D-Link • Просмотр темы - DES 3028G и acl mode для impb

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES 3028G и acl mode для impb

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 3

[ Сообщений: 34 ]

На страницу 1, 2, 3 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

terekhovr

Заголовок сообщения: DES 3028G и acl mode для impb

Добавлено: Ср май 20, 2009 15:18

Зарегистрирован: Ср май 20, 2009 15:13
Сообщений: 3

Доброго времени.

Не совсем понятно, есть ли acl-режим для ipmb. Элементы меню присутствуют, но выбрать невозможно. Где копать?

Ver. 2.20.B07

PS cli на "enable address_binding mode acl" говорит, что не понимает о чем речь.

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Ср май 20, 2009 15:27

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Конечно не понимает. Потому что такой команды там и нет:

Цитата:

DES-3028:4#enable address_binding ?
Command: enable address_binding

Next possible completions:
dhcp_snoop trap_log

А включается так:

Цитата:

DES-3028:4#config address_binding ip_mac ports all mode acl state enable

Но глючное оно.

Вернуться наверх

terekhovr

Заголовок сообщения:

Добавлено: Ср май 20, 2009 15:54

Зарегистрирован: Ср май 20, 2009 15:13
Сообщений: 3

toxicom писал(а):

Конечно не понимает. Потому что такой команды там и нет:

Цитата:

DES-3028:4#enable address_binding ?
Command: enable address_binding

Next possible completions:
dhcp_snoop trap_log

А включается так:

Цитата:

DES-3028:4#config address_binding ip_mac ports all mode acl state enable

Но глючное оно.

это все хорошо, только при добавлении привязки через web, окошко с выбором arp/acl недоступно + через cli нет команды для arp/acl ipmb. И в оконцовке привязка в списке висит как arp. Или это для шпионов, что бы ввести в заблуждение?

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Ср май 20, 2009 17:50

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Вебом не пользуюсь по религиозным убеждениям.
Это первая бета с этим режимом и поэтому глючная и не съедобная. В cli:
включаем на 2 пору, в режиме acl, разрешаем запросы с ip 0.0.0.0 и dhcp запросы, включаем arp inspection и максимальное количество изучаемых mac на порту ограничено 4:

Код:

config address_binding ip_mac ports 2 mode acl state enable strict allow_zeroip enable forward_dhcppkt enable arp_inspection enable stop_learning_threshold 4

Создаем связку ip-mac-port:

Код:

create address_binding ip_mac ipaddress 10.3.11.213 mac_address 00-1C-23-A9-4F-79 ports 2 permit_arp

Включаем логи:

Код:

enable address_binding trap_log

Любуемся:

Код:

DES-3028:4#sh add i a
Command: show address_binding ip_mac all


IP Address      MAC Address       Status   Ports                     Permit ARP
--------------- ----------------- -------- ------------------------- ----------
10.3.11.213     00-1C-23-A9-4F-79 Active   2                         Enabled

Total Entries : 1

Вроде никакого криминала

Но..., это уже к длинку:
Например, пока ip-mac на клиенте совпадают - все работает. Меняем ip клиента на "не валидный" мак с порта пропадает, как заблокированный не светится, в логи записей нет. При восстановлении валидной связки ip-mac на порту по прежнему mac-адреса не видно и клиент не работает...
Ждем фиксов и очередную бету.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Ср май 20, 2009 17:51

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Настройка IMPB пока через WEBUI недоступна, только через CLI. Также это новая версия IMPB, и ARP и ACL режим настраивается при включении IMPB на порту.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Пн июл 20, 2009 16:42

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

так когда же заработает ipmb в fw из ветки 2.2 и 2.3 ?

берем железяку c fw 2.31.B02. аплинк 25 порт, клиент в 1 порт, управление в vlan default. клиетский vlan - vlanvid 13.

Код:

enable address_binding trap_log
config address_binding ip_mac ports 1 state enable strict allow_zeroip enable forward_dhcppkt enable
create address_binding ip_mac ipaddress 10.3.11.211 mac_address 00-1C-23-A9-4F-79 ports 1

включаем клиента и сразу же в логе видим:

Код:

DES-3028:4#sh log
Command: show log

Index Data       Time     Log Text
----- ---------- -------- ------------------------------------------------------
3     0000-00-00 00:08:59 Unauthenticated IP-MAC address and discarded by ip mac
                           port binding (IP: 0.0.0.0, MAC: 00-1C-23-A9-4F-79, Po
                          rt: 1)
2     0000-00-00 00:08:53 Port 1 link up, 100Mbps  FULL duplex
1     0000-00-00 00:08:17 Port 1 link down

#но через время ~5-10 cек. клиент таки получает адрес и в сеть пускает:

Код:

DES-3028:4#sh fdb p 1
Command: show fdb port 1

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
13   VLAN13                           00-1C-23-A9-4F-79  1   Dynamic

Total Entries  : 1

прописываем клиенту невалидный ip :

Код:

4     0000-00-00 00:03:34 Unauthenticated IP-MAC address and discarded by ip mac
                           port binding (IP: 10.3.11.212, MAC: 00-1C-23-A9-4F-79
                          , Port: 1)

DES-3028:4#sh fdb p 1
Command: show fdb port 1

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
13   VLAN13                           00-1C-23-A9-4F-79  1   BlockByAddrBind

Total Entries  : 1

после чего снова пытаемся получить адрес по DHCP при этом клиета отключаем от потра и снова подключаем:

Код:

7     0000-00-00 00:02:00 Unauthenticated IP-MAC address and discarded by ip mac
                           port binding (IP: 0.0.0.0, MAC: 00-1C-23-A9-4F-79, Po
                          rt: 1)
6     0000-00-00 00:01:59 Port 1 link up, 100Mbps  FULL duplex
5     0000-00-00 00:00:49 Port 1 link down

не работает.
прописываем валидный ip 10.3.11.211 - работает:

Код:

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
13   VLAN13                           00-1C-23-A9-4F-79  1   Dynamic

Total Entries  : 1

последующие попытки получить ip по DHCP дают лишь запись в лог:

Код:

8     0000-00-00 00:05:35 Unauthenticated IP-MAC address and discarded by ip mac
                           port binding (IP: 0.0.0.0, MAC: 00-1C-23-A9-4F-79, Po
                          rt: 1)

и клиент ip-адрес не получает.... т.е не то что acl-режим не работает так и arp- сломали... или ЧЯДНТ?

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Вт июл 21, 2009 15:14

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Ага, вижу. Отписал в ШК

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Вт июл 28, 2009 18:38

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Что говорит ШК?

типа ап

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Чт июл 30, 2009 09:47

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Ожидаем исправления 18-го августа

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 10:22

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Ну как там с исправлениями, есть новости?

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 11:56

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Выслал Вам прошивку.

Вернуться наверх

KabaH

Заголовок сообщения:

Добавлено: Чт авг 27, 2009 11:56

Зарегистрирован: Пт фев 23, 2007 00:08
Сообщений: 253

И мне эту прошивочку можно выслать ?

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Чт авг 27, 2009 12:05

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

и мне тоже

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

mschedrin

Заголовок сообщения:

Добавлено: Чт авг 27, 2009 13:54

Зарегистрирован: Чт июн 12, 2008 18:40
Сообщений: 87
Откуда: Санкт-Петербург

И мне прошивку, пожалуйста.

_________________
SkyNet Telecom
http://sknt.ru

Гордый обладатель сертификата "Коммутированные сети(basic) на основе оборудования D-Link" №00-0117

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Чт авг 27, 2009 14:53

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Всем выслал

Вернуться наверх

Страница 1 из 3

[ Сообщений: 34 ]

На страницу 1, 2, 3 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 348

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения