Проблема с Ip-Mac Port Binding на прошивке 2.31.B02
Включена в режиме strict, включен DHCP Snoop.

В DHCP Snooping Entries:



В IMP Entry Settings


Вот конфиг без таблицы в которой нет мака 00-0C-6E-FE-2D-19, т.е. данный абонент должен быть заблокирован, но он работает.

# ADDRBIND

enable address_binding dhcp_snoop

enable address_binding trap_log

disable address_binding arp_inspection

config address_binding ip_mac ports 1-23 state enable strict allow_zeroip enable forward_dhcppkt enable

config address_binding ip_mac ports 1-28 mode acl stop_learning_threshold 500

config address_binding dhcp_snoop max_entry ports 1-28 limit 5

config address_binding ip_mac ports 24-28 state disable allow_zeroip disable forward_dhcppkt enable

С чего Вы взяли, что при использовании DHCP Snooping он должен быть заблокирован!? DHCP Snooping - это динамический вариант mode ACL.

_________________
С уважением,
Бигаров Руслан.

Дело в том что если отключить DHCP Snooping, то несмотря на то что включена опция allow zero ip, клиенты блокируются и в логах можно наблюдать следующее



соответственно клиенты не получают адрес и находятся в блоке IMPB

Логично, а когда она включена, то клиент получает настройки от DHCP Server-а, а коммутатор создаёт автоматически записи в IMPB, и клиент пользуется вашими услугами без проблем. Так что DHCP Snooping отрабатывает нормально.

_________________
С уважением,
Бигаров Руслан.

На одном порту коммутатора у нас несколько абонентов, соответственно другие не получат адреса от DHCP и не смогут работать. На 3526 такой проблемы нет, то есть нет записи в таблице значит клиент заблокирован, хотя по DHCP он адрес получит, но работать не сможет. А тут получается что клиенты без DHCP Snooping не получат адреса от DHCP сервера, а если DHCP Snooping включен то получат и пропишутся в таблицу.

Если судить по настройкам DHCP Snooping-а, то по-мимо данного клиента ещё четверо должны получить настройки.

_________________
С уважением,
Бигаров Руслан.

У нас задача блокировать пользователей, но на одном порту могут быть те кого надо блокировать и те кого не надо. А получается включаем Snooping не блокируется никто, выключаем и блокируются все(не получают адреса по DHCP). И почему бокируются zero ip, когда прописано в конфиге не блокировать их?

потому что криво сделано: viewtopic.php?p=536629#536629

Да, это именно оно,спасибо. Сразу есть еще вопрос, как там с этим исправлением дела? Оно уже есть или еще нет?

Выслал прошивку.

А какая прошивка исправляет это. У меня 2.31.B02.

enable address_binding dhcp_snoop

enable address_binding trap_log

config address_binding ip_mac ports 1 state enable strict allow_zeroip enable forward_dhcppkt enable

config address_binding dhcp_snoop max_entry ports 1 limit 5


И в логах постоянно блокировки
5935 2009-08-26, 14:42:46 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 0.0.0.0, MAC: 00-16-36-74-24-44, Port: 1)

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

2 Wave2 > Вам тогда нужен другой режим работы IMPB, например ACL.

2 Ivantey > Пока никакая, но проблема уже находится на рассмотрении у разработчиков, я им ещё вчера написал о ней.

_________________
С уважением,
Бигаров Руслан.

А он работает в 3028? Просто он включается режим но ведет себя также и в отличии от 3526 не указывается при внесении записи в таблицу.

В IMP Global Settings
ACL Mode включен, но выключение не активно.

Потому что в последних версиях прошивок ARP или ACL включается при локальной на порту настройке IMPB.

_________________
С уважением,
Бигаров Руслан.