Jump to content
Калькуляторы

SNR-S2965-48T ip dhcp snooping action blackhole кладет маки в таблицу blackhole, а как их оттуда удалить?

SNR-S2965-48T#sh ver
  SNR-S2965-48T Device, Compiled on May 07 19:33:53 2023
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:xx:xx:xx
  Vlan MAC f8:f0:82:xx:xx:xx
  SoftWare Version 7.0.3.5(R0241.0594)
  BootRom Version 7.2.40
  HardWare Version 1.0.1
  CPLD Version N/A
  Serial No.:SW052010F9190xxxxx
  Copyright (C) 2023 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 2 days, 15 hours, 43 minutes

Используем ip dhcp snooping enable, на абонентские порты навешиваем ip dhcp snooping action blackhole.

Работает замечательно: если очередной абонентский TP-Link захотел поработать DHCP-сервером, то абонентский мак попадает в таблицу, которую можно вывести командой sh mac-address-table blackhole. Трафик от абонента ходить перестает, саппорт говорит юзеру обновить прошивку на роутере, ребутает свитч, все счастливы. Кроме абонентов за тем же свитчом, у которых во время ребута рвутся онлайн-игрухи на самом важном месте.

 

Я перепробовал все, чтобы удалить мак из этой таблицы без ребута. Никаких ручек под кустом (no|clear) ip dhcp snooping для этого нет. Команда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff по идее должна удалять мак из таблицы, но не удаляет. Маки, которые туда положил dhcp snooping, чистятся только ребутом.
Просьба ткнуть носом, как удалять маки из таблицы, либо поправить поведение no mac-address-table blackhole, если это баг. Мануал изучен вдоль и поперек, ответов там нет.

 

Share this post


Link to post
Share on other sites

@GeeZeeNburg, здравствуйте.

Покажите, пожалуйста, конфигурацию с коммутатора "sh run" отдельным файлом.

Share this post


Link to post
Share on other sites

Именно так, просто хотел посмотреть конфигурацию, есть ли там на порту такая настройка:

SNR-S2985G-24T(config-if-ethernet1/0/5)#ip dhcp snooping action blackhole recovery ?
  <10-3600>  Recovery interval in second <10-3600>

 

Если нет, то необходимо добавить ее и указать время возвращения клиента из blackhole.

Если такая настройка есть, то в чем тогда заключается вопрос? Вопрос, как достать клиента до истечения таймера recovery, или вопрос в том, что recovery не отрабатывает?

 

Если вопрос первый, то есть решение в виде применения повторной команды recovery.

Например, у нас есть настройка на порту:

"ip dhcp snooping action blackhole recovery 3600"

и клиент попал в блэкхол на час.

Чтобы достать его оттуда, не дожидаясь окончания таймера, можно применить, например, такую команду:

"ip dhcp snooping action blackhole recovery 10"

Настройка поменяется, время обнулится, и записи blackhole будут очищены.

 

Если вопрос второй, то тогда уже обращение на саппорт с прикладыванием "sh ver" + "sh run" + полное описание проблемы.

Share this post


Link to post
Share on other sites

@andpuxa, никак не сбросить, в этом и смысл. Только удалением настройки с порта: "no ip dhcp snooping action"

Share this post


Link to post
Share on other sites

Цитата

Именно так, просто хотел посмотреть конфигурацию, есть ли там на порту такая настройка:

SNR-S2985G-24T(config-if-ethernet1/0/5)#ip dhcp snooping action blackhole recovery ?
  <10-3600>  Recovery interval in second <10-3600>

Нет, recovery не стоит специально из опасения, что если роутер решил DHCP-ответами посыпать, то и пофлудить может, а у нас option 82 без vlan-per-user.
Вопрос именно такой, какой озвучил andpuxa.

 

Цитата

никак не сбросить, в этом и смысл

А в чем смысл банить мак до такой степени, что его нельзя удалить?
Если это фича, почему тогда no mac-address-table blackhole address aa-bb-cc-dd-ee-ff не ругается, что "запись неудаляема, передерните снупинг на порту", а просто молча ничего не делает?

no ip dhcp snooping action попробуем, спасибо. Не пришло в голову, думал, запись кладется в таблицу статически.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.