faq обучение настройка
Текущее время: Вс июл 13, 2025 02:28

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Сб дек 11, 2010 19:37 
Не в сети

Зарегистрирован: Чт фев 12, 2004 14:32
Сообщений: 129
Откуда: Tver
Как то непонятно работает IP-MAC-port binding на коммутаторе 3200-10 при использовании в сети PPPoE авторизации в Интернет.
Абоненты, кто использует маршрутизаторы, например DIR-300 с последней прошивкой (октябрь-декабрь 2010 года), переодически попадают в MAC Block List (примерно раз в 4-5 минут), а после оттуда пропадают. При этом в логах коммутатора указано, что неавторизована связка белыйip-mac, тогда как в IMP Binding Entry Settings прописаны связки серыйip-mac.
Абоненты же, кто использует маршрутизаторы, например DIR-300 со старой прошивкой (из коробки), попадают в MAC Block List навсегда и у них ничего не работает.
Сам DIR настроен правильно, стоит режим DualAccess, белые адреса он получает автоматически при PPPoE соединении, серые прописаны как static IP. На коммутаторе 3200-10 используется ARP-strict режим блокировки и стоит прошивка 1.33.B003.
При использовании режима ARP-loose картина вроде получше, но в логи все-равно попадает информация про неавторизованую связку белыйip-mac

Так и должно быть или я что-то неправильно понимаю???


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 13, 2010 11:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Скорее всего какая-то проблема с DIR-300. Уточните на нём версию прошивки и попробуйте похватать трафик с клиентского порта снифером. Возможно роутер по каким-то причинам шлёт пакеты с внешним адресом не в туннель, а напрямую в подлежащую подсеть.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 13, 2010 11:52 
Не в сети

Зарегистрирован: Чт фев 12, 2004 14:32
Сообщений: 129
Откуда: Tver
Alexandr Zaitsev писал(а):
Скорее всего какая-то проблема с DIR-300. Уточните на нём версию прошивки и попробуйте похватать трафик с клиентского порта снифером. Возможно роутер по каким-то причинам шлёт пакеты с внешним адресом не в туннель, а напрямую в подлежащую подсеть.


Очень жаль, что сотрудники D-Link дают такой мутный ответ. :(
Если бы проблема была только с одним DIR-300, то мы бы уже конкретно с ним давно разобрались.
НО! Повторяю, к этому коммутатору подключено множество DIR-300 и DIR-300N и со всеми из них есть вышеописанная проблема.
Следовательно есть основания думать, что, либо проблема массовая с DIR-300 и наверняка наблюдается у других операторов связи, либо проблема с самим коммутатором 3200-10. В любом случае техподдержка D-Link тогда должна быть в курсе этой проблемы и помочь мне более конкретно.

Давайте тогда попробуем с другой стороны.
Вопрос к техподдержке D-Link:

Как правильно настроить функцию IP-MAC-port binding на коммутаторе 3200-10, если к нему подключены компьютеры и маршрутизаторы серии DIR, на всех них установлен вручную серый IP и получают они белый IP автоматически при подключении через PPPoE ? (вдруг все-таки я неверно настраиваю саму функцию IPMPB)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 13, 2010 12:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
IMPB не может лезть внуть PPPoE пакетов и выуживать оттуда белые адреса. Т.е. не могут они попадать в таблицу блокировок. Если это происходит сначит роутер по каким-то причинам иногда шлёт пакеты с белым IP адресом вне PPPoE туннеля. Это и есть проблема.
Но это только предположение, чтобы скаать наверняка необходимо хватать трафик снифером и смотреть что же на самом деле шлёт роутер.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 13, 2010 13:16 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Наблюдаем аналогичную ситуацию с роутерами, однако это происходит только в том случае, если:
1) используется Russian PPPoE
2) Если таблица статического роутинга на DIR пустая
3) Если комп абонента запоганен

По моим наблюдениям это происходит из-за того, что роутер неправильно маршрутизирует пакеты, уходящие от абонента через WAN порт: пакеты, предназначенные для PPPoE WAN маршрутизируются через Phisical WAN и летят в свич, вот вам и блок.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 14, 2010 09:25 
Не в сети

Зарегистрирован: Чт фев 12, 2004 14:32
Сообщений: 129
Откуда: Tver
terrible писал(а):
Наблюдаем аналогичную ситуацию с роутерами, однако это происходит только в том случае, если:
1) используется Russian PPPoE
2) Если таблица статического роутинга на DIR пустая
3) Если комп абонента запоганен

По моим наблюдениям это происходит из-за того, что роутер неправильно маршрутизирует пакеты, уходящие от абонента через WAN порт: пакеты, предназначенные для PPPoE WAN маршрутизируются через Phisical WAN и летят в свич, вот вам и блок.


Да, мы используем "Russian PPPoE" - а иначе как же нам тогда по другому одновременно присваивать WAN-порту и серый и белый IP?
Таблица роутинга не пустая, но маршруты прописаны только для серых адресов (локальный пирринг). При указывании маршрута, выбираем в роутере Phisical WAN.
И как тут может повлиять компьютер? Он же за NATом маршрутизатора стоит...

Вообще странно, что коммутатор и маршрутизатор одного производителя не дружат друг с другом...
Что же нам теперь говорить абонентам? Чтобы обращались в D-Link? )))


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 14, 2010 15:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Пришлите сниф с порта проблемного клиента мне на почту, я посмотрю в чём проблема. Если действительно виноват роутер, то будем исправлять.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 15, 2010 12:40 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Какую прошивку используете на DIR-300? Свежие пробовали?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 20, 2010 11:31 
Не в сети

Зарегистрирован: Чт фев 12, 2004 14:32
Сообщений: 129
Откуда: Tver
Alexandr Zaitsev писал(а):
Пришлите сниф с порта проблемного клиента мне на почту, я посмотрю в чём проблема. Если действительно виноват роутер, то будем исправлять.


Снял я программой Wireshark данные с порта, но в случае работы PPPoE на DIR-300 и PPPoE на обычном ПК, пакеты с данными, где присутствует белый IP, выглядят нормально и примерно похожи. Т.е. во всех пакетах присутствует PPPoE часть. Так почему же ПК в блоклист не попадает, а DIR-300 попадает???
Если Вам высылать собранные пакеты, то какие именно отправлять? PPP пакеты запросов/ответов или пакеты с данными, где присутствует белый IP?

terrible писал(а):
Какую прошивку используете на DIR-300? Свежие пробовали?


Конечно ) Я же писал выше, что стоит множество диров, там есть и DIR-300 и DIR-300N и все с разными прошивками (в том числе и с последними) - в итоге все из них попадают в блоклист.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 20, 2010 11:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Сделайте таким образом.
Запустите на порту снифер (через зеркалирование), затем включите роутер и поработайте какое-то время пока роутер не попадёт в блек-лист коммутатора. После этого останавливайте снифер и высылайте сниф на azaitsev@dlink.ru с указанием модели роутера, версии прошивки и конфигом коммутатора


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн дек 20, 2010 14:26 
Не в сети

Зарегистрирован: Чт фев 12, 2004 14:32
Сообщений: 129
Откуда: Tver
Alexandr Zaitsev писал(а):
Сделайте таким образом.
Запустите на порту снифер (через зеркалирование), затем включите роутер и поработайте какое-то время пока роутер не попадёт в блек-лист коммутатора. После этого останавливайте снифер и высылайте сниф на azaitsev@dlink.ru с указанием модели роутера, версии прошивки и конфигом коммутатора


Отправил на почту


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB