D-Link • Просмотр темы - DES-3010G пара вопросов по SNMP и IMB

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3010G пара вопросов по SNMP и IMB

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 17 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

terrible

Заголовок сообщения: DES-3010G пара вопросов по SNMP и IMB

Добавлено: Чт окт 15, 2009 18:28

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

1) хочу установить MAC Notify в режим enable/disable по SNMP, но проблема: установить значение через OID 1.3.6.1.4.1.171.11.63.1.2.2.1.2.19 нельзя, провитать именно его тоже нельзя, можно только прочитать всю ветку 1.3.6.1.4.1.171.11.63.1.2.2.1.2. (des3010g-l2mgmt.mib)

Вопрос: чтобы мне установить MAC Notify нужно всю ветку задавать чтоли? помойму порно какое-то.

2) шедевр немецкого кинематографа с IP-MAC-Binding:
Дано: таблица IMB пустая, к 1-му порту подключен тестовый зуксель, все порты в дефолтном влане, ipif свича тоже.
Ставлю 1 порт в enable - зуксель пингуется, ставлю в disable - тоже пингуется, и там пофигу через что ставить (WEB, Telnet, SNMP), до того момента, как сам свич не начнёт этот зуксель пинговать.
Как только свичом пропингуешь зукселя - он сразу-же заблокируется, а по другому не блокируется

Это баг?
Прошивка 4.30.B14, бут пром 1.01.009 (получил сегодня).

Ещё немного поковыряю его, может ещё что вылезет.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: DES-3010G пара вопросов по SNMP и IMB

Добавлено: Пт окт 16, 2009 10:19

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

1. viewtopic.php?t=92700

2. Всё дело в волшебных пуз... ой что это я, конечно, в ARP пакетиках от клиентского оборудования, на DES-3000 IMPB работает только в ARP режиме, поэтому Вы и наблюдали данное поведение коммутатора.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 11:08

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

По первому вопросу - направил запрос.

По второму вопросу: у меня стоит N-ое количество 3526 и 3828, они тоже, все повально работают в ARP режиме, но такого не наблюдается.

Если его поставить на продакшин, в изолированный VLAN, то свич никогда не получит ни одного пакета от клиента, следовательно IP-MAC-Binding на этом свиче становится вообще лишней, совершенно неработающей, функцией, просто так болтающейся в функционале. Специально собрал стендик, это перепроверил.

Получается, что по логике свича, чтобы нормально работал IMB, необходимо вкорячить его ipif в клиентский влан, и чтобы клиенты каким-либо образом периодически обращались на этот ipif, дабы IMB нормально работал. Всё хорошо, правда это полностью противоречит логике системы безопасности в выделенных VLAN-ах!

Этот баг вы признаёте?

У меня такое ощущение складывается, что функционал IP-MAC-Binding привязан только к CPU, но никакого отношения к коммутационной фабрике не имеет, что не есть гуд.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 11:17

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Код:

ia-moliafko:4#show address_binding ports
Command: show address_binding ports

 Enabled ports         : 1
 Allow ZeroIP ports    : 1-8


ia-moliafko:4#show address_binding ip_mac all
Command: show address_binding ip_mac all


IP Address       MAC Address        Ports
---------------  -----------------  -------------
192.168.3.19     00-19-CB-74-F8-61  1-10

Total entries : 1


ia-moliafko:4#sh fdb port 1
Command: show fdb port 1

VID   VLAN Name         MAC Address        Port    Type
----  ----------------  -----------------  ----  ---------
180   356               00-19-CB-74-F8-61    1    Dynamic

Total Entries  : 1

ia-moliafko:4#show address_binding blocked all
Command: show address_binding blocked all

 VID  VLAN Name                        MAC Address       Port Type
 ---- -------------------------------- ----------------- ---- ---------------

Total entries : 0


ia-moliafko:4#sh ports 1
Command: show ports 1

 Port    State/         Settings             Connection           Address
         MDIX     Speed/Duplex/FlowCtrl  Speed/Duplex/FlowCtrl    Learning
 -----  --------  ---------------------  ---------------------    --------
 1      Enabled   Auto/Disabled          100M/Full/None           Enabled
        Auto

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 11:43

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Чтобы понять что-то из выводов нужна тестовая схема с портами и описанием какой ПК с каким IP и МАС использовались.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 11:50

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Ну вот схемка:

Код:

# VLAN

config vlan default delete 1-10
config vlan default add untagged 1-10
disable vlan_trunk

# LBD

enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect ports 1 state enable
config loopdetect ports 2 state enable
config loopdetect ports 3 state enable
config loopdetect ports 4 state enable
config loopdetect ports 5 state enable
config loopdetect ports 6 state enable
config loopdetect ports 7 state enable
config loopdetect ports 8 state enable
config loopdetect ports 9 state disable

# SYSLOG

enable syslog
create syslog host 1 severity all facility local0 udp_port 514 ipaddress 192.168.97.64 state enable
config log_save_timing on_demand

# MANAGEMENT

create trusted_host 192.168.97.65
create trusted_host 192.168.97.66
create trusted_host 192.168.97.214
enable snmp traps
enable snmp authenticate traps
config snmp linkchange_traps ports 1 enable
config snmp linkchange_traps ports 2 enable
config snmp linkchange_traps ports 3 enable
config snmp linkchange_traps ports 4 enable
config snmp linkchange_traps ports 5 enable

# ACL

disable cpu_interface_filtering

# ADDRBIND

config address_binding ip_mac ports 1 state disable allow_zeroip enable
config address_binding ip_mac ports 2 state disable allow_zeroip enable
config address_binding ip_mac ports 3 state disable allow_zeroip enable
config address_binding ip_mac ports 4 state disable allow_zeroip enable
config address_binding ip_mac ports 5 state disable allow_zeroip enable
config address_binding ip_mac ports 6 state disable allow_zeroip enable
config address_binding ip_mac ports 7 state disable allow_zeroip enable
config address_binding ip_mac ports 8 state disable allow_zeroip enable
config address_binding ip_mac ports 9 state disable allow_zeroip enable
config address_binding ip_mac ports 10 state disable allow_zeroip enable
enable address_binding trap_log
config address_binding aging_interval 5

# IP

config ipif System vlan default ipaddress 192.168.3.43/24 state enable clear_description
enable telnet 23
enable web 80
disable autoconfig

# ROUTE

create iproute default 192.168.3.6 1

#ОСТАЛЬНОЕ ПО ДЕФОЛТУ

9-порт - аплинк, 1-й порт - хуксель IP 192.168.3.19
Из аплинка идёт пинг на зуксель с IP 192.168.3.1. Ну и дальше так, как я описал в первом посте.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 12:19

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Только если я правильно понял IMPB на первом порту включён, правильно!?

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 12:23

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

да, allow-sero-ip тоже (привычка включать)

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 12:29

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Хорошо, мы проверим.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 13:06

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

А что касается первой проблемы с mac_notification, отпишусь в этой теме: также наблюдаю некорректное поведение коммутатора. По этому вопросу я запросил ШК и как появятся новости, сообщу Вам.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 16, 2009 14:47

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Что касается второй проблемы, то клиент блокируется при отправке ARP запроса вне зависимости пинговать его с интерфейса коммутатора или нет (попробуйте сделать arp -d на клиентской машине, которая находится на порту где ip_mac включен).
Также рекомендую config address_binding aging_interval поставить побольше 5, так как из-за этого Вы можете и пропустить, тот факт, что клиент попадал в список заблокированных при оправке ARP запросов.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт окт 20, 2009 18:56

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Denis Evgraphov писал(а):

поставил 120 секунд, пусть помучаются.

Денис, так получается, что свич реагирует только на ARP запросы?
Просто если клиент уже получил текущую ARP таблицу он больше ARP запросы может и не отправлять. А то я чё-та смотрю на этот свич и вижу, что он неадекватен слегонца.

Ну вот сейчас простой пример, схема такая:
ipif 3010g vlan 1 port 9 untag -> DES-3828 port 12 vlan 1 untag
бук 3010g port 1 vlan 180
3010G vlan 180 port 9 tag -> DES-3828 port 12 vlan 180 tag

3828 vlan 180 ipif xxx.xxx.xxx.xxx

Очистил таблицу биндинга, на 1-м порту включен бук, на 1-м порту включен биндинг.

Подключаю бук, запускаю пинг на ipif 3828, постоянный, бук блокируется, всё хорошо.

Далее, представим, что у нас бук является клиентом, вкорячиваю IP-MAC в свич, клиент соответственно разблокирован, далее шаманство:

представим, что клиент играет в контру, у него всё включено, идёт постоянный обмен данными, что в нашем случае эмулируется пингом ipif соответствующего влана на 3828:

conf address ip port 1 st ena all ena + нужна связка ип-мак - бук работает - верно
снимаю связку IP-MAC со свича - бук работает - неверно
conf address ip port 1 st dis all dis - бук работает - верно
conf address ip port 1 st ena all ena - бук работает - неверно
conf ports 1 st dis - бук отключен - логично
....
спустя 20-30 секунд...
....
conf ports 1 st en - бук неработает - висит в блоках - верно
добавляю связку IP-MAC со свича - бук работает - верно

ну и далее рекурсия.

Денис, это неадекватное поведение свича. Получается, что что-бы заблокировать клиента, необходимо помимо удаления записи ип-мак ещё и на определённое время выключать его порт, чтобы он соизволил послать ARP запрос!

Это можно ли вылечить?

на других свичах я такого никогда не видел.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Ср окт 21, 2009 11:22

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

По данной серии я недавно уточнял в ШК. Если клиент не будет посылать ARP запросы, то не попадет в список заблокированных, как только он сделает такой запрос, то сразу будет заблокирован. В Вашем примере при отключении/включении связки на порту клиент ARP запросов не посылал.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Чт окт 22, 2009 08:40

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

как раз посылал, раз попал в блок. Денис, это можно ли вылечить?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Чт окт 22, 2009 09:53

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

terrible писал(а):

как раз посылал, раз попал в блок. Денис, это можно ли вылечить?

Все верно, когда посылал - сразу попадал в блок. На данном устройстве есть только ARP режим, изменений в этом плане не планируется.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 17 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 247

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения