muff

По ходу полностью "допилил" связку DHCP snooping + Option 82 + Source Guard + ARP Inspection. Конфиг коммутатора: interface range ethernet e(1-24) spanning-tree portfast auto exit interface range ethernet g(1-4) switchport mode general exit vlan database vlan 4000,4050 exit interface ethernet g1 switchport general pvid 4000 exit interface ethernet g2 switchport general pvid 4000 exit interface ethernet g3 switchport general pvid 4000 exit interface ethernet g4 switchport general pvid 4000 exit interface range ethernet e(1-24) switchport access vlan 4000 exit interface range ethernet g(1-4) switchport general allowed vlan add 4000 exit interface range ethernet g(1-4) switchport general allowed vlan add 4050 exit interface vlan 4050 name Mng exit ip dhcp snooping ip dhcp snooping vlan 4000 interface ethernet g1 ip dhcp snooping trust exit ip arp inspection ip arp inspection vlan 4000 interface ethernet g1 ip arp inspection trust exit interface ethernet g2 ip arp inspection trust exit interface ethernet g3 ip arp inspection trust exit interface ethernet g4 ip arp inspection trust exit ip source-guard interface ethernet e1 ip source-guard exit interface ethernet e2 ip source-guard exit interface ethernet e3 ip source-guard exit interface ethernet e4 ip source-guard exit interface ethernet e5 ip source-guard exit interface ethernet e6 ip source-guard exit interface ethernet e7 ip source-guard exit interface ethernet e8 ip source-guard exit interface ethernet e9 ip source-guard exit interface ethernet e10 ip source-guard exit interface ethernet e11 ip source-guard exit interface ethernet e12 ip source-guard exit interface ethernet e13 ip source-guard exit interface ethernet e14 ip source-guard exit interface ethernet e15 ip source-guard exit interface ethernet e16 ip source-guard exit interface ethernet e17 ip source-guard exit interface ethernet e18 ip source-guard exit interface ethernet e19 ip source-guard exit interface ethernet e20 ip source-guard exit interface ethernet e21 ip source-guard exit interface ethernet e22 ip source-guard exit interface ethernet e23 ip source-guard exit interface ethernet e24 ip source-guard exit interface vlan 4050 ip address 10.0.0.5 255.255.255.0 exit ip default-gateway 10.0.0.1 hostname Alc-test-sw username muff password 4c87d8ad************************e9 level 15 encrypted В dhcp.conf соответственно: option domain-name "test.com"; option domain-name-servers 8.8.8.8; log-facility local7; default-lease-time 600; max-lease-time 600; ddns-update-style none; local-address 10.0.0.1; authoritative; if exists agent.circuit-id { log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address), " MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)), " port ",binary-to-ascii(10,8, "",suffix(option agent.circuit-id, 1)), " VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2)) ) ); } class "sw1-p2" { match if binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 5)) = "12:cf:5b:00:00" and binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "2"; } subnet 10.10.0.0 netmask 255.255.255.0 { option routers 10.10.0.254; pool { range 10.10.0.34; allow members of "sw1-p2"; } } Замечания и пожелания приветствуются.

Да, есть. С dhcp snooping разобрался. Вот как раз до source guard добрался. Маны в аттаче. OS6200-v17x User Guide.pdf OS6200-v17x Command Line Interface User Guide.pdf

Добавлю свои 5 копеек. Описание основ работы VLAN, принципы построения сетей с использованием VLAN Реализация 802.1Q VLAN на FreeBSD

Смотрите логи. Настройка BIND с подробным логгированием.

Опцию 82 в запросе увидел. Но кажется "напутал" в dhcpd.conf: Jun 18 17:28:57 test dhcpd: DHCPDISCOVER from 00:19:db:33:aa:25 via vlan4000: network 10.196.101.32/27: no free leases Jun 18 17:29:28 test last message repeated 4 times Кто-то поделится dhcpd.conf?

Вроде по аналогии все комманды и присутствуют... А как форвардить запросы на определенный айпишник DHCP-сервера, или такой возможности нету?

Здравствуйте. Необходимо настроить на коммутатор Alcatel 6224 поддежку DHCP snooping и опции 82. Зазеркалировал порт и проснифферил траффик - опция 82 в DHCP-запрос не добавляется (см. аттач). Кто-то уже Alcatel 6224 настраивал на подобную связку? Можете листинг комманд предоставить, а то что-то не могу вкурить, что пропустил. Версия прошивки - 1.7.1.10. Буду оч. благодарен за помощь.

По безналу есть возможность забрать? GBIC можно приобрести, или нужно самим искать?

Nagios.

Тогда смотри в сторону MPD.

Возьмите FoxGate 9816-GS8.

Если нету привязки по МАС-адресах, то действительно, отследить изменения в сети поможет arpwatch. Советую ознакомиться со статьей о настройке arpwatch.

/var/log/messages

Кстати, инфа о настройке и использовании dhcpdrop.

Если проверять производительность сайта, то советую воспользоваться утилитой ab ( Apache HTTP server benchmarking tool).

Советую Nagios - довольно мощный интрумент мониторинга. Статья: настройка системы мониторинга Nagios 3.x и утилиты конфигурирования NConf.

Подыми у себя VPN-сервер на маршрутизаторе. Если нужен доступ к устройству внутри сети, то подключаешься по ВПН-у и видишь всю сеть... Статья по настройке ВПН-сервера на маршрутизаторе под управлением FreeBSD. По поводу VLAN - даже и не знаю, каким боком "прицепить" их к пробросу портов: Описание основ работы VLAN, принципы построения сетей с использованием VLAN. Описание реализации VLAN на FreeBSD.

Неужели в Киеве никому не нужно?

Пробовал только что через VPN подключиться к Nanostation - подключается без проблем. Кста... возможно проблема в файрволе. Просматривать все правила как-то неохота. Попробуй на время теста установить такое правило. ipfw add 3 allow all from any to any После проверки уберешь: ipfw 3 delete

Если подключаешься через PPPoE - возможно и не будет работать. Тоесть проброс портов будет работать, но к Ubiquiti не сможешь подключиться. PPPoE дописывает свои заголовки, и иногда возникает проблема, когда стороны не могут согласовать размер mss. У меня такое бывало при подключении через PPTP. Не получалось подключиться к некоторым железякам, где "корявый" веб-сервер. С помощью tcpdump смотри, отрабатывается ли проброс портов, или нет.

См. информацию по ссылке. Примеры проброса портов.

Повторяю еще раз - розетки в Киеве. Доставка по регионам - накладно. Вам будет проще напрямую с CSV связаться.

Контакты отправил в личку.

Продаются сетевые фильтры CSV: http://www.csv.com.ua/produkciya/aksessuary-k-stojkam-csv-rackmount/#Setevoy filtr s organizatorom kabeley pitaniya Цена: 100 грн/шт. В наличии 20 шт.

Есть в наличии SAM-1008 (7шт.) и шасси IES-100 4 шт. Не интересует?