GeeZeeNburg Опубликовано 3 июля, 2022 (изменено) · Жалоба SNR-S2985G-24T, 7.0.3.5(R0241.0525) 1. Хочется задействовать arp spoofing prevention, как в D-Link. Там это просто: config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac DE-AD-BE-EF-CA-1F ports all Мануал к SNR предлагает запретить ARP от юзеров: (config)# int eth1/0/1-24 (config-if-port-range)# arp-guard ip 10.0.0.1 Но, допустим, у меня на eth1/0/25-28 могут быть как доверенные, так и недоверенные ARP-ответы. Как настроить, чтобы свитч дропал недоверенные ARP именно по связке IP+MAC? 2. Хочется на паре портов задействовать DHCP-сервер на свитче. IP выдаётся по маку и порту. Остальные DHCP-серверы запретить совсем. Делаю так, конфиг дефолтный: (config)# service dhcp (config)# int eth1/0/1-28 (config-if-port-range)# ip dhcp disable (config)# ip dhcp pool test (dhcp-test-config)# host 192.168.1.2 (dhcp-test-config)# hardware-address de-ad-be-ef-ca-1f (config)# int eth1/0/5 (config-if-ethernet1/0/5)# no ip dhcp disable (config)# ip dhcp snooping enable (config)# ip dhcp snooping vlan 1 (config)# int eth1/0/1-28 (config-if-port-range)# ip dhcp snooping action blackhole (config)# ip dhcp snooping binding enable Работает отлично, адрес я получаю, создаётся динамическая запись с биндингом на 5 порт. Добавляю статический биндинг, чтобы привязать адрес к порту насовсем: (config)# ip dhcp snooping binding user de-ad-be-ef-ca-1f address 192.168.1.2 vlan 1 interface eth1/0/5 sh ip dhcp snooping bindlng all пишет, что запись стала S вместо D, но вот свитч после замены биндинга с динамического на статический айпишник выдавать отказывается. Команда (config-if-ethernet1/0/5)# ip dhcp snooping binding user-control vlan 1 не помогает, но к статической записи добавляется флаг L. Что я делаю не так? Изменено 3 июля, 2022 пользователем GeeZeeNburg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeniy Rychkov Опубликовано 5 июля, 2022 · Жалоба Здравствуйте. Создайте тикет на support.nag.ru. Там рассмотрим это обращение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GeeZeeNburg Опубликовано 7 июля, 2022 · Жалоба Отправил письмо на support@nag.ru два дня назад, но ответа не получил. Сегодня догадался глянуть ваш MX, а там mx.yandex.net. Тогда неудивительно, ведь оно до вас просто не дошло. Я, конечно, могу написать вам с gmail. Однако по вопросам конфигурации, как мне кажется, чтобы не отвечать всем индивидуально, лучше отвечать на форуме, чтобы это было публичной базой знаний. Например, о команде bridge-protocol filter stp возможно узнать только на форуме, в мануале этого нет. Если бы вы в теме https://forum.nag.ru/topic/164027-vyklyuchit-bpdu/ тоже отправили бы человека в хелпдеск, то в этой теме было бы уже три вопроса :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeniy Rychkov Опубликовано 8 июля, 2022 · Жалоба Здравствуйте. Дело в том, что, возможно, потребуется обсуждение технических вопросов, предоставления конфигурации оборудования, сбор дебага и т.д.. Техническая информация может представлять из себя большой объем данных, который просто будет сложно анализировать в рамках форума. Информация может затеряться или воспринята по другому. Для этого существует специальный сайт, в рамках которого мы сможем обсудить ваши вопросы. По поводу первого вопроса: такой настройки как на D-Link нет. Как один из вариантов использовать MAC-IP аксесс лист с указанием связки IP+MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...