AT-8000S: настройка MAC-based VLAN

Все что связано с управляемыми и неуправляемыми коммутаторами 2го уровня

Модератор: Allied Telesis Russia

AT-8000S: настройка MAC-based VLAN

Сообщение azhur » 09 дек 2015, 11:00

Есть вот такой документ по этому свитчу: AT-S94_V30045_CLI_a.pdf "AT-8000S-S94-3.0 Command Line Interface User’s Guide".
В нём есть описание команды "switchport general map macs-group".
В описании - вот такой пример настройки:
Код: Выделить всё
console(config)# vlan database
console(config-vlan)# map mac 00:08:78:32:98:78 9 macs-group 1
interface ethernet e17
console(config-vlan)# exit
console(config)# interface ethernet 1/e17
console(config-if)# switchport mode general
console(config-if)# switchport general map macs-group 1 vlan 2

По нему есть пара вопросов:
1. К чему относится 3-я строка - "interface ethernet e17"?
2. Надо ли разрешать vlan 2, к которому привязывается группа, на этом порту отдельной командой "switchport general allowed vlan add 2"?

ЗЫ Только что заметил ещё один ляп - в описании команды "switchport general map macs-group" почему-то указано, что она не имеет параметров.
azhur
 
Сообщения: 95
Зарегистрирован: 20 апр 2010, 16:19

Re: AT-8000S: настройка MAC-based VLAN

Сообщение Ginodman Mikhail » 09 дек 2015, 11:52

azhur писал(а):Есть вот такой документ по этому свитчу: AT-S94_V30045_CLI_a.pdf "AT-8000S-S94-3.0 Command Line Interface User’s Guide".
В нём есть описание команды "switchport general map macs-group".
В описании - вот такой пример настройки:
Код: Выделить всё
console(config)# vlan database
console(config-vlan)# map mac 00:08:78:32:98:78 9 macs-group 1
interface ethernet e17
console(config-vlan)# exit
console(config)# interface ethernet 1/e17
console(config-if)# switchport mode general
console(config-if)# switchport general map macs-group 1 vlan 2

По нему есть пара вопросов:
1. К чему относится 3-я строка - "interface ethernet e17"?

лишняя, ошибка в мануале
azhur писал(а):2. Надо ли разрешать vlan 2, к которому привязывается группа, на этом порту отдельной командой "switchport general allowed vlan add 2"?

проще проверить
azhur писал(а):ЗЫ Только что заметил ещё один ляп - в описании команды "switchport general map macs-group" почему-то указано, что она не имеет параметров.
Ginodman Mikhail
Site Admin
 
Сообщения: 2538
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT-8000S: настройка MAC-based VLAN

Сообщение azhur » 11 дек 2015, 09:36

Провёл эксперимент.
AT-8000S/24, к его пятому порту (было - access vlan 212) подключен FS-705, в который подключены 2 хоста.
Цель - вывести один из хостов, подключенных через "тупарик" в другой vlan 203.
Выдержка из конфига восьмитысячного:
Код: Выделить всё
vlan database
map mac 00:11:2f:2e:89:3f 48 macs-group 203
exit
interface ethernet e5
spanning-tree portfast
spanning-tree guard root
spanning-tree bpduguard
switchport mode general
switchport general pvid 212
switchport general allowed vlan add 212 untagged
switchport general map macs-group 203 vlan 203

Так - не работает совсем, MAC-а тестового хоста на порту нет.
Если добавить
Код: Выделить всё
interface ethernet e5
switchport general allowed vlan add 203

то MAC на свитче появляется в правильном 203-м влане, до тестового хоста долетает броадкаст из 203-го влана, но что-то всё равно не так, даже DHCP не отрабатывает.
Первый хост в vlan 212 работает нормально в обеих случаях.
Подскажите, что я делаю не так?
azhur
 
Сообщения: 95
Зарегистрирован: 20 апр 2010, 16:19

Re: AT-8000S: настройка MAC-based VLAN

Сообщение azhur » 17 дек 2015, 13:48

Дак всё-таки, как правильно настраивать MAC-based VLAN на этих свитчах?
azhur
 
Сообщения: 95
Зарегистрирован: 20 апр 2010, 16:19

Re: AT-8000S: настройка MAC-based VLAN

Сообщение Ginodman Mikhail » 17 дек 2015, 14:16

azhur писал(а):Провёл эксперимент.
AT-8000S/24, к его пятому порту (было - access vlan 212) подключен FS-705, в который подключены 2 хоста.
Цель - вывести один из хостов, подключенных через "тупарик" в другой vlan 203.
Выдержка из конфига восьмитысячного:
Код: Выделить всё
vlan database
map mac 00:11:2f:2e:89:3f 48 macs-group 203
exit
interface ethernet e5
spanning-tree portfast
spanning-tree guard root
spanning-tree bpduguard
switchport mode general
switchport general pvid 212
switchport general allowed vlan add 212 untagged
switchport general map macs-group 203 vlan 203

Так - не работает совсем, MAC-а тестового хоста на порту нет.
Если добавить
Код: Выделить всё
interface ethernet e5
switchport general allowed vlan add 203

то MAC на свитче появляется в правильном 203-м влане, до тестового хоста долетает броадкаст из 203-го влана, но что-то всё равно не так, даже DHCP не отрабатывает.
Первый хост в vlan 212 работает нормально в обеих случаях.
Подскажите, что я делаю не так?

Если до тестового хоста долетает броадкаст, значит работает. Видимо нужна схема подключения, вывод sh run с коммутатора, куда подключен сервер DHCP. Еще проще настроить статические адреса на тестовых ПК в одной подсети, один подключить в аксес порт 8000S влана 213, другой - в порт МАС-bases который должен попасть в влан 213 и проверять пинги между ними
Ginodman Mikhail
Site Admin
 
Сообщения: 2538
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT-8000S: настройка MAC-based VLAN

Сообщение Ginodman Mikhail » 17 дек 2015, 14:25

также посмотрите для информации
viewtopic.php?f=6&t=2579
Ginodman Mikhail
Site Admin
 
Сообщения: 2538
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT-8000S: настройка MAC-based VLAN

Сообщение azhur » 18 дек 2015, 13:01

Ginodman Mikhail писал(а):также посмотрите для информации
viewtopic.php?f=6&t=2579

Посылать меня читать мою же тему - это оригинально. =)
Ginodman Mikhail писал(а):Если до тестового хоста долетает броадкаст, значит работает. Видимо нужна схема подключения, вывод sh run с коммутатора, куда подключен сервер DHCP. Еще проще настроить статические адреса на тестовых ПК в одной подсети, один подключить в аксес порт 8000S влана 213, другой - в порт МАС-bases который должен попасть в влан 213 и проверять пинги между ними

Сейчас повторил эксперимент.
Схема подключения: AT-8000S портом g1 включен в центральный L3 коммутатор, на котором терминируются вланы.
Конфиг у него следующий:
Скрытый текст:
Только для зарегистрированных пользователей.
Скрытый текст:
Код: Выделить всё
interface range ethernet e(1-24)
spanning-tree portfast
exit
interface range ethernet e(1-24)
spanning-tree guard root
exit
interface range ethernet e(1-24)
spanning-tree bpduguard
exit
interface range ethernet e5,g(1-2)
switchport mode general
exit
vlan database
vlan 200,203,212,249
exit
interface ethernet e5
switchport general pvid 212
exit
interface range ethernet g(1-2)
switchport general allowed vlan add 200
exit
interface ethernet e6
switchport access vlan 203
exit
interface range ethernet e5,g(1-2)
switchport general allowed vlan add 203
exit
interface ethernet e5
switchport general allowed vlan add 212 untagged
exit
interface range ethernet e(1-4,7-24)
switchport access vlan 212
exit
interface range ethernet g(1-2)
switchport general allowed vlan add 212
exit
interface range ethernet g(1-2)
switchport general allowed vlan add 249
exit
interface vlan 200
name Management
exit
interface vlan 212
name ABK1-346
exit
interface vlan 212
dot1x guest-vlan
exit
vlan database
map mac 00:11:2f:2e:89:3f 48 macs-group 203
exit
interface ethernet e5
switchport general map macs-group 203 vlan 203
exit
dot1x system-auth-control
interface range ethernet e(1-4)
dot1x re-authentication
exit
interface range ethernet e(1-4)
dot1x mac-authentication mac-only
exit
interface range ethernet e(1-4)
dot1x radius-attributes vlan
exit
interface range ethernet e(1-4)
dot1x port-control auto
exit
interface range ethernet e(1-4)
dot1x guest-vlan enable
exit
interface vlan 200
ip address 10.90.200.59 255.255.255.0
exit
ip default-gateway 10.90.200.254
hostname _ABK1-DUBINSKY
radius-server host 10.90.200.215 key MAC-AUTH
logging console errors
aaa authentication dot1x default radius
clock timezone +5
clock source sntp
sntp unicast client enable
sntp unicast client poll
sntp server 10.90.107.12 poll

В конфиге ещё порядочно мусора от предыдущего эксперимента с dot1x, но на 5-6 портах ничего по этой части не настроено.
Беру ноутбук с MAC 00:11:2f:2e:89:3f, настраиваю статикой адрес 10.90.203.250/24, втыкаю в порт e6, пингую шлюз 10.90.203.254, пинги есть, всё ОК.
Переключаю ноут в порт e5, на котором пытался настроить MAC-based VLAN.
Пингов шлюза нет, судя по вайршарку всё заканчивается безответными ARP-запросами.
Судя опять же по вайршарку, входящие броадкасты до тестового ноутбука долетают, но !С ТЕГОМ!
Соответствено ноут, ничего не знающий про теги траффика не видит.
Проверяю на свитче:
Код: Выделить всё
_ABK1-DUBINSKY# show bridge address-table ethernet e5
Aging time is 300 sec

  Vlan        Mac Address       Port     Type
-------- --------------------- ------ ----------
  203      00:11:2f:2e:89:3f     e5    dynamic

То есть МАК в правильный влан на свитче попадает, но исходящие пакеты не растегируются, соответственно ноутом не принимаются.
Что происходит с входящими - пока непонятно.
azhur
 
Сообщения: 95
Зарегистрирован: 20 апр 2010, 16:19

Re: AT-8000S: настройка MAC-based VLAN

Сообщение Ginodman Mikhail » 18 дек 2015, 14:38

тегированный потому что прописано у вас на e5, не хватает слова untagged
interface range ethernet e5,g(1-2)
switchport general allowed vlan add 203 <==
exit
interface ethernet e5
switchport general allowed vlan add 212 untagged


не уверен что e5 вообще нужно прописывать к влан 203

также добавьте
switchport general ingress-filtering disable
Ginodman Mikhail
Site Admin
 
Сообщения: 2538
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT-8000S: настройка MAC-based VLAN

Сообщение azhur » 24 дек 2015, 07:36

Ginodman Mikhail писал(а):тегированный потому что прописано у вас на e5, не хватает слова untagged
interface range ethernet e5,g(1-2)
switchport general allowed vlan add 203 <==

ВООТ, в этом-то и было дело!
Сделал по дефолту с тегом, понадеялся на автоматику, которой как оказалось нема.
Переделал с untagged - заработало.
Теперь-то картинка как это работает у меня сложилась.
Единственное что пока не проверил - работа с несколькими мак-группами на одном порту, но вроде бы пока и не надо.

Итоговый вариант настройки:
1. Создать группу/группы:
Код: Выделить всё
vlan database
map mac 00:11:2f:2e:89:3f 48 macs-group 203

2. Перевести порт в режим general:
Код: Выделить всё
interface ethernet e5
switchport mode general

3. Настроить исходящий трафик, добавив все нужные вланы (как нативный, так и те что по мак-ам), на выдачу без тега:
Код: Выделить всё
interface ethernet e5
switchport general allowed vlan add 203 untagged
switchport general allowed vlan add 212 untagged

4. Настроить входящий трафик в для нативного влана:
Код: Выделить всё
interface ethernet e5
switchport general pvid 212

5. Настроить входящий трафик в для влана по мак-ам:
Код: Выделить всё
interface ethernet e5
switchport general map macs-group 203 vlan 203
azhur
 
Сообщения: 95
Зарегистрирован: 20 апр 2010, 16:19


Вернуться в Коммутаторы 2го уровня

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron