[zebr]

Добрый день! Пытался настроить данный функционал MAC-VLAN по manual. Но ни чего не работает.

Схема работы следующая.

На порт подключается Компьютер и STB приставка. Компьютер должен уходить по одному vlan, а STB по другому.

 

Interface Ethernet1/1
 storm-control broadcast pps 12
 storm-control multicast pps 12
 spanning-tree rootguard
 spanning-tree portfast bpdufilter
 switchport mode hybrid
 switchport hybrid allowed vlan 1477;1612 untag
 switchport hybrid native vlan 1477
 pppoe intermediate-agent
 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown
 igmp snooping drop query
 ip dhcp snooping information option subscriber-id "E01"

 

 

mac-vlan vlan 1612
mac-vlan mac ec-4c-4d-00-00-00 ff-ff-ff-00-00-00 vlan 1612 priority 0

 

ec-4c-4d-68-13-96 мак STB приставки.

 

на порту switchport mac-vlan enable давал.

 

В данной конфигурации STB приходит почему то в 1477?

 

 

[Aleksey Sonkin]

@zebr Добрый день!

 

Пропишите в режиме глобальной конфигурации:

mac-address-learning cpu-control 

 

[zebr]

45 minutes ago, Aleksey Sonkin said:

@zebr Добрый день!

 

Пропишите в режиме глобальной конфигурации:

mac-address-learning cpu-control 

 

Все работает спасибо!

[igogo]

А как себя поведет коммутатор если перед ним будет стоять неуправляемый свитч? будет ли работать на всех мак адресах? и как будет работать с авторизацией по мак адресу MAB ? авторизовывать по первому маку? Какое ограничение мак адресов на один коммутатор или порт? как можно обеспечить защиту от подмены мак адреса в мак-влане?

Изменено 3 августа, 2021 пользователем igogo

[Artem Ryabukhin]

В 03.08.2021 в 11:35, igogo сказал:

А как себя поведет коммутатор если перед ним будет стоять неуправляемый свитч? будет ли работать на всех мак адресах? и как будет работать с авторизацией по мак адресу MAB ? авторизовывать по первому маку? Какое ограничение мак адресов на один коммутатор или порт? как можно обеспечить защиту от подмены мак адреса в мак-влане?

 

Добрый день!

 

Функционал не зависит от того, что подключено за портом. Он будет работать для тех MAC-адресов, которые вы укажете. Остальные пакеты будут помещены в native vlan.

По поводу авторизации:

Каждый MAC-адрес должен будет пройти авторизацию. Не прошедшие авторизацию устройства можно поместить в гостевой vlan. Количество MAC-адресов ограниченно лишь объемом TCAM. Естественно, при количестве MAC-адресов в несколько тысяч могут возникнуть проблемы.

Обеспечить дополнительную защиту от подмены MAC-адреса можно используя функционал DHCP Snooping (в том числе и DHCP option 82), Dynamic ARP Inspection, ARP security и Access Management(AM).

[igogo]

В 05.08.2021 в 14:50, Artem Ryabukhin сказал:

Добрый день!

 

Функционал не зависит от того, что подключено за портом. Он будет работать для тех MAC-адресов, которые вы укажете. Остальные пакеты будут помещены в native vlan.

По поводу авторизации:

Каждый MAC-адрес должен будет пройти авторизацию. Не прошедшие авторизацию устройства можно поместить в гостевой vlan. Количество MAC-адресов ограниченно лишь объемом TCAM. Естественно, при количестве MAC-адресов в несколько тысяч могут возникнуть проблемы.

Обеспечить дополнительную защиту от подмены MAC-адреса можно используя функционал DHCP Snooping (в том числе и DHCP option 82), Dynamic ARP Inspection, ARP security и Access Management(AM).

А где посмотреть объем TCAM ? Это

Размер таблицы MAC-адресов? Например к моделям snr-2985g-48t и snr-2995G-48fx

Изменено 19 августа, 2021 пользователем igogo