zebr Опубликовано 21 марта, 2019 · Жалоба Добрый день! Пытался настроить данный функционал MAC-VLAN по manual. Но ни чего не работает. Схема работы следующая. На порт подключается Компьютер и STB приставка. Компьютер должен уходить по одному vlan, а STB по другому. Interface Ethernet1/1 storm-control broadcast pps 12 storm-control multicast pps 12 spanning-tree rootguard spanning-tree portfast bpdufilter switchport mode hybrid switchport hybrid allowed vlan 1477;1612 untag switchport hybrid native vlan 1477 pppoe intermediate-agent loopback-detection specified-vlan 1-4094 loopback-detection control shutdown igmp snooping drop query ip dhcp snooping information option subscriber-id "E01" mac-vlan vlan 1612 mac-vlan mac ec-4c-4d-00-00-00 ff-ff-ff-00-00-00 vlan 1612 priority 0 ec-4c-4d-68-13-96 мак STB приставки. на порту switchport mac-vlan enable давал. В данной конфигурации STB приходит почему то в 1477? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 22 марта, 2019 · Жалоба @zebr Добрый день! Пропишите в режиме глобальной конфигурации: mac-address-learning cpu-control Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zebr Опубликовано 22 марта, 2019 · Жалоба 45 minutes ago, Aleksey Sonkin said: @zebr Добрый день! Пропишите в режиме глобальной конфигурации: mac-address-learning cpu-control Все работает спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
igogo Опубликовано 3 августа, 2021 (изменено) · Жалоба А как себя поведет коммутатор если перед ним будет стоять неуправляемый свитч? будет ли работать на всех мак адресах? и как будет работать с авторизацией по мак адресу MAB ? авторизовывать по первому маку? Какое ограничение мак адресов на один коммутатор или порт? как можно обеспечить защиту от подмены мак адреса в мак-влане? Изменено 3 августа, 2021 пользователем igogo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artem Ryabukhin Опубликовано 5 августа, 2021 · Жалоба В 03.08.2021 в 11:35, igogo сказал: А как себя поведет коммутатор если перед ним будет стоять неуправляемый свитч? будет ли работать на всех мак адресах? и как будет работать с авторизацией по мак адресу MAB ? авторизовывать по первому маку? Какое ограничение мак адресов на один коммутатор или порт? как можно обеспечить защиту от подмены мак адреса в мак-влане? Добрый день! Функционал не зависит от того, что подключено за портом. Он будет работать для тех MAC-адресов, которые вы укажете. Остальные пакеты будут помещены в native vlan. По поводу авторизации: Каждый MAC-адрес должен будет пройти авторизацию. Не прошедшие авторизацию устройства можно поместить в гостевой vlan. Количество MAC-адресов ограниченно лишь объемом TCAM. Естественно, при количестве MAC-адресов в несколько тысяч могут возникнуть проблемы. Обеспечить дополнительную защиту от подмены MAC-адреса можно используя функционал DHCP Snooping (в том числе и DHCP option 82), Dynamic ARP Inspection, ARP security и Access Management(AM). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
igogo Опубликовано 19 августа, 2021 (изменено) · Жалоба В 05.08.2021 в 14:50, Artem Ryabukhin сказал: Добрый день! Функционал не зависит от того, что подключено за портом. Он будет работать для тех MAC-адресов, которые вы укажете. Остальные пакеты будут помещены в native vlan. По поводу авторизации: Каждый MAC-адрес должен будет пройти авторизацию. Не прошедшие авторизацию устройства можно поместить в гостевой vlan. Количество MAC-адресов ограниченно лишь объемом TCAM. Естественно, при количестве MAC-адресов в несколько тысяч могут возникнуть проблемы. Обеспечить дополнительную защиту от подмены MAC-адреса можно используя функционал DHCP Snooping (в том числе и DHCP option 82), Dynamic ARP Inspection, ARP security и Access Management(AM). А где посмотреть объем TCAM ? Это Размер таблицы MAC-адресов? Например к моделям snr-2985g-48t и snr-2995G-48fx Изменено 19 августа, 2021 пользователем igogo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...