Если кто не помнит - предыстория вопроса. Существует протокол управления свичами RRCP. Разработан Реалтеком и реализован в некоторых его свичовых чипах. Использует специальный тип ethetnet-кадров. Протокол простенький и с точки зрения секурности просто отвратительный. Тем не менее - были такие свичи Compex2216, в которыфх он работал. И свичи были из серии "почти управляемые". Что характерно - Dlink 1016, не считавшийся управляемым, имел в себе такой же чип от Реалтека. В связи с чем программа управления компексами видела такие длинки и умела ими управлять. Вот только все они имели один мак, и при наличии в сети более одного 1016 управление вырождалось в дурную лотерею типа "эй, кто-нибудь из 1016, отключите пятый порт". При том, что запаролить это счастье в компексах можно, но защита слабенькая, а в 1016 - нельзя совсем.

Теперь о ситуации. У меня в сети остались несколько компексов. Стоит программка, ими управляющая. Купил и поставил DGS-1100-08. Стоит на развилке, от него расходятся пара коротких цепочек, включающих компексы. Всё работает. DGS исполняет свой функционал, пару вланов разруливает... всё путём. Неожиданно, после полугода работы, свич вдруг сбрасывается в дефолт. Возможно, сбой по питанию. Добираюсь, восстанавливаю настройки. Работает. Через некоторое время обнаруживаю, что компексы за ним не видны управляющей программе. Заподозрил какой-то сбой с отбрасыванием непонятных ethernet-кадров. Проверить не успел. А сегодня программа обнаружила новый RRCP-свич в сети. Кривой, отвечает через раз, но мак и порт подключения сообщает. И это - наш DGS-1100-08. То есть он пытается общаться по RRCP, да ещё и дропает проходящее через него общение других RRCP-свичей.

Уважаемые представители фирмы! Научите, как это отключить. Первые полгода, до ребута, свич про RRCP не вспоминал. Честно говоря, этот недопротокол - дырища в безопасности и сам по себе, а уж свич, который по нему то ответит, то не ответит, то чужие ответы съест, и пароль на него не поставишь - это вообще за гранью.

Конкретно по теме помочь не могу, но скажу что на 1016 мак поменять можно.
Еще знаю, что некоторые проги (или конкретные) версии легко и непринужденно могут подвесить 1016, так что насчет "дыры" в безопасности, пожалуй, соглашусь.

p.s. На 2216 можно задавать порты с которых возможно управление по rrcp, нет ли такого и на dgs-1100?

_________________
D-Link Switches: Tips & Tricks

Вау! Привет соседям (Дятлов, Магистраль, Волжский)
Про смену мака - речь о программе или физическом напаивании пзу с данными? Собственно, 1016 ни при каких доработках в умный свич не превратится, так что если надо перепайкой заниматься - не оч. интересно. А софтово я бы маки поменял. Хоть сбрасывал бы их удалённо.
По запрету портов - не могу сказать. Я до него вообще достучаться не могу. Он отвечает на хелло, с указанием своего мака и порта, через который ответил, но никакие другие данные не выдаёт. А в управлении через веб, естественно, ничего про RRCP не говорится.

Я, конечно, сниму его, перепрошью новой прошивкой, заново настрою, и скорее всего эффект исчезнет. Но всё-таки хорошо бы разобраться.

Приветствую
Там выпаивается/выламывается R1 на плате (кажется, рядом с питанием) после чего утилиткой под freebsd меняется MAC. После перезагрузки мак сохраняется, любые другие настройки сбрасываются. Так что перезагружать да, будет можно. Но в целом пользы немного. Я как то побаловался и бросил.

_________________
D-Link Switches: Tips & Tricks

Аппаратный сброс (выключением питания на пару минут) прекратил деятельность свича по RRCP. Не отвечает и чужие пакеты не ест.
Программные ребуты эффекта не давали.

Ну так аппаратный надо было сразу пробовать.Теперь ждите, когда он снова "одумается".

Свич стоит в достаточно отдалённом здании, и в помещении, от которого ключ отдельно получать у охраны.

Тем не менее - при случае я его заберу, прошью распоследней прошивкой и поставлю поближе. А пишу просто потому, что возможность работы свича по незаявленному протоколу после случайного сбоя - это косяк, в т.ч. в секурности, и разработчикам будет полезно это знать.

Хорошо бы в новой пршивке добавили CLI.

Для всех коммутаторов DES-1100 и DGS-1100 в ближайшее время будут выпущены прошивки с CLI - но без WebUI.

Проработал неделю и опять стал прибивать RRCP-пакеты. Правда, сам пока как RRCP-свич не находится. Что интересно - аппаратным ребутом не вылечилось. Пока не напрягает - оставил его там стоять, посмотрю за развитием событий.
Вопрос к представителям D-Link - вы по этой ситуации что-нибудь скажете? Свич самопроизвольно начинает фильтровать трафик и прибивать ethernet-пакеты, может начать откликаться по незаявленному протоколу (как минимум, сообщает о себе некоторые данные. Не удивлюсь, если его можно удалённо сбросить или перенастроить). Это в порядке вещей? Так и будет, или в какой-то прошивке это исправлено? Ну хорошо он у меня в малоответственном месте и эти чудеса не очень мешают...

Исправить можно то, что увидят и подтвердят у себя разработчики.
Проблема у вас плавающая, конкретных действий по ее воспроизведению нет. Возможно это неисправность конкретного экземпляра после сбоя электропитания, точно сказать не получится.
Обновление ПО - стандартная рекомендация.
Также замечу, что это коммутатор для небольших рабочих групп, и в "высокоответственные" места его по определению ставить не очень правильно...

Небольшая рабочая группа вполне может быть высокоответственным местом. Речь не о нагрузке, а о том, будут ли проблемы (включая финансовые), если, к примеру, этот свич даст управлять собой по RRCP-протоколу с дефолтным паролем "2379". Небольшая рабочая группа, в одном влане директор с главбухом, в другом пара студентов-кулхакеров...
Вряд ли RRCP-протокол кому-то вздумалось эмулировать, да и сам он при сбое питания не появится. В свиче наверняка стоит реалтековский чип, поддерживающий RRCP. В каких ситуациях работа по этому протоколу включается - можно выяснить, не воспроизводя ситуацию. Мне, собственно, не столь важно, у меня такой свич один, и мне проблема не мешает. Просто счёл своим долгом сообщить.

Спасибо за информацию.
Как я уже говорил - вероятнее всего такое поведение вызвано перебоем в электросети, отчего у коммутатора и начала "ехать крыша".

Поведайте когда наступит это светлое будущее ?

Реанимирую тему.
DGS1100-05 с прошивкой 1.10.004 стабильно отвечает по RRCP. Правда, только отвечает (сообщает свой мак и номер порта в мою сторону) - судя по всему, либо хочет пароль, который мне лень подбирать, либо действия по протоколу всё-таки запрещены.
Заметил, когда стоящий за ним свич с RRCP-управлением исчез из сети по управлению, хотя продолжил работать как свич. Думал, дохнет старичок. Но похоже, что пакеты RRCP резал именно 1100-05.
Отвечает довольно стабильно. И так же стабильно дропает пакеты RRCP, проходящие сквозь него. Судя по логам - несколько месяцев назад прекращал и дропать пакеты, и отвечать. Потом снова начал.
Думаю, этот недопротокол есть во всех 1100, причём как бы не оказалось, что по нему можно ими управлять, подобрав пароль. Как минимум, аплинк-порт он сообщает. Мало ли, что ещё позволит...