Добрый день.
Я интересовался вопросом, как заставить DIR-300 NRU в паре с DES-1210-28 отрабатывать по протоколу IGMP. Вопрос решился перепрошивкой роутера на бетта прошивку. Есть у наст роутеры DIR-320/DIR-320 NRU. Вопрос аналогичен.
Скажите, пожалуйста, будет ли прошивка на сам коммутатор 1210-28 с фиксом?
Спасибо.

DIR-300 не вставлял опцию Router Alert, которая необходима, поэтому если такая же проблема есть и на DIR-320, то нужно исправлять и на нем.
Отпишитесь, пожалуйста, по этому вопросу в разделе форума, посвященном маршрутизаторам.

Уважаемые представители компании D-link, подскажите пожалуйста как можно уменьшить таймаут Tacacs+, через который коммутатор попытается использовать другой метод аутентификации?(допустим сервер Tacacs не доступен)

config authen server_host 80.7.12.10 protocol tacacs+ timeout 1

не срабатывает

Приходишь на чердак в -20, связи до коммутатора нет, цепляешься в выделенный порт для управления, и вот этого сообщения

Timeout or some unexpected error happened on server host(TACACS+/80.7.12.10)!
The next server host or next method will be used to do authentication, if any.

Приходится ждать 2 минуты 40 секунд, можно как-то уменьшить до 5-10 секунд?

Я уточню в ШК.

Еще есть несколько вопросов, ответьте пожалуйста

1. Eсли на свитче 1210 не сделать enable admin
(т.е. зайти с ограниченными правами) то почему-то нельзя посмотреть маки на порту

смотрим что мак на порту есть
DES-1210-28:3# show fdb mac_address 00:21:91:d0:46:27
Command: show fdb mac_address 00:21:91:d0:46:27
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
3 efault 00-21-91-D0-46-27 11 Dynamic
Total Entries : 1

а вот так его уже нет, зачем так сделали непонятно, имхо баг.
DES-1210-28:3# sh fdb port 11
Command: show fdb port 11
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
Total Entries : 0

а если зайти с правами админа - то все ок. - мак показывается
DES-1210-28:3# enable admin
Command: enable admin
Password:

DES-1210-28:5# sh fdb port 11
Command: show fdb port 11
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
3 efault 00-21-91-D0-46-27 11 Dynamic


2. Также не совсем понятно, почему попытка через ACL отфильтровать нулевой source мак на портах
create access_profile profile_id 5 ethernet source_mac ffffff000000
config access_profile profile_id 5 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 ports 1-24 deny

Приводит вот к такому печальному результату
Access Profile ID: 5 Type: Ethernet
--------------------------------------------------------------------------
--------------------------------------------------------------------------
Mask Option:
Source Mac Mask
--------------------------------------------------------------------------
ff:ff:ff:00:00:00
Access ID: 1 Mode: Deny
Ports: 1-24

Аналогично не получается отфильтровать с помощью ACL source IP 0.0.0.0 , тоже создается пустое правило, хотя маска 255
create access_profile profile_id 7 ip protocol_id_mask 0xff source_ip_mask 255.255.255.255

3. Блокирует ли на DES-1210 IpMacBinding arp-spoof (proxy-arp) ответы? (Функционал ARP-spoof не получается использовать по причине существования разрешающих правил с id профиля меньше 50 )

4. Несмотря на config multicast_filtering_mode filter_unregistered_groups почему-то новые вланы на 1210 создаются
с флагом forward_unregistered_groups.

DES-1210-28:5# show multicast_filtering_mode
Command: show multicast_filtering_mode

Multicast Filtering Mode For VLAN 1: Filter Unregistered Groups
Multicast Filtering Mode For VLAN 18: Forward Unregistered Groups

5. C чем может быть связанно ограничение
config loopdetect lbd_recover_time 99
Success!

config loopdetect lbd_recover_time 100
Set LBD Recover Time Failed!

Можно увеличить хотя-бы до 180? Или этот параметр не в секундах?

Спасибо. Сорри за много вопросов. Текущая прошивка 5.10.B024

1. Таков текущий дизайн. Мы уже уточняли, что это менять не планируется.
2. Можно вот так сделать, с такой маской разницы не будет:

3. Опишите, пожалуйста, более подробно о чем идет речь.
4. Таков текущий дизайн, после создания влана нужно в нем отдельно включать фильтрацию.
5. У меня на стенде работает при включенном глобально loopdetect:

По проблеме с таймаутом TACACS+ фикс будет 9 марта.

Об этом я уже писал год назад.
Задача: фильтровать арп-анонсы от абонента с недопустимым IP. На свичах 3526/3528/3200 это замечательно делается с помощью PCF ACL, на которых и построена фича arp_spoofing_prevention. В свиче 1210-28 таких ACL нет, но фича arp_spoofing_prevention непонятно каким макаром есть. Вот только номер используемого ею системного ACL-профиля изначально больше, чем номера пользовательских профилей. В итоге, если в пользовательских профилях есть разрешающие правила, до проверки пакета на валидность системным профилям дело не дойдет - то есть, arp_spoofing_prevention просто не будет работать. Подцепивший вирусню абонент легко заспуфит весь свой броадкаст-сегмент. Приходится ACL выстраивать согласно политике "разрешено все, что не запрещено" - но такая политика в большинстве случаев организации уровня доступа в операторских сетях крайне неудобна.

На DES-1210-28 можно попробовать запретить при помощи ACL отдельно MAC-адрес и IP-адрес шлюза на клиентских портах.
PCF, к сожалению, нет на этой серии.

Сообщите пожалуйста, существует ли для DES-1210-28P прошивки, аналогичные прошивкам 5.XX для DES-1210-28 ("провайдерские").

Нет, не существует.

Cпасибо, будем ждать фикс по Tacacs+

Еще один вопросик
config access_profile profile_id 45 add access_id auto_assign ip protocol_id 0xff source_ip 72.12.14.0 ports 1-28 permit replace_dscp_with 56
Success.

А потом по sh access_profile

Access ID: 2 Mode: Error action
Ports: 1-28
255 72.12.14.0

Хотя при создании не ругалось

Приведите, пожалуйста, также формат профиля.

create access_profile profile_id 45 ip protocol_id_mask 0xff source_ip_mask 255.255.192.0

Еще подскажите пожалуйста где можно почитать более подробно, про команду auto_fdb, может ли она быть полезна для привязки MAC адресов шлюза в клиентских вланах на 1210-28?

Я уточню в ШК.