lousx Posted May 15, 2012 Posted May 15, 2012 Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется. Кто-то сталкивался с подобным? Как массово решить данную проблему? Спасибо. Вставить ник Quote
Konstantin Klimchev Posted May 15, 2012 Posted May 15, 2012 Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется. Кто-то сталкивался с подобным? Как массово решить данную проблему? Спасибо. на форуме длинка что говорят? Вставить ник Quote
lousx Posted May 15, 2012 Author Posted May 15, 2012 на форуме длинка что говорят? Молчат. Один из юзеров ответил: Мы постоянно сталкиваемся. Решить проблему кардинально - уйти от использования IP-MAC-Binding Вставить ник Quote
pppoetest Posted May 15, 2012 Posted May 15, 2012 (edited) Схема vlan per switch Boot PROM Version : Build 1.00.B06 Firmware Version : Build 2.90.B07 Hardware Version : A1 enable address_binding trap_log enable address_binding dhcp_snoop enable address_binding arp_inspection config address_binding dhcp_snoop max_entry ports 1-24 limit 1 config address_binding ip_mac ports 1-24 mode arp stop_learning_threshold 50 state enable strict allow_zeroip enable forward_dhcppkt enable config dhcp_relay hops 5 time 0 config dhcp_relay add vlanid $vlan_tag $ip_dhcp_server config dhcp_relay option_82 check enable config dhcp_relay option_82 state enable config dhcp_relay option_82 policy keep enable dhcp_relay Подобных проблем незамечено Edited May 15, 2012 by pppoetest Вставить ник Quote
lousx Posted May 15, 2012 Author Posted May 15, 2012 У нас руками ip бьются. Наверное придется перейти на DHCP. Вставить ник Quote
xcme Posted May 15, 2012 Posted May 15, 2012 У нас руками ip бьются. Наверное придется перейти на DHCP. на форуме длинка что говорят? Проблема НЕ решена :) Вставить ник Quote
mcdemon Posted May 16, 2012 Posted May 16, 2012 Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется. Кто-то сталкивался с подобным? Как массово решить данную проблему? Спасибо. у вас в режиме strict? поставьте loose и проблема решена Вставить ник Quote
lousx Posted May 17, 2012 Author Posted May 17, 2012 (edited) у вас в режиме strict? поставьте loose и проблема решена Спасибо, на d-link форуме то же самое посоветовали. Попробуем. Объясните в чем разница между strict и loose? P.S. Это тоже вы) Edited May 17, 2012 by lousx Вставить ник Quote
mcdemon Posted May 17, 2012 Posted May 17, 2012 Ну вот что по памяти помню: strict тупо фильтрует все пакеты не попадающие под заданные параметры (ip,mac) для loose сначало нужен arp пакет с неверным ip,mac прежде чем заблокировать на новых прошивках проблема со strict связанна с хэш-коллизиями, то-есть если абонент попал в коллизию, то его почему-то не пускает... Вставить ник Quote
lousx Posted May 18, 2012 Author Posted May 18, 2012 Из man dlink: IP-MAC-Port Binding ACL Mode (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно Команды для настройки коммутатора: 1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3 ports 2 mode acl . . . 2) config address_binding ip_mac ports 2 state enable . . . 3) enable address_binding acl_mode При ACL привязке подобных проблем не наблюдается? Может возникают какие-то другие проблемы? Вставить ник Quote
xcme Posted May 19, 2012 Posted May 19, 2012 Объясните в чем разница между strict и loose? Было что-то такое: strict пропускает только валидные связки, loose блокирует только невалидные связки.Например трафик PPPoE, который вообще не содержит ip адреса, будет пропущен режимом loose, но заблокирован режимом strict на новых прошивках проблема со strict связанна с хэш-коллизиями, то-есть если абонент попал в коллизию, то его почему-то не пускает... Это точно или предположение? Вставить ник Quote
lousx Posted May 21, 2012 Author Posted May 21, 2012 (edited) И все же какой вариант надежнее, стабильнее и влечет меньше подводных камней? Привязка ACL или ARP но в режиме Loose? P.S. На 3028 вообще есть привязка ACL? Не нашел... Точнее через веб ACL Не активен, но по ssh команда канает. Тем не менее в веб интерфейсе у это записи остается ARP mode: DES-3028:5#config address_binding ip_mac ports 9 state enable mode acl allow_zeroip enable Command: config address_binding ip_mac ports 9 state enable mode acl allow_zeroip enable Warning! All enabled ACL mode ports will be changed to strict mode. Success. Edited May 21, 2012 by lousx Вставить ник Quote
Gunner Posted May 22, 2012 Posted May 22, 2012 Создаешь 2 профиля в 1 разрешаешь ип на определеный порт, в другом блокируешь все в этом порту Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.