Jump to content
Калькуляторы

IP-MAC binding и абонентские роутеры IP-MAC binding и абонентские роутеры

Народ, в связи с массовым распространением абонентских роутеров часто стали сталкиваться

со следующим:

по биндингу коммутатор лочит порт, к которому подключен роутер, при этом роутер не перевернут и включен ПРАВИЛЬНО

 

лог коммутатора DGS-3200-16:

Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.1.1>, MAC:<00-25-22-88-20-5D>, Port<14>)

 

кто сталкивался, как лечить?

Share this post


Link to post
Share on other sites

Это глюки роутеров, не обращайте внимания.

я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы?

Share this post


Link to post
Share on other sites

Это глюки роутеров, не обращайте внимания.

я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы?

Да.

 

А что за прошивка на коммутаторе?

Share this post


Link to post
Share on other sites

Это глюки роутеров, не обращайте внимания.

я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы?

Да.

 

А что за прошивка на коммутаторе?

2.20.B008

а если правило в iptables добавить на роутере - поможет?

Share this post


Link to post
Share on other sites

Лечится обновлением прошивок на роутере.

Еще можно создать еще одну привязку на порт - 192.168.1.1 00-25-22-88-20-5D, там разрешено вешать на 1 MAC несколько IP (но не наоборот, т.е. максимум 1 глючный роутер на коммутатор).

 

На DE-3526 можно использовать permit_ip_pool

Edited by littlesavage

Share this post


Link to post
Share on other sites

а у вас vpn используется?

по опыту скажу:

Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН

То на работу абонента эта запись в логе никак не влияет

 

но у меня в сети IPOE

Edited by mcdemon

Share this post


Link to post
Share on other sites

а у вас vpn используется?

по опыту скажу:

Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН

То на работу абонента эта запись в логе никак не влияет

 

но у меня в сети IPOE

именно vpn

Share this post


Link to post
Share on other sites

Я тоже замечаю данное действо в сетке. Лечим перепрошивкой на более свежую, но некоторым не помогает, тогда меняем IP-адрес LAN допустим на 192.168.0.1 (DHCP соответственно). Тоже помогает.

Share this post


Link to post
Share on other sites

Встретились с той же проблемой на роутерах Zyxel Keenetic Lite. Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Перепрошивка не помогает.

Как боритесь с этой проблемой?

Share this post


Link to post
Share on other sites

Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера.

 

Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет.

Share this post


Link to post
Share on other sites

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Share this post


Link to post
Share on other sites

Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера.

 

Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет.

Может мы что-то не так настраиваем на MES, но связь у клиента периодически пропадает при этом. После отключения arp inspection на данных портах (trusted) - все ok. Проявлялось не один раз... и судя по теме не только у нас.

Share this post


Link to post
Share on other sites

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча.

Edited by pppoetest

Share this post


Link to post
Share on other sites

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча.

 

Ну началось. Похоже общаться не имеет смысла. Идите читайте доки про всю связку DHCP Snooping (который строит базу, по которой работают DAI и Source guard), DAI=arp inspection - пропуск ARP пакетов с любого недоверенного порта если в пакете пара мак-ip соответствуют биндингу, IP Source guard - жесткая запись в TCAM на пропуск с порта только пакетов с изученным с этого порта IP.

 

Учитывая, что MES3500 - скорее всего стоит агрегацией и до него долетают кривые пакеты, проблема спрашивающего в архитектуре сети. Cкорее всего нескольких сотен ячеек TCAM не хватает. Всю тройку фич L2 безопасности надо включать на абоненском порту, порт на агрегации уже доверяет всему трафику с доступа.

 

P.s Используем 15 штук MES3124F на агрегации и около 100 штук MES2124 на доступе, не считая 800 поставленных ранее cisco SG300 и sps2024 - все имеют абсолютно идентичный интерфейс, т.к. родились на одной платформе от Marvel.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча.

спор продолжим или передумали? :)

Share this post


Link to post
Share on other sites

Бл***. свитчи MES оказывается не только у Eltex есть. И я перепутал MES3500 с их линейкой MES31xx

Тогда да, фиг знает что там зюксель напридумал. Я привык думать логикой циски.

Share this post


Link to post
Share on other sites

я привык думать логикой длинка)

и с зюкселями не работал

но почти уверен, что зюксель работает именно так как мы с тобой говорим Илья)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this