Megas Posted November 28, 2011 Posted November 28, 2011 Все таки понять да и для общей статистики, ведь все решения по своему хороши, предлагаю небольшое голосование. Заранее извиняюсь если уже такое когда-то было. Вставить ник Quote
Gunner Posted November 28, 2011 Posted November 28, 2011 (edited) IP-MAC-Port не вариант вообще 1) коллизии мака клиента нет в фдб привязки не будет клиент сидит кукует 2) клиент воткнул шнурок в свой ноут - как скоро ваш дшцп сервер ему выдаст ип ? Edited November 28, 2011 by Gunner Вставить ник Quote
vurd Posted November 28, 2011 Posted November 28, 2011 (edited) IP ACL + PCF ACL. Автор голосования явно dhcp snooping-ом пользуется, судя по стилю описания вариантов? Edited November 28, 2011 by vurd Вставить ник Quote
Megas Posted November 28, 2011 Author Posted November 28, 2011 Меня просто слегка достали вот такие события: Nov 28 09:19:16 192.168.40.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.64.141, MAC: 00-1D-7D-A4-21-18, Port: 5)Nov 28 08:52:44 192.168.40.22 INFO: Port 3 link up, 100Mbps FULL duplex Nov 28 08:53:23 192.168.40.22 INFO: Port 3 link down Nov 28 08:53:26 192.168.40.22 INFO: Port 3 link up, 100Mbps FULL duplex Nov 28 11:29:10 192.168.40.24 INFO: Port 5 link down Nov 28 11:29:13 192.168.40.24 INFO: Port 5 link up, 100Mbps FULL duplex Nov 28 11:29:15 192.168.40.24 INFO: Port 5 link down Nov 28 11:29:18 192.168.40.24 INFO: Port 5 link up, 100Mbps FULL duplex Nov 28 08:53:40 192.168.40.22 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.77.94, MAC: 00-1D-7D-01-7E-D4, Port: 3)Nov 28 09:54:32 192.168.40.22 INFO: Port 5 link down Nov 28 09:54:35 192.168.40.22 INFO: Port 5 link up, 100Mbps FULL duplex Nov 28 09:56:42 192.168.40.22 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.12.25, MAC: 00-1B-22-01-5B-DF, Port: 5) {Это валидный нормальный ip, почему блокирован хз?} И это сеть которая запущена в тестовом режиме, с 6 коммутаторами, из них в блокировку каждый день попадает порядка 5-8 портов. Коммутаторы: Device Type : DES-3200-10 Fast Ethernet Switch Boot PROM Version : Build 1.00.B003 Firmware Version : Build 1.52.B009 Считаю это не нормальным поведением, но по итогу ведь у кого-то работает просто отлично, а кто-то мучается. Если бы был хороший опыт программирования, давно нарисовал бы примерно такую схему: центральная база с конфигами всех свичей, по датам и времени, раз в сутки или при изменении, вносятся правки в эти конфиги, скрипт который раз в 5 минут отслеживает дату изменения файла конфига и если тот изменился сливает конфиг со свича, проверяет изменения и производит синхронизацию локального конфига с конфигом на свиче, также скрипт раз в 1 минуту к примеру тем же zabbix отслеживает время uptime свича, и если оно меняется вливает туда в ram локальный актуальный конфиг. Много букв, но слегка накипело, и это еще только начало чувствуется. Другого более менее вменяемого решения пока не вижу, честно. Также нуна парсилка на syslogod сервере логовов свичей, и все вот такие проблемные места выливаются в отдельные файлы, для актуализации данных. Вставить ник Quote
ingress Posted November 28, 2011 Posted November 28, 2011 IPMb - набор костылей под различные версии windows и всевозможные кособокие dhcp стеки. PCF + IP ACL - железно рабочее. Вставить ник Quote
Negator Posted November 28, 2011 Posted November 28, 2011 дался вам этот влан пер юзер. вот не пойму что в нем такого? зачем? все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping. Вставить ник Quote
darkagent Posted November 29, 2011 Posted November 29, 2011 все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping. lbd + igmp snooping сейчас умеют уже чуть ли не самые дешевые мыльницы, а вот применять pcf или адекватный dhcp snooping - уже действительно надо что то шибко умное. а вобще, VpU избавляет от необходимости использовать софтовые фичи коммутаторов доступа, которые чаще всего омерзительно криво работают и допиливаются годами, и не редко вызывают сбой работы коммутатора, а то и сегмента сети. Вставить ник Quote
Alexandr Ovcharenko Posted November 29, 2011 Posted November 29, 2011 все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping. lbd + igmp snooping сейчас умеют уже чуть ли не самые дешевые мыльницы, а вот применять pcf или адекватный dhcp snooping - уже действительно надо что то шибко умное. а вобще, VpU избавляет от необходимости использовать софтовые фичи коммутаторов доступа, которые чаще всего омерзительно криво работают и допиливаются годами, и не редко вызывают сбой работы коммутатора, а то и сегмента сети. Ни от чего ваш VpU не избавляет, наоборот - заставляет жестко привязывать каждый свич на доступе к определенному набору вланов, резко ограничивает архитектуру агрегации/ядра и заставляет обвешиваться костылями в виде qnq при более чем 4к юзерах. VpU - это всего лишь одна из ступеней эволюции пионера в нормального оператора, аналогичная тому же pppoe, но вовсе не заключительная стадия этой эволюции. :) И с каких это пор PCF+IP ACL стали софтовыми фичами? Это АППАРАТНЫЕ фичи подавляющего большинства выпускаемых сегодня в мире асиков. То, что не все вендоры в своих прошивках на 100% задействуют функционал асиков - это их личное сексуальное горе. Первым начал юзать pcf длинк, теперь это делают ежики и snr. И я не вижу причин, мешающих это делать каким-либо другим вендорам. Вставить ник Quote
Ivan_83 Posted November 29, 2011 Posted November 29, 2011 дался вам этот влан пер юзер. вот не пойму что в нем такого? зачем? все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping. На случай дешманского доступа, когда на ближайшем узле что то по умнее собирает вланы и делает с ними. Вставить ник Quote
ingress Posted November 29, 2011 Posted November 29, 2011 заставляет жестко привязывать каждый свич на доступе к определенному набору вланов, резко ограничивает архитектуру агрегации/ядра и заставляет обвешиваться костылями в виде qnq при более чем 4к юзерах да ладно, можно вообще одинаковые вланы для пользователей сделать на всех домах(т.е. полностью одинаковая конфигурация везде, кроме интерфейса управления и мультикаст влана), а тэг "дома" будет уникальным, итого 4к "домов". мало? или qinq костыль потому что до сих пор не поддерживается вашем любимом *BSD/linux и рождает кучу глюков? а на брасе вообще создать унифицированную конфигурацию под всех пользователей с одним адресным пространством и авторизовать через captive portal, так что без разницы какие там порты, вланы и т.п. Вставить ник Quote
Ivan_83 Posted November 29, 2011 Posted November 29, 2011 мало? или qinq костыль потому что до сих пор не поддерживается вашем любимом *BSD/linux и рождает кучу глюков? Я тут в свободное время дописал поддержку: http://www.freebsd.o...r.cgi?pr=161908 Попозже ng_bridge хочу переписать, чтобы многопоточным был и тоже вланы понимал. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.