Есть проблемы с address_binding, а именно имея такой конфиг


enable address_binding trap_log
config address_binding ip_mac ports 2 state enable allow_zeroip enable


При появлении на порту несоответствия мака и ip - мак блокируется, но и одновременно вставляется в fdb таблицу блокируя тем самым работу клиента с настоящим маком, например при перехвате мака

VID VLAN Name MAC Address Port Type
---- ---------------- ----------------- ---- ---------
1 default 00-1E-8C-8F-B0-F1 2 BlockByAddrBind

блокируется злоумышленник, но и перестает работать клиент с настоящим маком, тк этот мак попадает в таблицу с привязкой на порту который перехватил мак.

Включение
config port_security ports 2 admin_state enable max_learning_addr 0 lock_address_mode Permanent
не помогает, мак все равно вставляется в таблицу,
что делать??? Зачем свитч всатвляет в свою таблицу заблокированный мак???

Валидный и невалидный клиенты сидят на одном порту?
А у клиента случаем не появляется конфликта IP адресов?

Они сидят на разных портах

Валидный или невалидный мак?
В таблице IMB точно всё правильно?

Искать ошибки в биндинге.

Чтобы его не коммутировать

Свитч привязывает поддельный мак порту и вставляет в fdb таблицу, тем самым блокируя доступ к настоящему маку.
Например при перехвате мака шлюза все клиенты этого свитча теряют связь с шлюзом, тк мак становится виден на порту где заблокирован.

Покажите полный кусок конфига IMP. Этот MAC принадлежит валидному клиенту, а злоумышленник подделывает его?

config address_binding ip_mac ports 1 state disable allow_zeroip disable
config address_binding ip_mac ports 2 state enable allow_zeroip enable
config address_binding ip_mac ports 3 state disable allow_zeroip disable
config address_binding ip_mac ports 4 state disable allow_zeroip disable
config address_binding ip_mac ports 5 state disable allow_zeroip disable
config address_binding ip_mac ports 6 state disable allow_zeroip disable
config address_binding ip_mac ports 7 state disable allow_zeroip disable
config address_binding ip_mac ports 8 state disable allow_zeroip disable
config address_binding ip_mac ports 9 state disable allow_zeroip disable
config address_binding ip_mac ports 10 state disable allow_zeroip disable
enable address_binding trap_log

Мак принадлежит валидному шлюзу, а клиент его подделывает.

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

та же проблема ...
включаю биндинг на двух портах, прописываю рельные связки - все работает

первому клиенту ставлю ИП второго - у обоих выскакивает конфликт ИП адреса и оба блокируются . В таблице заблокированных висят оба мака на порту первого клиента, но второй клиент не куда не может ходить тоже (хотя висит на другом порту)
Подозрение на то что маки блокируются глобально ( вне зависимости от порта)

все вышеприведенные команды проверял - не помагают, проблема остается

DES-3010G. Firmware: Build 4.01.018

Я Вам прошивку выслал.

это в прошивке дело? вышлите тогда, пожалуйста, и мне последнюю.

Я Вам прошивку выслал.

Пожалуйста, нацельте на конфигурацию данного девайса (DES-3010G) для решения следующей задачи:
- привязка юзеров к порту только по MAC, или по MAC + маска подсети (или диапазон IP).
- привязка по MAC + IP отпадает, т. к. IP назначаются динамически.
- один порт не видит другой.
Demin Ivan
Пожалуйста, вышлите последнюю прошивку.

отключаем learning на порту и забиваем мак вручную в таблицу коммутации.

если в этой модели есть dhcp_snooping, то лучше использовать его. он делает привязку в зависимости от того, что выдаст dhcp-сервер.

_________________
LiveComm