие минимально возможной версии ПО для данного устройства:
Модель устройства | H/W | Минимально поддерживаемая версия ПО |
MES2300-08 | 1v0 | 6.6.4.1 |
MES2300-08P | 1v0 | 6.6.4.1 |
MES2300-24 DC | 1v2 | 6.5.1.4 |
MES2300-24P AC | 1v1 | 6.5.1 |
MES2300-24P rev.C1 AC | 1v0 | 6.6.2.2 |
MES2300-48P | 1v0 | 6.4.1.1 |
MES2300-48P rev.C1 | 1v1 | 6.5.1 |
MES2300B-24 AC | 1v1 | 6.4.1.1 |
MES2300B-24F AC | 1v1 | 6.4.1.1 |
MES2300B-48 AC | 1v0 | 6.4.1.1 |
MES2300D-24P rev.C1 AC | 1v1 | 6.6.2.8 |
MES2300DI-28 | 1v0 | 6.6.2.3 |
MES3300-24 | 1v1 | 6.4.1.1 |
MES3300-48 | 4v0 | 6.4.1.1 |
MES3300-08F | 1v0 | 6.6.2.1 |
MES3300-16F | 1v0 | 6.6.2.1 |
MES3300-24F | 1v2 | 6.4.1.1 |
MES3300-48F | 1v1 | 6.6.3.11 |
MES3500I-08P rev.C1 DC | 1v0 | 6.6.2.8 |
MES3500I-10P rev.C1 DC | 1v0 | 6.6.2.3 |
MES5300-24 | 1v0 | 6.6.4.5 |
MES5300-48 | 1v1 | 6.6.4.5 |
MES5305-48 | 1v1 | 6.6.5.3 |
MES5310-48 | 1v4 | 6.6.3 |
MES5310-48 | 2v1 | 6.6.3 |
MES53XXA | 1v3 | 6.0.1 |
MES5316A rev.B | 1v3 | 6.2.2.1 |
MES5316A rev.C | 1v1 | 6.5.1 |
MES5316A rev.C1 | 1v1 | 6.5.1 |
MES5324A rev.B | 1v3 | 6.2.2.1 |
MES5324A rev.C | 1v1 | 6.5.1 |
MES5324A rev.C1 | 1v1 | 6.5.1 |
MES5332A rev.B | 1v3 | 6.2.2.1 |
MES5332A rev.C | 1v1 | 6.5.1 |
MES5400-24 | 1v2 | 6.4.1 |
MES5400-24 | 1v3 | 6.4.1.1 |
MES5400-24 rev.B | 2v1 | 6.6.2.3 |
MES5400-48 | 1v4 | 6.4.1.1 |
MES5400-48 | 2v0 | 6.6.2.9 |
MES5410-48 | 1v1 | 6.6.3.8 |
MES5500-32 | 2v0 | 6.6.3.8 |
MES5500-32 | 3v0 | 6.6.3.8 |
Источник:
docs.eltex-co.ru