ichthyandr Опубликовано 18 сентября, 2013 Народ, в связи с массовым распространением абонентских роутеров часто стали сталкиваться со следующим: по биндингу коммутатор лочит порт, к которому подключен роутер, при этом роутер не перевернут и включен ПРАВИЛЬНО лог коммутатора DGS-3200-16: Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.1.1>, MAC:<00-25-22-88-20-5D>, Port<14>) кто сталкивался, как лечить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 18 сентября, 2013 Это глюки роутеров, не обращайте внимания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 18 сентября, 2013 Это глюки роутеров, не обращайте внимания. я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 18 сентября, 2013 Это глюки роутеров, не обращайте внимания. я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы? Да. А что за прошивка на коммутаторе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 18 сентября, 2013 Это глюки роутеров, не обращайте внимания. я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы? Да. А что за прошивка на коммутаторе? 2.20.B008 а если правило в iptables добавить на роутере - поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 18 сентября, 2013 (изменено) Лечится обновлением прошивок на роутере. Еще можно создать еще одну привязку на порт - 192.168.1.1 00-25-22-88-20-5D, там разрешено вешать на 1 MAC несколько IP (но не наоборот, т.е. максимум 1 глючный роутер на коммутатор). На DE-3526 можно использовать permit_ip_pool Изменено 18 сентября, 2013 пользователем littlesavage Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 19 сентября, 2013 (изменено) а у вас vpn используется? по опыту скажу: Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН То на работу абонента эта запись в логе никак не влияет но у меня в сети IPOE Изменено 19 сентября, 2013 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 19 сентября, 2013 а у вас vpn используется? по опыту скажу: Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН То на работу абонента эта запись в логе никак не влияет но у меня в сети IPOE именно vpn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 20 сентября, 2013 Очень старое описание этой проблемы: http://forum.asus.ru/viewtopic.php?t=15241 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D_Ev_io Опубликовано 24 сентября, 2013 Я тоже замечаю данное действо в сетке. Лечим перепрошивкой на более свежую, но некоторым не помогает, тогда меняем IP-адрес LAN допустим на 192.168.0.1 (DHCP соответственно). Тоже помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 12 октября, 2013 Встретились с той же проблемой на роутерах Zyxel Keenetic Lite. Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Перепрошивка не помогает. Как боритесь с этой проблемой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 13 октября, 2013 Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 13 октября, 2013 Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 13 октября, 2013 Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет. Может мы что-то не так настраиваем на MES, но связь у клиента периодически пропадает при этом. После отключения arp inspection на данных портах (trusted) - все ok. Проявлялось не один раз... и судя по теме не только у нас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 13 октября, 2013 (изменено) Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча. Изменено 13 октября, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 13 октября, 2013 (изменено) Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча. Ну началось. Похоже общаться не имеет смысла. Идите читайте доки про всю связку DHCP Snooping (который строит базу, по которой работают DAI и Source guard), DAI=arp inspection - пропуск ARP пакетов с любого недоверенного порта если в пакете пара мак-ip соответствуют биндингу, IP Source guard - жесткая запись в TCAM на пропуск с порта только пакетов с изученным с этого порта IP. Учитывая, что MES3500 - скорее всего стоит агрегацией и до него долетают кривые пакеты, проблема спрашивающего в архитектуре сети. Cкорее всего нескольких сотен ячеек TCAM не хватает. Всю тройку фич L2 безопасности надо включать на абоненском порту, порт на агрегации уже доверяет всему трафику с доступа. P.s Используем 15 штук MES3124F на агрегации и около 100 штук MES2124 на доступе, не считая 800 поставленных ранее cisco SG300 и sps2024 - все имеют абсолютно идентичный интерфейс, т.к. родились на одной платформе от Marvel. Изменено 14 октября, 2013 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 14 октября, 2013 Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча. спор продолжим или передумали? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 14 октября, 2013 Бл***. свитчи MES оказывается не только у Eltex есть. И я перепутал MES3500 с их линейкой MES31xx Тогда да, фиг знает что там зюксель напридумал. Я привык думать логикой циски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 14 октября, 2013 я привык думать логикой длинка) и с зюкселями не работал но почти уверен, что зюксель работает именно так как мы с тобой говорим Илья) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...