Catalyst 2950 вместо D-Link DES-1016D

Все остальное

Catalyst 2950 вместо D-Link DES-1016D

Сообщение dimondack » 16 янв 2016, 14:46

Добрый День.


Есть корпоративная сеть 10.147.11.0 /24 схема прилагается

Наш отдел подключен к этой сети через коммутатор D-Link DES-1016D
Некоторые компьютеры нашего отдела имеют и вторую сетевую карту
И объединяются в сеть только нашего отдела на коммутаторе
HUAWEI Quidway s3026 это 192.168.52.0 /24 VLAN 101

Надо сказать, у меня нет 100% гарантии что Quidway s3026 каким то «чудесным» образом не подключен также ещё и в этот D-LINK или стыкуется с корпоративной сеткой где то на "на дальних берегах" хотя всё проверяли.
На этом Quidway s3026 есть VLAN разного назначения.

Недавно корпоративная сеть стала пропадать, а именно перестаёт работать корпоративная электронная почта, интернет.
А вот внутренняя сеть 192.168.52.0./24 при этом работает.

На значке сетевого подключения появляется жёлтый треугольник с восклицательным знаком «Без доступа к интернет».

Шлюз перестаёт пинговаться с любого компьютера нашего отдела например с моего 10.147.11.217

Ping 10.147.11.19
Превышен интервал запроса.

После Выкл/Вкл питания на D-LINK корпоративная сеть работает….., иногда не долго - 20 мин, а иногда сутки и больше, а бывает что и перезапуск D-LINK не помогает.
Пытались патчкорды поочерёдно выдёргивать, но так и не смогли вычислить проблемного потребителя.

Наши IT говорят ищите петлю….
и ещё им не нравиться что у нас некоторые компьютеры имеют вторые сетевые карты, хотя сами же и разрешили нам, правда со скрипом.


Вопрос такой:
Если я поставлю вместо D-LINK, Catalyst 2950 и разрешу поступление фреймов, содержащих определенный МАС-адрес

Что то типа mac access-list extended
Это поможет. ??

Если я посмотрю sh mac table
и увижу на каком нибудь порту,где по логике должен быть компьютер,
не один mac addres, а несколько.. ,
то можно сказать что это и есть "проблемное направление" ???

Чем может помочь Catalyst в данной ситуации..?
Как найти петлю ??

Как оценки достойна представленная сеть. ???
Нас определяет то, что мы делаем.
Аватара пользователя
dimondack
посетитель
 
Сообщения: 103
Зарегистрирован: 21 янв 2015, 13:00

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение Андрей » 18 янв 2016, 08:53

Привет.
Наши IT говорят ищите петлю….

Сначала статистику по портам смотрите, по кол-ву фреймов и т.п. Где их больше - там петля, но не факт. Обычно, когда петля случается все падает сразу.

и ещё им не нравиться что у нас некоторые компьютеры имеют вторые сетевые карты, хотя сами же и разрешили нам, правда со скрипом.

Мне бы тоже не понравилось, что у вас в 1 устройстве 2 сетевых. Если в 2 подсети лезть надо (10.10.10.0/24 и 192.168.0.0/24) - этим должен маршрутизатор заниматься, но никак не "рулиться" 2 сетевыми.

Вопрос такой:
Если я поставлю вместо D-LINK, Catalyst 2950 и разрешу поступление фреймов, содержащих определенный МАС-адрес

Что то типа mac access-list extended
Это поможет. ??

Пробуй. Только зачем именно по макам вязать? Мне не понятно. Может быть у тебя аппаратная ошибка D-Link, а ты хочешь решить программно и на другом устройстве, которое может нормально работать.

Если ... то можно сказать что это и есть "проблемное направление" ???

Нет.
Чем может помочь Catalyst в данной ситуации..?

Сделает сеть достаточно качественной управляемой и отказоустойчивой, посравнению с тем, что построено на DES.

Если я посмотрю sh mac table

На чем? 1016D - неуправляемая железка, которая просто имеет 16 "дырок". Никакого интерфейса (CLI или Web) она не имеет.

Как найти петлю ??

В Вашем случае, при DES1016 - Только поочередным отключением кабеля от коммутатора и то, когда зависнет. А для начала, надо избавляться от 2 и более сетевых интерфейсов на ПК.

Как оценки достойна представленная сеть. ???

зачем wuidway соединяет 2 сервера, если это можно было в DES сделать?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение root » 18 янв 2016, 11:02

Андрей писал(а):Сначала статистику по портам смотрите

D-Link DES-1016D является неуправляемым коммутатором 10/100 Мбит/с 2 уровня

Ничего на нем не посмотреть, а так же что в 2016 году пользоваться НЕуправляемым оборудованием это :shock:
Хуже чем DES-1016D сейчас реально сложно найти что-то, потому ОДНОЗНАЧНО замена.

Андрей писал(а):Мне бы тоже не понравилось, что у вас в 1 устройстве 2 сетевых

Да хоть 3. Какая тут разница ? Никакой.

dimondack писал(а):Наши IT говорят ищите петлю….

И на чем именно основывается это мнение ?

dimondack писал(а):Это поможет. ??

Нет.
dimondack писал(а):то можно сказать что это и есть "проблемное направление" ???

Нет. Это есть направление за которым расположен ещё один свич.
dimondack писал(а):Чем может помочь Catalyst в данной ситуации..?

Тем что на него можно зайти и посмотреть:
    - логи
    - статистику по портам
    - у него есть loopback detection
    - можно настроить storm-control broadcast и multicast
dimondack писал(а):Как найти петлю ??

Без управляемого оборудования и траблшута - никак.
dimondack писал(а):Как оценки достойна представленная сеть. ???

А по какому критерию судить ? По используемому оборудованию ? Минус один :) По схеме ? Тоже минус один. Если требуется вторая подсеть, то лучше не отдельный коммутатор, а vlan`ы.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение dimondack » 18 янв 2016, 20:01

wuidway соединяет 2 сервера, если это можно было в DES сделать?

Наша вторая сеть 192.168.52.0 условно говоря не легальная..

Если в корпоративной сети АНТИВИРУС - мудрый "Касп.." и опасные безопасники со своей политикой, ограниченный набор программ,
то у нас прямое подключение к оборудованию через Удалённый рабочий стол и portable версии опасных запрещённых у нас программ FA, To tal, W hark и т.д

Вообщем уживаемся как то, ведь мы же не враги своей корпорации :D

dimondack писал(а):
Наши IT говорят ищите петлю….

root
И на чем именно основывается это мнение ?

Ни на чём :D
Про петлю как обычно - это не у нас , а у вас :D .

- логи
- статистику по портам
- у него есть loopback detection
- можно настроить storm-control broadcast и multicast


loopback detection - это связанно с SpaningTP ??
нашёл документ
Catalyst 2950 and Catalyst 2955 Switch
Command Reference



По storm -у что типа
storm-control broadcast level 0.50 0.40
storm-control multicast level 0.50 0.40
spanning-tree portfast
есть примеры...


____________________________________________________________________
Буду ставить ... 2950



сегодня попросил IP адрес для коммутатора.... + адрес шлюза.

при стыковке 2950 c корпоративной сетью возникли некоторые вопросы
сначала снёс весь конфиг на 2950 erase... всё порты в VLAN1
подключаю, но порт горит жёлтым и всё тут..., а ведь даже не знаю что на той стороне говорят тоже Catalyst.

А на консоле вижу какие то сообщения типа
port not consistent type , Vlan ID 13
какая то не стыковка с Vlan ID 13 что ли.
Я не специалист...., но поковыряться могу. :D

ну взял я и создал этот vlan 13 и прикрутил к нему IP который дали IT
затем
ip def gateway
---------------------------
int fast 0/24
switchport trunk
switchport trunk native vlan 13
no cdp enable
-----------------------------------------
и всё поднялось

получается что весь не тегированный трафик, приходящий на 24 порт,
будет помечен как VLAN 13 ???????????? зачем ?


Теперь другая проблема - telnet запрещён,
а SSH как я понял IOS не поддерживает .....
нет команд crypto , input ssh.


Вообщем будет доступ, будет интересней
Нас определяет то, что мы делаем.
Аватара пользователя
dimondack
посетитель
 
Сообщения: 103
Зарегистрирован: 21 янв 2015, 13:00

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение root » 19 янв 2016, 11:13

dimondack писал(а):Ни на чём

Что же это у вас в конторе за IT отдел тогда ? Одно название ?
dimondack писал(а):loopback detection - это связанно с SpaningTP ??

Нет. STP (Spaning Tree Protocol) это протокол.
dimondack писал(а):По storm -у что типа

Ну вот и поставите на портах, если на поту попрет трафик, как бывает пр кольце, то порт отключится и вы узреете это в логах.
dimondack писал(а):всё порты в VLAN1

от этого влана стоит отказаться сразу, т.к. в нем много чего автоматически бродит, в частности VTP, что при неправильной настройке может привести к неожиданным последствиям
dimondack писал(а):port not consistent type , Vlan ID 13

Это сообщения от STP, подробнее тут
dimondack писал(а):получается что весь не тегированный трафик, приходящий на 24 порт, будет помечен как VLAN 13 ???????????? зачем ?

Именно так. Затем что с той стороны порт в транке, а до этого был Dlink, который вообще ничего не понимает на тему вланов. Вот вам и отгружают 13 влан как native.
dimondack писал(а):switchport trunk

Всегда стоит "употреблять" со второй командой switchport trunk vlan add XXX,YYY,ZZZ, а иначе вы разрешаете принимать любые vlan`ы, что в последствии может так же сказаться и привести к таким же неожиданным последствиям
dimondack писал(а):Теперь другая проблема - telnet запрещён,

Нет никаких проблем разрешить вход по telnet. Читаем Первоначальная настройка Cisco Catalyst или соответствующую документацию на cisco.com.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение dimondack » 19 янв 2016, 18:35

Наши IT видимо не считают что это проблема их касается, но и не мешают мне попробовать, что меня и устраивает. :D

С Telnet-ом другая проблема.
Мой IP 10.147.11.217 , а мне для Catalyst дали IP 10.147.5.211 и GW 10.147.5.19
Он у меня пингуется через "верхний сегмент " так сказать, а зайти не могу.
Telnet запрещён говорят.
Я пробовал отключить верхний сегмент и прописать на int vlan 13 IP из своего сегмента что то типа 10.147.11.1 ....... и после этого захожу нормально.

ssh так и не смог настроить, пять IOS-ов поменял :D :D

Но вот этого так и не увидел crypto key generate rsa



Буду просить IP из моего сегмента 10.147.11.0

А то придётся ходить к шкафу и через консоль подключаться

Вот мой несложный конфиг

Код: Выделить всё
Switch#sh ru
Building configuration...

Current configuration : 6184 bytes
!
! Last configuration change at 16:27:11 UTC Tue Jan 19 2016
! NVRAM config last updated at 16:27:12 UTC Tue Jan 19 2016
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname Switch
!
aaa new-model
aaa authentication login default local
aaa authentication enable default none
!
username dfgdjdhd privilege 15 secret 5 dghdghmdghmghf
ip subnet-zero
!
no ip domain-lookup
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
 switchport access vlan 13
 switchport mode access
 no ip address
 storm-control broadcast level 0.50 0.40
 storm-control multicast level 0.50 0.40
 no cdp enable
 spanning-tree portfast
!
interface FastEthernet0/23
 switchport access vlan 13
 switchport mode access
 no ip address
 storm-control broadcast level 0.50 0.40
 storm-control multicast level 0.50 0.40
 no cdp enable
 spanning-tree portfast
!
interface FastEthernet0/24
 description *** KORPORATIV NET ***
 switchport trunk native vlan 13
 switchport trunk allowed vlan 13
 switchport mode trunk
 no ip address
 storm-control broadcast level 5.00 3.00
 storm-control multicast level 5.00 3.00
 no cdp enable
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan13
 ip address 10.147.5.211 255.255.255.0
 no ip route-cache
!
ip default getawey 10.147.5.19
ip http server
!
no cdp run
!
line con 0
line vty 5 15
!
end

Switch#
Нас определяет то, что мы делаем.
Аватара пользователя
dimondack
посетитель
 
Сообщения: 103
Зарегистрирован: 21 янв 2015, 13:00

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение root » 20 янв 2016, 08:44

Поддержка SSH есть не во всех IOS`осах. Поддержка SSH для 2950 началась с версии Cisco IOS Software Release 12.1(22)EA2.
Что именно есть в том или ином IOS`е можно выяснить в Cisco Feature Navigator.

dimondack писал(а):Telnet запрещён говорят.

Видимо у них висит access-list на вашем влане.
dimondack писал(а):Буду просить IP из моего сегмента 10.147.11.0 А то придётся ходить к шкафу и через консоль подключаться

Можно ничего не просить. На своей сетевухе поднять trunk с двумя vlan`ами. Один vlan 13, а второй для управления железкой. Назначить любой IP из любой не занятой у вас подсети (например 172.31.255.0/24) и заходить на девайс со своего компа.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Catalyst 2950 вместо D-Link DES-1016D

Сообщение dimondack » 02 фев 2016, 22:10

10 дней - полёт нормальный.
С установкой 2950 все проблемы остались позади.
Смотрю в логи , "sh logging" - всё Up//Down-ы интерфейсов штатные
- утром компьютер включили, вечером выключили...

Никто не жалуется :D :D

Видать D-Link наш не выдерживал нагрузку, ведь почти все порты (15шт.) были заняты..
Нас определяет то, что мы делаем.
Аватара пользователя
dimondack
посетитель
 
Сообщения: 103
Зарегистрирован: 21 янв 2015, 13:00


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron