Перейти к содержимому
Калькуляторы

IP+PORT+MAC Binding des -3028 глюк?

Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется.

 

Кто-то сталкивался с подобным? Как массово решить данную проблему?

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется.

 

Кто-то сталкивался с подобным? Как массово решить данную проблему?

 

Спасибо.

 

на форуме длинка что говорят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

на форуме длинка что говорят?

Молчат. Один из юзеров ответил:

 

Мы постоянно сталкиваемся. Решить проблему кардинально - уйти от использования IP-MAC-Binding

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Схема vlan per switch

Boot PROM Version  : Build 1.00.B06
Firmware Version   : Build 2.90.B07
Hardware Version   : A1

 

enable address_binding trap_log
enable address_binding dhcp_snoop
enable address_binding arp_inspection
config address_binding dhcp_snoop max_entry ports 1-24 limit 1
config address_binding ip_mac ports 1-24 mode arp stop_learning_threshold 50 state enable strict allow_zeroip enable forward_dhcppkt enable

config dhcp_relay hops 5 time 0
config dhcp_relay add vlanid $vlan_tag $ip_dhcp_server
config dhcp_relay option_82 check enable
config dhcp_relay option_82 state enable
config dhcp_relay option_82 policy keep
enable dhcp_relay

Подобных проблем незамечено

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас руками ip бьются. Наверное придется перейти на DHCP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас руками ip бьются. Наверное придется перейти на DHCP.

на форуме длинка что говорят?

Проблема НЕ решена :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошили des 3028 прошивой 2.90.B09. Теперь некоторых привязанных IP+PORT+MAC клиентов свитч не пускает в сеть, причем блок лист пуст. Отвязав включенные комп и снова привязав - все работает. Но после рестарта компа снова блокируется.

 

Кто-то сталкивался с подобным? Как массово решить данную проблему?

 

Спасибо.

у вас в режиме strict?

поставьте loose и проблема решена

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у вас в режиме strict?

поставьте loose и проблема решена

Спасибо, на d-link форуме то же самое посоветовали.

Попробуем.

 

Объясните в чем разница между strict и loose?

 

P.S. Это тоже вы)

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот что по памяти помню:

strict тупо фильтрует все пакеты не попадающие под заданные параметры (ip,mac)

для loose сначало нужен arp пакет с неверным ip,mac прежде чем заблокировать

 

на новых прошивках проблема со strict связанна с хэш-коллизиями, то-есть если абонент попал в коллизию, то его почему-то не пускает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из man dlink:

IP-MAC-Port Binding ACL Mode (пример)

 

Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно

Команды для настройки коммутатора:

 

1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address

00-03-25-05-5F-F3 ports 2 mode acl

.

.

.

2) config address_binding ip_mac ports 2 state enable

.

.

.

3) enable address_binding acl_mode

 

При ACL привязке подобных проблем не наблюдается? Может возникают какие-то другие проблемы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните в чем разница между strict и loose?

Было что-то такое:

strict пропускает только валидные связки, loose блокирует только невалидные связки.

Например трафик PPPoE, который вообще не содержит ip адреса, будет пропущен режимом loose, но заблокирован режимом strict

 

на новых прошивках проблема со strict связанна с хэш-коллизиями, то-есть если абонент попал в коллизию, то его почему-то не пускает...

Это точно или предположение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И все же какой вариант надежнее, стабильнее и влечет меньше подводных камней? Привязка ACL или ARP но в режиме Loose?

 

P.S.

На 3028 вообще есть привязка ACL? Не нашел...

Точнее через веб ACL Не активен, но по ssh команда канает. Тем не менее в веб интерфейсе у это записи остается ARP mode:

 

DES-3028:5#config address_binding ip_mac ports 9 state enable mode acl allow_zeroip enable
Command: config address_binding ip_mac ports 9 state enable mode acl allow_zeroip enable

Warning! All enabled ACL mode ports will be changed to strict mode.
Success.

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создаешь 2 профиля в 1 разрешаешь ип на определеный порт, в другом блокируешь все в этом порту

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.