faq обучение настройка
Текущее время: Пт июл 11, 2025 17:25

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 14 ] 
Автор Сообщение
 Заголовок сообщения: IMPB des-3028 Проблема
СообщениеДобавлено: Вт авг 25, 2009 12:14 
Не в сети

Зарегистрирован: Чт июл 26, 2007 12:40
Сообщений: 23
Проблема с Ip-Mac Port Binding на прошивке 2.31.B02
Включена в режиме strict, включен DHCP Snoop.

В DHCP Snooping Entries:

Код:
DHCP Snooping Entries
IP Address   MAC Address   Lease Time(secs)   Port   Status
10.1.64.153   00-0C-6E-FE-2D-19   35313   21   Active


В IMP Entry Settings
Код:
Static IMP Entry Table
IP Address   MAC Address   Mode   Status   Ports   Modify   Delete
10.1.64.153   00-0C-6E-FE-2D-19   AUTO   Active   21


Вот конфиг без таблицы в которой нет мака 00-0C-6E-FE-2D-19, т.е. данный абонент должен быть заблокирован, но он работает.

# ADDRBIND

enable address_binding dhcp_snoop

enable address_binding trap_log

disable address_binding arp_inspection

config address_binding ip_mac ports 1-23 state enable strict allow_zeroip enable forward_dhcppkt enable

config address_binding ip_mac ports 1-28 mode acl stop_learning_threshold 500

config address_binding dhcp_snoop max_entry ports 1-28 limit 5

config address_binding ip_mac ports 24-28 state disable allow_zeroip disable forward_dhcppkt enable


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IMPB des-3028 Проблема
СообщениеДобавлено: Вт авг 25, 2009 12:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
С чего Вы взяли, что при использовании DHCP Snooping он должен быть заблокирован!? DHCP Snooping - это динамический вариант mode ACL.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IMPB des-3028 Проблема
СообщениеДобавлено: Вт авг 25, 2009 13:22 
Не в сети

Зарегистрирован: Чт июл 26, 2007 12:40
Сообщений: 23
Bigarov Ruslan писал(а):
С чего Вы взяли, что при использовании DHCP Snooping он должен быть заблокирован!? DHCP Snooping - это динамический вариант mode ACL.


Дело в том что если отключить DHCP Snooping, то несмотря на то что включена опция allow zero ip, клиенты блокируются и в логах можно наблюдать следующее

Код:
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 0.0.0.0, MAC: 00-17-08-3B-40-9F, Port: 20)


соответственно клиенты не получают адрес и находятся в блоке IMPB


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IMPB des-3028 Проблема
СообщениеДобавлено: Вт авг 25, 2009 13:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Логично, а когда она включена, то клиент получает настройки от DHCP Server-а, а коммутатор создаёт автоматически записи в IMPB, и клиент пользуется вашими услугами без проблем. Так что DHCP Snooping отрабатывает нормально.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IMPB des-3028 Проблема
СообщениеДобавлено: Вт авг 25, 2009 14:27 
Не в сети

Зарегистрирован: Чт июл 26, 2007 12:40
Сообщений: 23
Bigarov Ruslan писал(а):
Логично, а когда она включена, то клиент получает настройки от DHCP Server-а, а коммутатор создаёт автоматически записи в IMPB, и клиент пользуется вашими услугами без проблем. Так что DHCP Snooping отрабатывает нормально.


На одном порту коммутатора у нас несколько абонентов, соответственно другие не получат адреса от DHCP и не смогут работать. На 3526 такой проблемы нет, то есть нет записи в таблице значит клиент заблокирован, хотя по DHCP он адрес получит, но работать не сможет. А тут получается что клиенты без DHCP Snooping не получат адреса от DHCP сервера, а если DHCP Snooping включен то получат и пропишутся в таблицу.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IMPB des-3028 Проблема
СообщениеДобавлено: Вт авг 25, 2009 14:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Если судить по настройкам DHCP Snooping-а, то по-мимо данного клиента ещё четверо должны получить настройки.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IMPB des-3028 Проблема
СообщениеДобавлено: Ср авг 26, 2009 08:06 
Не в сети

Зарегистрирован: Чт июл 26, 2007 12:40
Сообщений: 23
Bigarov Ruslan писал(а):
Если судить по настройкам DHCP Snooping-а, то по-мимо данного клиента ещё четверо должны получить настройки.


У нас задача блокировать пользователей, но на одном порту могут быть те кого надо блокировать и те кого не надо. А получается включаем Snooping не блокируется никто, выключаем и блокируются все(не получают адреса по DHCP). И почему бокируются zero ip, когда прописано в конфиге не блокировать их?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 26, 2009 10:25 
Не в сети

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv
потому что криво сделано: viewtopic.php?p=536629#536629


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 26, 2009 10:43 
Не в сети

Зарегистрирован: Чт июл 26, 2007 12:40
Сообщений: 23
toxicom писал(а):
потому что криво сделано: viewtopic.php?p=536629#536629


Да, это именно оно,спасибо. Сразу есть еще вопрос, как там с этим исправлением дела? Оно уже есть или еще нет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 26, 2009 11:57 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Выслал прошивку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 26, 2009 13:57 
Не в сети

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow
А какая прошивка исправляет это. У меня 2.31.B02.

enable address_binding dhcp_snoop

enable address_binding trap_log

config address_binding ip_mac ports 1 state enable strict allow_zeroip enable forward_dhcppkt enable

config address_binding dhcp_snoop max_entry ports 1 limit 5


И в логах постоянно блокировки
5935 2009-08-26, 14:42:46 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 0.0.0.0, MAC: 00-16-36-74-24-44, Port: 1)

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 26, 2009 15:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 Wave2 > Вам тогда нужен другой режим работы IMPB, например ACL.

2 Ivantey > Пока никакая, но проблема уже находится на рассмотрении у разработчиков, я им ещё вчера написал о ней.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 10:44 
Не в сети

Зарегистрирован: Чт июл 26, 2007 12:40
Сообщений: 23
Bigarov Ruslan писал(а):
2 Wave2 > Вам тогда нужен другой режим работы IMPB, например ACL.

2 Ivantey > Пока никакая, но проблема уже находится на рассмотрении у разработчиков, я им ещё вчера написал о ней.


А он работает в 3028? Просто он включается режим но ведет себя также и в отличии от 3526 не указывается при внесении записи в таблицу.

В IMP Global Settings
ACL Mode включен, но выключение не активно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 11:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Потому что в последних версиях прошивок ARP или ACL включается при локальной на порту настройке IMPB.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 14 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB