Добрый день!

Пытаюсь освоить DES-3226S. Пока что все работает Но за одним исключением

Хотелось бы получать как-либо (например, через syslog) извещения о попытках нарушить правила port security. Другие сообщения в syslog пишутся без проблем, но об этом -- ни слова.

Как я проверял:

1. Включил syslog:
   enable syslog
   create syslog host 1 ipaddress 10.0.0.1 severity informational facility local2 state enable
2. Включил mac_notification:
   enable mac_notification
   config mac_notification ports 24 enable
3. Выключил learning на порту 24:
   config ports 24 disable learning
4. Включил ports security на порту 24:
   config port_security ports 24 admin_state enable max_learning_addr 1 lock_address_mode Permanent
5. Добавил на этот порт "левый" MAC:
   create fdb default 00-00-01-00-00-01 port 24
6. Воткнул в порт 24 машину, на которой запущен ping (т.е. хотя бы ARP она рассылает)

В итоге, счетчик входящих пакетов растет, но ни в show log, ни в логе syslog, на в show error ничего не появляется. В syslog только:

INFO: Port 24 link up, 100Mbps FULL duplex

Включение learning ничего не изменило. В общем, я озадачен...

Заранее спасибо за подсказки и идеи

Кстати, после включения learning в FDB появился также MAC той машины, которую я воткнул в порт:

1 default 00-00-01-00-00-01 24 Permanent
1 default 00-E0-18-C3-11-89 24 Secured_Permanent

Выходит, что нельзя через "create fdb" заранее застолбить MAC на порту с port security?

Почему нельзя? Можно. Только нужно понимать, что max_learning_addr определяет максимальное число адресов, которые свитч может "выучить" на порту. Т.е. если "автообучение" не требуется то просто выставляем там ноль, а сами ручками нужные адреса в FDB добавляем.
А логирование "аля циско" о попытках нарушений port-security нету, хотя на практике оно и не нужно

p.s. и кстати mac notification к port-security, вообщем-то, прямого отношения не имеет.

А, то есть, max_learning_addr все-таки может быть 0? Разные абзацы руководства на этот счет расходятся во мнениях
В "DES-3226S CLI Reference r4.01b21 final" это на стр. 40 и 41.



Спорное суждение, на мой взгляд. Скажем, в академических или домовых сетях полезно хотя бы поверхностно следить за происходящим, чтобы с упреждением обнаруживать очаги неуместного любопытства к принципам работы сети



Я вообще не заметил эффекта mac notification. Каков он на самом деле, Вы не в курсе? А то фирменное руководство написано в довольно прямолинейном стиле типа "Команда enable mac_notification включает mac notification"

Да, и вправду max_learning_addr 0 делает то, что я хотел -- жесткую ручную привязку адреса MAC к порту.

Кстати, параметр порта learning в моей конфигурации (DES 3226S fw 4.01B36) не влияет на добавление MAC'ов в FDB: когда он выключен, MAC машины все равно появляется в FDB как Dynamic (при выключенном port_security на этом порту, конечно же). Любопытно, это баг или фича?

Я, честно говоря, мануал давно не перечитывал, но вообще что-то не припомню, чтобы там говорилось что-то о жизни порт-секъюрити со статическими маками.



Больше похоже на баг, хотя опять же, повторюсь, фича под названием port-security изначально перекрывает потребность в данном "выключателе". Ибо, опять же, имея max_learnin_addr=0 мы и так запрещаем изучение новых маков

Кстати, firmware есть уже более новое - 4.02B05 . Ряд досадностей последних билдов 4.01 пофиксили.



mac_notification заставляет свитч посылать snmp traps, где сообщается об изменениях или добавлениях в таблице мак-адресов. Что-то вроде arpwatch, только более низкого уровня Совместное использование с статическим port-security, имхо, также смысла не имеет, ибо таблица предопределена заранее.

А где его можно взять, не подскажете? На ftp.dlink.ru пока такого нет, а на {www,ftp}.dlink.com нет модели DES-3226S почему-то (в США не продают?)



Здесь вроде бы появляются представители DLink. Вот я им и скажу: некоторым пользователям вашей замечательной продукции все же не хватает возможности наблюдения за тем, как субъекты сети соблюдают (или пытаются нарушить) port security
По идее, такая возможность в коде firmware много не займет...

Видите ли, то, что Вы просите - это функция, присущая, как правило, МСЭ. Что касается отслеживания МАС адресов - Lexx совершенно верно указал на полезную функцию MAC Notification.
Также почитайте FAQ здесь: http://www.dlink.ru/technical/faq_hub_switch_33.shtml
возможно, пригодится.

_________________
С уважением, Карагезов Владислав

Я смотрю обычно http://tsd.dlink.com.tw/ - там вроде обычно быстрее всего появляются.
Хотя, наверное, делаю это на свой страх и риск

Пардон, а это кто или что?

МСЭ - межсетевой экран, firewall

_________________
С уважением, Карагезов Владислав

Хм, ой ли? Таки речь шла по сути об "отчёте port-security о проделанной работе". Т.е. кого не пустил. Причём тут firewall? Ну и кстати такая штука действительно на оффтопике, по крайней мере, 2950, есть. Правда, не припомню что бы ещё у каких-либо других вендоров оно встречалось.

Может, она им и присуща, но функция port security реализована именно в коммутаторе. Время от времени коммутатор принимает решения в рамках настроенной политики port security и выполняет действия по поддержанию этой политики -- т.е. отбрасывает фреймы, которые нарушают ее. И мне кажется, что запись о таких действиях сама просится в лог (равно как, например, запись о попытке зайти на интерфейс управления коммутатором с неверным паролем).

Лично я воспитан в духе систем вроде ОС Юникс, где принято обо всех важных решениях и действиях, (пред)принимаемых системой, делать записи в логе, чтобы впоследствии было проще анализировать внештатные ситуации. И мне кажется, что такой стиль поведения системы -- это один из ключей к ее управляемости. Надеюсь, не один я такой.



А также он указал на совершенную бесполезность этой функции при полностью статической политике port security, когда все адреса MAC известны заранее и жестко зафиксированы. Или это не так?



Особенно пригодится опечатка на картинке, иллюстрирующей отключение изучения адресов MAC, где вместо пункта "Disabled" выбран "Enabled" -- это сразу приучает пользователя, что данная возможность не работает (см. мои предыдущие сообщения).

по поводу отключения автообучения на порту - в FAQ приведен всего лишь экран - чтобы значть, где ОТКЛЮЧИТЬ это.
Что касается заявления, что функция не работает - не встречал. Работает. Если у Вас с ней проблемы возникли - давайте разберемся. Но для этого лучше создайте отдельную тему.

_________________
С уважением, Карагезов Владислав