ichthyandr Опубликовано 18 сентября, 2013 · Жалоба Народ, в связи с массовым распространением абонентских роутеров часто стали сталкиваться со следующим: по биндингу коммутатор лочит порт, к которому подключен роутер, при этом роутер не перевернут и включен ПРАВИЛЬНО лог коммутатора DGS-3200-16: Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.1.1>, MAC:<00-25-22-88-20-5D>, Port<14>) кто сталкивался, как лечить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 18 сентября, 2013 · Жалоба Это глюки роутеров, не обращайте внимания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 18 сентября, 2013 · Жалоба Это глюки роутеров, не обращайте внимания. я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 18 сентября, 2013 · Жалоба Это глюки роутеров, не обращайте внимания. я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы? Да. А что за прошивка на коммутаторе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 18 сентября, 2013 · Жалоба Это глюки роутеров, не обращайте внимания. я бы не обратил, если бы при этом туннели не рвались. Глюки какого уровня - ядро линуксовое флудит пакеты на все интерфейсы? Да. А что за прошивка на коммутаторе? 2.20.B008 а если правило в iptables добавить на роутере - поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 18 сентября, 2013 (изменено) · Жалоба Лечится обновлением прошивок на роутере. Еще можно создать еще одну привязку на порт - 192.168.1.1 00-25-22-88-20-5D, там разрешено вешать на 1 MAC несколько IP (но не наоборот, т.е. максимум 1 глючный роутер на коммутатор). На DE-3526 можно использовать permit_ip_pool Изменено 18 сентября, 2013 пользователем littlesavage Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 19 сентября, 2013 (изменено) · Жалоба а у вас vpn используется? по опыту скажу: Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН То на работу абонента эта запись в логе никак не влияет но у меня в сети IPOE Изменено 19 сентября, 2013 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 19 сентября, 2013 · Жалоба а у вас vpn используется? по опыту скажу: Если используется только arp inspection, а ip inspection (он же режим ACL на других коммутаторах, например 3526) ОТКЛЮЧЕН То на работу абонента эта запись в логе никак не влияет но у меня в сети IPOE именно vpn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 20 сентября, 2013 · Жалоба Очень старое описание этой проблемы: http://forum.asus.ru/viewtopic.php?t=15241 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArhAngel_John Опубликовано 24 сентября, 2013 · Жалоба Я тоже замечаю данное действо в сетке. Лечим перепрошивкой на более свежую, но некоторым не помогает, тогда меняем IP-адрес LAN допустим на 192.168.0.1 (DHCP соответственно). Тоже помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 12 октября, 2013 · Жалоба Встретились с той же проблемой на роутерах Zyxel Keenetic Lite. Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Перепрошивка не помогает. Как боритесь с этой проблемой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 13 октября, 2013 · Жалоба Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 13 октября, 2013 · Жалоба Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 13 октября, 2013 · Жалоба Свитчи MES3500 при включенном arp inspection блокируют порт и отправляют в лог LAN адрес роутера. Бред несете. Свитч никак порт не блокирует, он просто не пропускает данный ARP пакет. Так что нет тут проблемы, пусть себе пишет. Может мы что-то не так настраиваем на MES, но связь у клиента периодически пропадает при этом. После отключения arp inspection на данных портах (trusted) - все ok. Проявлялось не один раз... и судя по теме не только у нас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 13 октября, 2013 (изменено) · Жалоба Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча. Изменено 13 октября, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 13 октября, 2013 (изменено) · Жалоба Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча. Ну началось. Похоже общаться не имеет смысла. Идите читайте доки про всю связку DHCP Snooping (который строит базу, по которой работают DAI и Source guard), DAI=arp inspection - пропуск ARP пакетов с любого недоверенного порта если в пакете пара мак-ip соответствуют биндингу, IP Source guard - жесткая запись в TCAM на пропуск с порта только пакетов с изученным с этого порта IP. Учитывая, что MES3500 - скорее всего стоит агрегацией и до него долетают кривые пакеты, проблема спрашивающего в архитектуре сети. Cкорее всего нескольких сотен ячеек TCAM не хватает. Всю тройку фич L2 безопасности надо включать на абоненском порту, порт на агрегации уже доверяет всему трафику с доступа. P.s Используем 15 штук MES3124F на агрегации и около 100 штук MES2124 на доступе, не считая 800 поставленных ранее cisco SG300 и sps2024 - все имеют абсолютно идентичный интерфейс, т.к. родились на одной платформе от Marvel. Изменено 14 октября, 2013 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 14 октября, 2013 · Жалоба Вы тоже дяденька немного бредоносец :) arp пакет кокраз таки пропускается) а дальше трафик с этого мака не пропускается, пока не появится валидный arp пакет Вы оба бред несете, лернится адрес или нет, в связке с ипкой или нет, все зависит от настроек аксесс-свитча. спор продолжим или передумали? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 14 октября, 2013 · Жалоба Бл***. свитчи MES оказывается не только у Eltex есть. И я перепутал MES3500 с их линейкой MES31xx Тогда да, фиг знает что там зюксель напридумал. Я привык думать логикой циски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 14 октября, 2013 · Жалоба я привык думать логикой длинка) и с зюкселями не работал но почти уверен, что зюксель работает именно так как мы с тобой говорим Илья) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...