Интересно может быть только для тех, кто в телекоме работает.
Обычный рабочий день.
С утра задание: на одном из узлов связи поменять старый коммутатор Cisco Catalist 3550 с оптическими портами на SNR-S2995G-24FX. Не, со старым всё хорошо. Причины, скорее, политические.
Настроил SNR еще позавчера. Подозревал, что с абонентами могут быть проблемы из-за особенностей настройки, поэтому решил сначала включить SNR "паровозом" после Cisco и абонентов по одному переключать.
Особенности проявились сразу :) Последние 4 порта у SNR были под SFP+, а uplink организован на простых sfp 1Gbitps. Лаадно. На месте подготовил 24 порт под uplink
Interface Ethernet1/0/24
description Uplink
switchport mode trunk
switchport trunk allowed vlan XX;XX;XX;XXX
ip dhcp snooping trust
Так же настроил второй гигабитный порт на Cisco, подключил, выяснил у техподдержки, что сам коммутатор доступен из офиса. Переключаю абонента и понимаю, что он не получает ip адрес от биллинга. Следующие полтора часа прошли в "плясках с бубном" в поисках причин такого косяка.
Как обычно, ответ был рядом. В конфиге коммутатора в целях безопасности на всех абонентских портах мы настраиваем изоляцию портов:
isolate-port group hydra switchport interface Ethernet1/0/1
isolate-port group hydra switchport interface Ethernet1/0/2
.....
isolate-port group hydra switchport interface Ethernet1/0/24
О том, что это такое и зачем, можно на nag.ru почитать. Тут, например, пишут:
Изоляция портов доступа, то есть запрещение прохождения трафика между ними, осуществляется с помощью создания группы, в которую добавляются порты, требующие изоляции между собой. Простейшим примером может являться создание единственной группы, в которую будут добавлены все порты доступа, исключая uplink-порты.
Ну и вот выяснилось, что порт uplink я поменял с 28 на 24, а isolate-port с этого порта забыл же убрать. Итог: абонент просидел без интернета вместо 5 минут полтора часа.
Надо быть внимательнее.
