bockra Опубликовано 29 июля, 2010 · Жалоба Здравствуйте, имеется Zyxel MES-3528. Хочу сделать привязку ip-mac-port vlan 7 normal 3-9,11-28 fixed 1-2,10 forbidden "" untagged 1,10 ip address default-management 192.168.1.10 255.255.255.0 exit interface port-channel 1 pvid 7 exit interface port-channel 2 pvid 7 exit interface port-channel 10 pvid 7 exit ip source binding 00:06:19:03:71:17 vlan 7 192.168.1.5 interface port-channel 10 но при смене ip на хосте подключенном к 10 порту все равно имею возможность отправлять пакеты от этого Хоста к другому, подключеному ко 2 порту Есть какие-либо идеи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 29 июля, 2010 (изменено) · Жалоба Надо бы включить функцию arp inspection и настроить на vlan7. При этом магистральные порты обязательно выставить в trust Изменено 29 июля, 2010 пользователем Vadic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба Надо бы включить функцию arp inspection и настроить на vlan7. При этом магистральные порты обязательно выставить в trust Благодарю. inspection настроил, а до в ключения магистральных портов в траст не додумался. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба А нельзя ли выставить arp inspection Expiry time на более длит срок, ибо на ES-2024 после окончания времени он разрешает гонять по портам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 29 июля, 2010 · Жалоба А кто вам мешает выставить время больше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба А кто вам мешает выставить время больше? незнание всех команд (: подскажите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба А кто вам мешает выставить время больше? незнание всех команд (: подскажите? добыл arp inspection filter-aging-time 2147483647 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 29 июля, 2010 (изменено) · Жалоба А зачем вам такой интервал? У меня к примеру стоит 300 секунд и этого вполне хватает. Так как при повторном обращении с неправильным маком или IP его свич заблокирует на 5 минут. И так по циклу повторяется. Изменено 29 июля, 2010 пользователем Vadic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба а нельзя ли чтобы правило сбрасывалось когда пользователь меняет обратно ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 29 июля, 2010 · Жалоба Так для этого у меня и стоит 300 секунд. По истечении этого времени с правильными данными свич не будет блокировать его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба А зачем вам такой интервал? У меня к примеру стоит 300 секунд и этого вполне хватает. Так как при повторном обращении с неправильным маком или IP его свич заблокирует на 5 минут. И так по циклу повторяется. странно. У меня при повторном использовании с неправильным ip после истечении времени он может спокойно работать в сети... странно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 29 июля, 2010 · Жалоба А какая у вас прошивка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба А какая у вас прошивка? V3.90(TX.2) | 11/23/2009 настраиваю на es-2024 сейчас. ибо их большее кол-во в сети... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 29 июля, 2010 · Жалоба Понятно. Я от этой прошивки отказался из-за багов. Вот мои прошивки: MES-3528 Current ZyNOS version: V3.90(BHR.3)20100409 | 04/09/2010 ES-2024A Current ZyNOS version: V3.90(TX.1)20090909 | 09/09/2009 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 29 июля, 2010 · Жалоба Понятно. Я от этой прошивки отказался из-за багов.Вот мои прошивки: MES-3528 Current ZyNOS version: V3.90(BHR.3)20100409 | 04/09/2010 ES-2024A Current ZyNOS version: V3.90(TX.1)20090909 | 09/09/2009 спасибо. завтра попробую. уже конец рабочего дня (: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 30 июля, 2010 (изменено) · Жалоба ИТОГ: НЕ работает на ES-2024A Current ZyNOS version: V3.80(TX.0) ES-2024A Current ZyNOS version: V3.90(TX.2) Работает на MES-3528 Current ZyNOS version: V3.90(BHR.3)20100409 | 04/09/2010 MES-3528 Current ZyNOS version: V3.90(BHR.2) ES-2024A Current ZyNOS version: V3.90(TX.1)20090909 | 09/09/2009 Изменено 30 июля, 2010 пользователем bockra Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bockra Опубликовано 30 июля, 2010 · Жалоба Пример рабочего конфига ; Product Name = ES-2024A ; Firmware Version = V3.90(TX.2) | 11/23/2009 ; SysConf Engine Version = 1.2 vlan 1 name 1 normal "" fixed 1-26 forbidden "" untagged 1-26 exit vlan 7 name vlan7 normal 3-25 fixed 1-2,26 forbidden "" untagged 1,26 ip address default-management 192.168.1.10 255.255.255.0 exit interface port-channel 2 arp inspection trust exit interface port-channel 25 arp inspection trust exit interface port-channel 26 pvid 7 arp inspection trust exit ip source binding 00:06:19:03:71:17 vlan 7 192.168.1.1 interface port-channel 1 arp inspection vlan 7 arp inspection log-buffer entries 10 arp inspection log-buffer logs 10 interval 10 arp inspection filter-aging-time 30 arp inspection Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...