GeeZeeNburg Posted September 15, 2023 · Report post SNR-S2965-48T#sh ver SNR-S2965-48T Device, Compiled on May 07 19:33:53 2023 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:xx:xx:xx Vlan MAC f8:f0:82:xx:xx:xx SoftWare Version 7.0.3.5(R0241.0594) BootRom Version 7.2.40 HardWare Version 1.0.1 CPLD Version N/A Serial No.:SW052010F9190xxxxx Copyright (C) 2023 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 2 days, 15 hours, 43 minutes Используем ip dhcp snooping enable, на абонентские порты навешиваем ip dhcp snooping action blackhole. Работает замечательно: если очередной абонентский TP-Link захотел поработать DHCP-сервером, то абонентский мак попадает в таблицу, которую можно вывести командой sh mac-address-table blackhole. Трафик от абонента ходить перестает, саппорт говорит юзеру обновить прошивку на роутере, ребутает свитч, все счастливы. Кроме абонентов за тем же свитчом, у которых во время ребута рвутся онлайн-игрухи на самом важном месте. Я перепробовал все, чтобы удалить мак из этой таблицы без ребута. Никаких ручек под кустом (no|clear) ip dhcp snooping для этого нет. Команда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff по идее должна удалять мак из таблицы, но не удаляет. Маки, которые туда положил dhcp snooping, чистятся только ребутом. Просьба ткнуть носом, как удалять маки из таблицы, либо поправить поведение no mac-address-table blackhole, если это баг. Мануал изучен вдоль и поперек, ответов там нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted September 18, 2023 · Report post @GeeZeeNburg, здравствуйте. Покажите, пожалуйста, конфигурацию с коммутатора "sh run" отдельным файлом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 18, 2023 · Report post Вроде бы там можно было настраивать таймаут для blackhole. Сейчас такой модели под рукой нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted September 18, 2023 · Report post Именно так, просто хотел посмотреть конфигурацию, есть ли там на порту такая настройка: SNR-S2985G-24T(config-if-ethernet1/0/5)#ip dhcp snooping action blackhole recovery ? <10-3600> Recovery interval in second <10-3600> Если нет, то необходимо добавить ее и указать время возвращения клиента из blackhole. Если такая настройка есть, то в чем тогда заключается вопрос? Вопрос, как достать клиента до истечения таймера recovery, или вопрос в том, что recovery не отрабатывает? Если вопрос первый, то есть решение в виде применения повторной команды recovery. Например, у нас есть настройка на порту: "ip dhcp snooping action blackhole recovery 3600" и клиент попал в блэкхол на час. Чтобы достать его оттуда, не дожидаясь окончания таймера, можно применить, например, такую команду: "ip dhcp snooping action blackhole recovery 10" Настройка поменяется, время обнулится, и записи blackhole будут очищены. Если вопрос второй, то тогда уже обращение на саппорт с прикладыванием "sh ver" + "sh run" + полное описание проблемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andpuxa Posted September 19, 2023 · Report post а если recover на порту не указан когда и как сбрасывается action? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted September 19, 2023 · Report post @andpuxa, никак не сбросить, в этом и смысл. Только удалением настройки с порта: "no ip dhcp snooping action" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GeeZeeNburg Posted September 19, 2023 · Report post Цитата Именно так, просто хотел посмотреть конфигурацию, есть ли там на порту такая настройка: SNR-S2985G-24T(config-if-ethernet1/0/5)#ip dhcp snooping action blackhole recovery ? <10-3600> Recovery interval in second <10-3600> Нет, recovery не стоит специально из опасения, что если роутер решил DHCP-ответами посыпать, то и пофлудить может, а у нас option 82 без vlan-per-user. Вопрос именно такой, какой озвучил andpuxa. Цитата никак не сбросить, в этом и смысл А в чем смысл банить мак до такой степени, что его нельзя удалить? Если это фича, почему тогда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff не ругается, что "запись неудаляема, передерните снупинг на порту", а просто молча ничего не делает? no ip dhcp snooping action попробуем, спасибо. Не пришло в голову, думал, запись кладется в таблицу статически. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...