IP-MAC binding и абонентские роутеры

[ichthyandr]

Народ, в связи с массовым распространением абонентских роутеров часто стали сталкиваться

со следующим:

по биндингу коммутатор лочит порт, к которому подключен роутер, при этом роутер не перевернут и включен ПРАВИЛЬНО

 

лог коммутатора DGS-3200-16:

Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.1.1>, MAC:<00-25-22-88-20-5D>, Port<14>)

 

кто сталкивался, как лечить?

[Abram]

Это глюки роутеров, не обращайте внимания.

[ichthyandr]

Это глюки роутеров, не обращайте внимания.

я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы?

[Abram]

Это глюки роутеров, не обращайте внимания.

я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы?

Да.

 

А что за прошивка на коммутаторе?

[ichthyandr]

Это глюки роутеров, не обращайте внимания.

я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы?

Да.

 

А что за прошивка на коммутаторе?

2.20.B008

а если правило в iptables добавить на роутере - поможет?

[littlesavage]

Лечится обновлением прошивок на роутере.

Еще можно создать еще одну привязку на порт - 192.168.1.1 00-25-22-88-20-5D, там разрешено вешать на 1 MAC несколько IP (но не наоборот, т.е. максимум 1 глючный роутер на коммутатор).

 

На DE-3526 можно использовать permit_ip_pool

Edited September 18, 2013 by littlesavage

[mcdemon]

а у вас vpn используется?

по опыту скажу:

Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН

То на работу абонента эта запись в логе никак не влияет

 

но у меня в сети IPOE

Edited September 19, 2013 by mcdemon

[ichthyandr]

а у вас vpn используется?

по опыту скажу:

Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН

То на работу абонента эта запись в логе никак не влияет

 

но у меня в сети IPOE

именно vpn

[Ilya Evseev]

Очень старое описание этой проблемы:

http://forum.asus.ru/viewtopic.php?t=15241

[D_Ev_io]

Я тоже замечаю данное действо в сетке. Лечим перепрошивкой на более свежую, но некоторым не помогает, тогда меняем IP-адрес LAN допустим на 192.168.0.1 (DHCP соответственно). Тоже помогает.

[postuser]

Встретились с той же проблемой на роутерах Zyxel Keenetic Lite. Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Перепрошивка не помогает.

Как боритесь с этой проблемой?

[Дегтярев Илья]

Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера.

 

Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет.

[mcdemon]

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

[postuser]

Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера.

 

Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет.

Может мы что-то не так настраиваем на MES, но связь у клиента периодически пропадает при этом. После отключения arp inspection на данных портах (trusted) - все ok. Проявлялось не один раз... и судя по теме не только у нас.

[pppoetest]

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча.

Edited October 13, 2013 by pppoetest

[Дегтярев Илья]

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча.

 

Ну началось. Похоже общаться не имеет смысла. Идите читайте доки про всю связку DHCP Snooping (который строит базу, по которой работают DAI и Source guard), DAI=arp inspection - пропуск ARP пакетов с любого недоверенного порта если в пакете пара мак-ip соответствуют биндингу, IP Source guard - жесткая запись в TCAM на пропуск с порта только пакетов с изученным с этого порта IP.

 

Учитывая, что MES3500 - скорее всего стоит агрегацией и до него долетают кривые пакеты, проблема спрашивающего в архитектуре сети. Cкорее всего нескольких сотен ячеек TCAM не хватает. Всю тройку фич L2 безопасности надо включать на абоненском порту, порт на агрегации уже доверяет всему трафику с доступа.

 

P.s Используем 15 штук MES3124F на агрегации и около 100 штук MES2124 на доступе, не считая 800 поставленных ранее cisco SG300 и sps2024 - все имеют абсолютно идентичный интерфейс, т.к. родились на одной платформе от Marvel.

Edited October 14, 2013 by Дегтярев Илья

[mcdemon]

Вы тоже дяденька немного бредоносец :)

arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет

Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча.

спор продолжим или передумали? :)

[Дегтярев Илья]

Бл***. свитчи MES оказывается не только у Eltex есть. И я перепутал MES3500 с их линейкой MES31xx

Тогда да, фиг знает что там зюксель напридумал. Я привык думать логикой циски.

[mcdemon]

я привык думать логикой длинка)

и с зюкселями не работал

но почти уверен, что зюксель работает именно так как мы с тобой говорим Илья)