DES-3028 241B05, в дефолтном конфиге, 25-28 порты переведены в vlan_trunk. Стоит как конвертор меди 1000base-T в 1000SFP.

В таком виде включённый в магистраль с 2 тегированными вланами (два алинка в мир) убивает на уровне ip трафика обратный пакет с флагом SYN коннекта активного режима фтп.

Сегодня полдня искал проблему по жалобе клиента, снимал дампы трафика с разных сторон при работе фтп протокола в активном режиме и сравнивал, оказалось что любой сервер из мира шлющий SYN на любой порт клиента с любым ip адресом после фтп-шной команды PORT и всё, 3028 наглухо убивает такой пакет (хотя до свитча я его вижу), а после его уже не получаю.

Плюнул, заменил на ещё один такой новый свитч - не помогло.
Заменил на 1228ME - всё заходило.

Причём за все 3 дня что он стоял в роли конвертора - более проблем не было.

Как такое возможно?

Какие-то ACL настраивались?
Если включён traffic control, то попробуйте его отключить.

На 1ом свитче были ACL пропускающие только PPPoE на 1-24 портах. 25-28 были чистые.
На 2ом я полностью удалил все access_profile, trafic control также выключен. Ничего специального не было включено - минимальная конфигурация.

Вот пример пакета который уничтожается.



Замена ip получателя и отправителя не влияет. На входе свитча пакет есть - после свитчинга - нет. Данный трафик пропускался как с влан тегом 255 так и 401.

show dos_prevention

_________________
С уважением,
Бигаров Руслан.

Всё было включено. Отключил.
Причина могла быть в этом?

ага
там есть предотвращения определённой атаки, src tcp port которой менее 1024, её просто выключите

Понял, странно что оно было включено по дефолту. Я этим не пользовался никогда. Но я не считаю верным что активный фтп считается атакой.

Должно быть так:

_________________
С уважением,
Бигаров Руслан.

Я отключил вообще, мне там ненужна никакая обработка трафика. Это чревато.