lousx Опубликовано 15 мая, 2012 · Жалоба Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется. Кто-то сталкивался с подобным? Как массово решить данную проблему? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 15 мая, 2012 · Жалоба Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется. Кто-то сталкивался с подобным? Как массово решить данную проблему? Спасибо. на форуме длинка что говорят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 15 мая, 2012 · Жалоба на форуме длинка что говорят? Молчат. Один из юзеров ответил: Мы постоянно сталкиваемся. Решить проблему кардинально - уйти от использования IP-MAC-Binding Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 мая, 2012 (изменено) · Жалоба Схема vlan per switch Boot PROM Version : Build 1.00.B06 Firmware Version : Build 2.90.B07 Hardware Version : A1 enable address_binding trap_log enable address_binding dhcp_snoop enable address_binding arp_inspection config address_binding dhcp_snoop max_entry ports 1-24 limit 1 config address_binding ip_mac ports 1-24 mode arp stop_learning_threshold 50 state enable strict allow_zeroip enable forward_dhcppkt enable config dhcp_relay hops 5 time 0 config dhcp_relay add vlanid $vlan_tag $ip_dhcp_server config dhcp_relay option_82 check enable config dhcp_relay option_82 state enable config dhcp_relay option_82 policy keep enable dhcp_relay Подобных проблем незамечено Изменено 15 мая, 2012 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 15 мая, 2012 · Жалоба У нас руками ip бьются. Наверное придется перейти на DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 15 мая, 2012 · Жалоба У нас руками ip бьются. Наверное придется перейти на DHCP. на форуме длинка что говорят? Проблема НЕ решена :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 16 мая, 2012 · Жалоба Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется. Кто-то сталкивался с подобным? Как массово решить данную проблему? Спасибо. у вас в режиме strict? поставьте loose и проблема решена Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 17 мая, 2012 (изменено) · Жалоба у вас в режиме strict? поставьте loose и проблема решена Спасибо, на d-link форуме то же самое посоветовали. Попробуем. Объясните в чем разница между strict и loose? P.S. Это тоже вы) Изменено 17 мая, 2012 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 17 мая, 2012 · Жалоба Ну вот что по памяти помню: strict тупо фильтрует все пакеты не попадающие под заданные параметры (ip,mac) для loose сначало нужен arp пакет с неверным ip,mac прежде чем заблокировать на новых прошивках проблема со strict связанна с хэш-коллизиями, то-есть если абонент попал в коллизию, то его почему-то не пускает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2012 · Жалоба Из man dlink: IP-MAC-Port Binding ACL Mode (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно Команды для настройки коммутатора: 1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3 ports 2 mode acl . . . 2) config address_binding ip_mac ports 2 state enable . . . 3) enable address_binding acl_mode При ACL привязке подобных проблем не наблюдается? Может возникают какие-то другие проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 19 мая, 2012 · Жалоба Объясните в чем разница между strict и loose? Было что-то такое: strict пропускает только валидные связки, loose блокирует только невалидные связки.Например трафик PPPoE, который вообще не содержит ip адреса, будет пропущен режимом loose, но заблокирован режимом strict на новых прошивках проблема со strict связанна с хэш-коллизиями, то-есть если абонент попал в коллизию, то его почему-то не пускает... Это точно или предположение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 21 мая, 2012 (изменено) · Жалоба И все же какой вариант надежнее, стабильнее и влечет меньше подводных камней? Привязка ACL или ARP но в режиме Loose? P.S. На 3028 вообще есть привязка ACL? Не нашел... Точнее через веб ACL Не активен, но по ssh команда канает. Тем не менее в веб интерфейсе у это записи остается ARP mode: DES-3028:5#config address_binding ip_mac ports 9 state enable mode acl allow_zeroip enable Command: config address_binding ip_mac ports 9 state enable mode acl allow_zeroip enable Warning! All enabled ACL mode ports will be changed to strict mode. Success. Изменено 21 мая, 2012 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 22 мая, 2012 · Жалоба Создаешь 2 профиля в 1 разрешаешь ип на определеный порт, в другом блокируешь все в этом порту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...