[vcvitaly]

Коллеги, имеем много подобных записей в логах на D-Link 3200-26 C1, прошивка 4.34 B013, и все более ранние прошивки.

11368 2013-06-06 08:01:26 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB(IP:<192.168.0.1>, MAC:<BC-F6-85-17-93-33>, Port<10>)

За такими портами находятся роутеры D-Link, старых ревизий. Была, кажется, буквально пара случаев когда за портом был tp-link.

 

Кто-нибудь сталкивался? Как боролись? D-Link рекомендует прошивать роутеры, но то ли я плохо смотрел, то ли на проблемных роутерах уже стоит последняя прошивка с ftp длинка.

[BiWiS]

сообщение появляется во время перезагрузки клиентского роутера? :)

[vcvitaly]

Нет, я заходил на некоторые роутеры - у них довольно большой аптайм. Сообщение появляется одновременно на всех портах, за которыми есть роутеры. И по несколько раз в сутки.

Вы наблюдали такое при перезагрузке?

[BiWiS]

Нет, просто некоторые длинки и тплинки, с заводской прошивкой, при перезагрузке ван порт превращают в лан порт и в это время можно со стороны лан поймать дхцп стоящее за ван портом и наоборот (дхцп роутера вещает в ван порт). Свежая прошивка обычно это лечит.

[terrible]

При возможности настоятельно рекомендую отказываться от использования IP-MAC-Binding, с ним только головная боль.

[Negator]

При возможности настоятельно рекомендую отказываться от использования IP-MAC-Binding, с ним только головная боль.

Ну терпимо на самом деле. Просто у длинка у каждой модели есть свои особенности.

[tartila]

При возможности настоятельно рекомендую отказываться от использования IP-MAC-Binding, с ним только головная боль.

 

Почему? А как тогда абонов протектить от ARP-Spoofing? vlan per customer? - Оборудование дорого выйдет...

[srg555]

Почему? А как тогда абонов протектить от ARP-Spoofing? vlan per customer? - Оборудование дорого выйдет...

 

С помощью порт-изоляции(трафик-сегментации) и отключения arp learning на точке терминирования

[tartila]

Почему? А как тогда абонов протектить от ARP-Spoofing? vlan per customer? - Оборудование дорого выйдет...

 

С помощью порт-изоляции(трафик-сегментации) и отключения arp learning на точке терминирования

 

А если у меня сеть спроектирована с unnumbered ifaces на основе arp - как я отключу arp learning? :)

[srg555]

tartila

У вас же IPMB строит таблицу по dhcp-запросам. Что мешает строить arp-таблицу на точке терминирования исходя из dhcp-запросов?

[tartila]

tartila

У вас же IPMB строит таблицу по dhcp-запросам. Что мешает строить arp-таблицу на точке терминирования исходя из dhcp-запросов?

 

Нет, таблица строится скриптом, дабы не загружать процессор свитча снупингом DHCP offer.

[srg555]

tartila

Ну и что вам мешает строить arp-таблицу тем же скриптом на точке терминирования? Чем вы абонентов терминируете и как устроена обработка dhcp-запросов(где dhcp server, есть ли relay и т.д.)

[wed]

А что, процессор свича сильно грузится снупингом?

[srg555]

wed

Киньте на cpu 100мбит dhcp-флуда, узнаете ;)

[tartila]

tartila

Ну и что вам мешает строить arp-таблицу тем же скриптом на точке терминирования? Чем вы абонентов терминируете и как устроена обработка dhcp-запросов(где dhcp server, есть ли relay и т.д.)

 

Ну можно, конечно, но проще IPM...

[srg555]

Чем проще-то? ИМХО проще работать с таблицей на 1-2-нескольких устройствах, чем на сотнях-тысячах свитчей.

[hsvt]

Добрый день. Может кто нибудь поддтолкнуть какие настройки (WOL, energy efficient ethernet?) смотреть на клиенте ? 5 порт воткнут в iMac. Дёргает линк на 2 секунды, каждые 2 часа...

 

DES-3528, firmware 3.10.B052

 

795   2015-04-07 09:49:47 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                              
794   2015-04-07 09:49:47 INFO(6) Port 5 link up, 100Mbps FULL duplex
793   2015-04-07 09:49:45 INFO(6) Port 5 link down
792   2015-04-07 09:17:17 INFO(6) Port 14 link up, 100Mbps FULL duplex
791   2015-04-07 08:48:32 INFO(6) Port 9 link up, 100Mbps FULL duplex
790   2015-04-07 08:48:30 INFO(6) Port 9 link down
789   2015-04-07 08:39:52 INFO(6) Port 8 link up, 100Mbps FULL duplex
788   2015-04-07 08:39:51 INFO(6) Port 8 link down
787   2015-04-07 08:39:40 INFO(6) Port 8 link up, 10Mbps FULL duplex
786   2015-04-07 08:39:39 INFO(6) Port 8 link down
785   2015-04-07 08:00:58 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                                                                 
784   2015-04-07 08:00:57 INFO(6) Port 5 link up, 100Mbps FULL duplex
783   2015-04-07 08:00:55 INFO(6) Port 5 link down
782   2015-04-07 06:12:09 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                                                                
781   2015-04-07 06:12:08 INFO(6) Port 5 link up, 100Mbps FULL duplex
780   2015-04-07 06:12:06 INFO(6) Port 5 link down
779   2015-04-07 04:23:20 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                                                              
778   2015-04-07 04:23:19 INFO(6) Port 5 link up, 100Mbps FULL duplex
777   2015-04-07 04:23:17 INFO(6) Port 5 link down
776   2015-04-07 02:34:31 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                                                                
775   2015-04-07 02:34:30 INFO(6) Port 5 link up, 100Mbps FULL duplex
774   2015-04-07 02:34:28 INFO(6) Port 5 link down
773   2015-04-07 01:49:54 INFO(6) Port 6 Broadcast storm has cleared.
772   2015-04-07 01:49:49 WARN(4) Port 6 Broadcast storm is occurring.
771   2015-04-07 00:45:42 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                               
770   2015-04-07 00:45:41 INFO(6) Port 5 link up, 100Mbps FULL duplex
769   2015-04-07 00:45:39 INFO(6) Port 5 link down
768   2015-04-06 22:56:52 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)                                                         
767   2015-04-06 22:56:51 INFO(6) Port 5 link up, 100Mbps FULL duplex
766   2015-04-06 22:56:49 INFO(6) Port 5 link down
765   2015-04-06 21:08:03 WARN(4) Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<100.100.0.3>, MAC:<C8-2A-14-22-15-99>, Port<5>)

Edited April 7, 2015 by hsvt

[Liner's]

Как Вам такое:

 

DES-3200-28:admin#show address_binding blocked all
Command: show address_binding blocked all

VID  VLAN Name                        MAC Address       Port
---- -------------------------------- ----------------- ----
1    default                          64-70-02-E2-A0-13 23
72   vlan72                           1C-7E-E5-D2-BC-DD 24

Total Entries : 2


DES-3200-28:admin#show vlan ports 23
Command: show vlan ports 23

Port   VID   Untagged  Tagged  Dynamic  Forbidden
-----   ----  --------  ------  -------  ---------
23     200     X         -       -        -
23     3200    -         X       -        -

DES-3200-28:admin#show vlan
Command: show vlan


VLAN Trunk State        : Disabled
VLAN Trunk Member Ports :


VID             : 1               VLAN Name     : default
VLAN Type       : Static          Advertisement : Enabled
Member Ports    :
Static Ports    :
Current Tagged Ports  :
Current Untagged Ports:
Static Tagged Ports   :
Static Untagged Ports :
Forbidden Ports       :

 

как залетел мак в дефаулт?

[hsvt]

Да это понятно, но тут железка по новее вроде. У вас B или A ревизия? Или С ? Проблема вроде бы не везде. Но вопрос что посмореть на макинтоше актуален).

Edited April 7, 2015 by hsvt

[Liner's]

с1

удалил влан untagged, добавил снова, проблема ушла

[vurd]

как залетел мак в дефаулт?

 

Элементарно. Pvid = 1 на порту 23.

[D_Ev_io]

Коллеги, имеем много подобных записей в логах на D-Link 3200-26 C1, прошивка 4.34 B013, и все более ранние прошивки.

11368 2013-06-06 08:01:26 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB(IP:<192.168.0.1>, MAC:<BC-F6-85-17-93-33>, Port<10>)

За такими портами находятся роутеры D-Link, старых ревизий. Была, кажется, буквально пара случаев когда за портом был tp-link.

 

Кто-нибудь сталкивался? Как боролись? D-Link рекомендует прошивать роутеры, но то ли я плохо смотрел, то ли на проблемных роутерах уже стоит последняя прошивка с ftp длинка.

имеем то же самое поведение. по статистике не смотрел какие именно firmware этих cpe имеют такой глюк.

Самое что интересное, эти ошибки вылетают сразу пачками на одном коммутаторе на несколько портов.

 

Потом, когда я установил DHCP Screening Server на абонентских портах у меня свичи начали вместо Unauthenticated IP-MAC address ругаться, на DHCP untrusted server с этих портов. Хотя СРЕ однозначно воткнуто ВАН портом в сеть.

И сообщения Detected untrusted DHCP server (192.168.0.1, Port XX) вываливаются также пачками со всего свича доступа.

[nwur]

имеем то же самое поведение. по статистике не смотрел какие именно firmware этих cpe имеют такой глюк.

Самое что интересное, эти ошибки вылетают сразу пачками на одном коммутаторе на несколько портов.

 

Потом, когда я установил DHCP Screening Server на абонентских портах у меня свичи начали вместо Unauthenticated IP-MAC address ругаться, на DHCP untrusted server с этих портов. Хотя СРЕ однозначно воткнуто ВАН портом в сеть.

И сообщения Detected untrusted DHCP server (192.168.0.1, Port XX) вываливаются также пачками со всего свича доступа.

Они и правда светят своими dhcp-серверами в ван-порт. Поведение замечено за роутерами длинка (dir615), тплинка(741,841), зухеля (вообще вся линейка). Появляется внезапно, лечится ребутом роутера. Массово глючить начинают в первых числах месяца, после блокировок по балансу :)

Edited April 7, 2015 by nwur

[Liner's]

Массово глючить начинают в первых числах месяца, после блокировок по балансу :)

и абоненты начинают рестартовать роутеры