[GeeZeeNburg]

SNR-S2965-48T#sh ver
  SNR-S2965-48T Device, Compiled on May 07 19:33:53 2023
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:xx:xx:xx
  Vlan MAC f8:f0:82:xx:xx:xx
  SoftWare Version 7.0.3.5(R0241.0594)
  BootRom Version 7.2.40
  HardWare Version 1.0.1
  CPLD Version N/A
  Serial No.:SW052010F9190xxxxx
  Copyright (C) 2023 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 2 days, 15 hours, 43 minutes

Используем ip dhcp snooping enable, на абонентские порты навешиваем ip dhcp snooping action blackhole.

Работает замечательно: если очередной абонентский TP-Link захотел поработать DHCP-сервером, то абонентский мак попадает в таблицу, которую можно вывести командой sh mac-address-table blackhole. Трафик от абонента ходить перестает, саппорт говорит юзеру обновить прошивку на роутере, ребутает свитч, все счастливы. Кроме абонентов за тем же свитчом, у которых во время ребута рвутся онлайн-игрухи на самом важном месте.

 

Я перепробовал все, чтобы удалить мак из этой таблицы без ребута. Никаких ручек под кустом (no|clear) ip dhcp snooping для этого нет. Команда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff по идее должна удалять мак из таблицы, но не удаляет. Маки, которые туда положил dhcp snooping, чистятся только ребутом.
Просьба ткнуть носом, как удалять маки из таблицы, либо поправить поведение no mac-address-table blackhole, если это баг. Мануал изучен вдоль и поперек, ответов там нет.

 

[Vladimir Efimtsev]

@GeeZeeNburg, здравствуйте.

Покажите, пожалуйста, конфигурацию с коммутатора "sh run" отдельным файлом.

[alibek]

Вроде бы там можно было настраивать таймаут для blackhole.

Сейчас такой модели под рукой нет.

[Vladimir Efimtsev]

Именно так, просто хотел посмотреть конфигурацию, есть ли там на порту такая настройка:

SNR-S2985G-24T(config-if-ethernet1/0/5)#ip dhcp snooping action blackhole recovery ?
  <10-3600>  Recovery interval in second <10-3600>

 

Если нет, то необходимо добавить ее и указать время возвращения клиента из blackhole.

Если такая настройка есть, то в чем тогда заключается вопрос? Вопрос, как достать клиента до истечения таймера recovery, или вопрос в том, что recovery не отрабатывает?

 

Если вопрос первый, то есть решение в виде применения повторной команды recovery.

Например, у нас есть настройка на порту:

"ip dhcp snooping action blackhole recovery 3600"

и клиент попал в блэкхол на час.

Чтобы достать его оттуда, не дожидаясь окончания таймера, можно применить, например, такую команду:

"ip dhcp snooping action blackhole recovery 10"

Настройка поменяется, время обнулится, и записи blackhole будут очищены.

 

Если вопрос второй, то тогда уже обращение на саппорт с прикладыванием "sh ver" + "sh run" + полное описание проблемы.

[andpuxa]

а если recover  на порту не указан когда и как сбрасывается action?

[Vladimir Efimtsev]

@andpuxa, никак не сбросить, в этом и смысл. Только удалением настройки с порта: "no ip dhcp snooping action"

[GeeZeeNburg]

Цитата

Именно так, просто хотел посмотреть конфигурацию, есть ли там на порту такая настройка:

SNR-S2985G-24T(config-if-ethernet1/0/5)#ip dhcp snooping action blackhole recovery ?
  <10-3600>  Recovery interval in second <10-3600>

Нет, recovery не стоит специально из опасения, что если роутер решил DHCP-ответами посыпать, то и пофлудить может, а у нас option 82 без vlan-per-user.
Вопрос именно такой, какой озвучил andpuxa.

 

Цитата

никак не сбросить, в этом и смысл

А в чем смысл банить мак до такой степени, что его нельзя удалить?
Если это фича, почему тогда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff не ругается, что "запись неудаляема, передерните снупинг на порту", а просто молча ничего не делает?

no ip dhcp snooping action попробуем, спасибо. Не пришло в голову, думал, запись кладется в таблицу статически.