Добрый день
Постоянно пользовались DES-3526

Но возникла необходимость закупа DES-3200-10 для некоторых мест, и поэтому пришлось адаптировать их под существующую схему.

Задача - использовать на IP-MAC-Port Binding что бы отсекать доступ к сети неизвестных ip+mac+port, но оставить открытым ВСЕГДА доступ на сервер 10.13.13.13 (это может быть сервер статистики, биллинга, DNS или что-то другое) .

На DES-3526 я решил задачу следующим образом
http://forum.dlink.ru/viewtopic.php?p=312739#312739

На DES-3200-10 делал все следующим образом
0. обновил прошивку до
1. создал ACL

2. Включил IMPB в режиме Loose (иначе в Strict мой MAC не виден в FDB на порту - понятно почему). На 1-6 тестирую, на 7-8 "живу"

Самое интересное в том что
Моя задача исполняется/неисполняется в зависимости от того рассылаю/нерассылаю я ARP-запросы

Поясню на примере
1 - воткнут я в 8й порт (там биндинг не включен) - пингую 10.13.13.13 и 10.13.13.14 (еще бы). У меня на компе в арп таблице присутствует запись адреса шлюза (понятно почему)
2 - быстро перетыкаю себя в 6й порт (там биндинг включен) - пингую 10.13.13.13 и не пингаю 10.13.13.14 (потому что на 10.13.13.13 разрешает ACL, на все остально в т.ч.10.13.13.14 не пускает IMPB). В таблице "MAC Block List" моего мака НЕТ. Самое интересное что в арп запись шлюза не успела исчезнуть, т.е. после того как я воткнулся в 6й порт - мой комп арп запрос на ип шлюза не рассылал.
3 - либо очищаю вручную арп-таблицу у себя на компе/либо проявляю сетевое бездействие/либо вытыкаю витую надолго => в арп-таблице теряется запись шлюза. После этого попытка пинга 10.13.13.13 в арп-таблице вновь ПОЯВЛЯЕТСЯ запись шлюза НО пинг до 10.13.13.13 уже не идет, на свитче в это время (если посмотреть с чужого компьютера) мой мак находится в таблице "MAC Block List".
4 - если быстро воткнуть/выткнуть себя в тотже 6й порт то пингую 10.13.13.13 и не пингаю 10.13.13.14. Потому что при down'е порта очистилась "MAC Block List" на этот порт и арп-запрос мой комп не выполнял (арп-запись у меня была еще в 3м пункте)

Я не сдавался до последнего и сделал вывод что попадание в "MAC Block List" как то связано с рассылкой арп-запроса. ТОгда я решил сделать "зеленый коридор"/разрешающий ACL для арп-запросов

- не помогло

На DES-3200-10 такая штука не прокатывает потому что там нет "Permit IP Pool" (как в 3526).

Следовательно неизвестные маки(после арп-запросов) сразу вносятся в таблицу "MAC Block List" с пометкой Blockbyaddrbind

НО мне нужно что бы они туда не заносились, а свитч на лету определял - "если на 10.13.13.13 то пропускать иначе блочить"

Подскажите как реализовать вышеописанную задачу ???

А не проще ли решить эту задачу через ACL механизм, т.е. разрешить доступ только к определённым dst адресам, а весь остальной трафик запретить.

_________________
С уважением,
Бигаров Руслан.

доступ ко всей сети должен быть у абонентов которые сидят с правильными MACами, IPами и в нужных портах (+платят деньги)

У кого наблюдается несоответствие mac/ip с билинговой базой (или резко закончились деньги) - тем только на биллинг.

Ситуация вполне тривиальна, на 3526 решалась легко.

Как быть с 3200-10 ???

По таким клиентам даже напрягаться не стоит, в block и всё.



Решается с помощью ACL.

P.S.: Permit IP Pool - это функция сделана только для DES-3526 и на других моделях её не будет.

_________________
С уважением,
Бигаров Руслан.

Подскажите пожалуйста как разрешить ситуацию с помощью ACL

Я же сделал разрешающие ACL до 10.13.13.13 но задумка не работает потому что при рассылке арп-запроса мак-адрес непрописанного клиента сразу же попадает в "MAC Block List" и как следствие теряется доступ до всего, что я разрешил в ACL/

Расскажите пожалуйста поподробнее о приоритете ACL vs IMPB ???
На 3526 binding'овые ACL можно было наглядно увидеть в "Access Profile Table" а на 3200 как-то непонятно.

А кто мешает создать для него статическую запись или перейти на DHCP Snooping режим?

P.S.: ACL IMP имеет больший приоритет нежели просто ACL.

_________________
С уважением,
Бигаров Руслан.

Тогда как объяснить п2 моего опыта??? в IPMB прописан не был, а 10.13.13.13 пинговал!!!

Расскажите также поподробней низкоуровневый алгоритм попадания непрописанного мака в "MAC Block List". Как это связано с рассылкой арп-запроса? Ведь моя схема работала до тех пор пока не рассылается арп-запрос.

Можно ли каким-то образом(м/б с помощью ACL) избежать попадания непрописанного мака в "MAC Block List"???


Вы имеете ввиду прописать этого клиента в таблице IMPB ?
У нас в сети скрипт обходит свитчи - если $$$ есть - то заносит в таблицу IMPB записи, если кончились - то удаляет (при минусе только на биллинг, где можно нажать кнопку "доверительный платеж=поработать в долг за небольшую переплату в будущем"), если кто-то из абонов поменял сетевуху - то может зайти на биллинг (поставив ип вручную) и зарегать себе новый мак.

Такая схема очень удобна, проходит без админского участия. Мне же нужно адаптировать под эту схему данные свитчи.

Скажите кто-нибудь как выйти из этой ситуации.

Дома нужно запускать а решения нет

есть мысль уйти вообще от IMB в чистом виде и перейти в ACL
При нормальной управляющей программе, запихивать на свич ACL на нужного клиента статично.

А как должен реагировать ACL IMP если с порта летит правильная связка IP+mac и связка в которой летит неправильный ip, но правильный mac?

Вот пытаюсь тестово отрезать весь arp:
Предварительно сделано:

Далее делаю:

Смущает что указываю я 0x0800, а результат 0x800
Может мой где косяк?

прошивка:DES-3200_Runtime_V1.31.B005.had

Нашел проблему. Накосячил я с L2