Jump to content
  • 0

CCR2004-16G-2S+ като суич


dggbg

Въпрос

Здравейте,

трябва ми суич с ip-mac-port- binding, който да замени и transparent bridge firewall (на един или два порта). Върви видео наблюдение и няколко vlan-а, предимно с уин пц-та. За целта съм се спрял на CCR2004-16G-2S+. Не съм ползвал RoS за подобни цели. 88E6191X няма Rule table (ACL), не съм сигурен дали ще успея да го настроя правилно т.е. оптимално и без да пращам всичко към cpu-то. Чуденката: технически възможно ли е, дали да се пробвам ... или да си купя Managed Switch и да не се занимавам с глупости :)

🍻

Адрес на коментара
Сподели в други сайтове

7 отговори на този въпрос

Recommended Posts

  • 1
  • Администратор

С този Рутер и и 3-4 гигабита през процесора да пратиш няма да разбереш.
С доста по стар модел, цяла С мрежа се търкаля с прозрачен шейпър и филтър.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

да ми е честит :)

кратка консултация ако може:

1. вкарвам портовете в бридж (без админ и wan),

2. на брижда arp - replay only, пускам vlan filtering,

3. на member портовете Learn - no,

4. във VLANs таблицата на бриджа вкарвам vlan id, кои портове са тагнати, кои не (почти всички са trunk).

5. в Hosts таблицата вкарвам mac, vlanid и на кой порт се намира.

6. Попълвам ARP

7. добавям правила във филтъра. Комуникация м-у отделните влан в бриджа няма, нали?

Корекции/препоръки?

Попаднах на тема с вариант за два бриджа, щото има 2 суи чип-а, но не мога да прежаля два порта..

Поздрави!

Редактирано от dggbg
Адрес на коментара
Сподели в други сайтове

  • 0

Здравейте,

явно нещо не съм конфигурирал правилно, предполагам бриджа не ползва ip/arp. Странното, че и не ползва съвсем и неговата си host таблица, с arp e read-only не достигам точки които не инициират трафик.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 20 часа, dggbg написа:

Здравейте,

явно нещо не съм конфигурирал правилно, предполагам бриджа не ползва ip/arp. Странното, че и не ползва съвсем и неговата си host таблица, с arp e read-only не достигам точки които не инициират трафик.

Ползване на статичните ARP записи са нож с две остриета, като лично го избягвам и не го практикувам, ако не се налага!

Пробвай варианта port security с етернет портове в бридж и от там с филтъра му:

/interface bridge filter add action=drop chain=input in-interface=ether2 src-mac-address=!MAC-address/FF:FF:FF:FF:FF:FF

 

Адрес на коментара
Сподели в други сайтове

  • 0

чисто информативно: " нож с две остриета" какво имаш в предвид

Quote

Normally the table is built dynamically, but to increase network security, it can be partially or completely built statically by adding static entries.

Започна да ми става малко по-ясно, къде е проблема. Опита ми да избегна описаното в Layer2+misconfiguration VLAN filtering with multiple switch chips и да ползвам максимална скорост за една част от мрежата, като активирам hw offload само за единият (1-8 + sfp1), не е особено удачен и направи vlan на тези портове недостъпен от sfp и другите портове от вторият чип (които са с изключен offload). Избора - или кабел или да го излключа offload-a, може би от там идва и проблема с mac learning.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Дай един експорт на конфигурацията, така трудно се разбира.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.