Есть DES-3526 "свитч". Управляющий vlan оставляем только на 26-м порту. В 26-й порт подключен "роутер". Свитч пингует роутер, всё работает. В 1-й порт втыкаем "компьютер". На свитче на 1-м порту никаких vlan-ов не висит. На компьютере настраиваем ip адрес такой же как на роутере. С компьютера посылаем тегированный (управляющий vlan свитча) arping на ip свитча, и видим через sh arp что на свитче в кэше уже мак адрес компьютера. Причём если на свитче в кэше не было мака роутера, то ничего не произойдет. Баг работает только когда правильный мак есть, т.е. только на обновление.
Проверялось на 4.01-B19 и на 5.01-B52.
DES-3028 2.52.B02 тоже самое.

а вы влан выключаете на порту у абонента? почему не сам порт?

То, что я описал - это howto для воспроизведения бага, в реальности на абонентском порту висит нетегированный абонентский влан.

А если клиентские порты добавить как not member!?

_________________
С уважением,
Бигаров Руслан.

Т.е. как "not member" ?
create vlan vlan100 tag 100
config vlan vlan100 a t 26
config ipif System ipaddress 10.90.90.90/24 vlan vlan100

Чтобы порт не мог добавится в ненужный VLAN.

_________________
С уважением,
Бигаров Руслан.

Можно поконкретнее, я не улавливаю. Если Вы про gvrp, так тот и не включался.

В manual-е описаны режимы not_member и forbiden.

_________________
С уважением,
Бигаров Руслан.

По-моему вы просто невнимательно прочитали мой 1-й пост.
С forbidden ничего не поменялось, да и не должно вроде.

Укажите, пожалуйста, а ingress_checking у Вас включен? Я правильно понимаю, что Вы пингуете управляющий интерфейс с порта на котором влан, в котором управляющий интерфейс находится, не прописан? Ответ на arping от управляющего интерфейса коммутатора приходит? IMPB на коммутаторе используется?

ingress_checking это вроде про gvrp, всё по дефолту.
Да, на абонентский порт, на котором прописан только нетегированный абонентский влан приходит тегированный (управляющим вланом) пакет, который по всей логике должен быть отброшен. Ответ не приходит (свитч посылает ответ на все сконфигурированные порты в управляющем влане, т.к. мак адрес компьютера (в терминах 1-вого поста) в fdb не попадает).
Ни ip-mac-port-binding, ни acl не используются, абонент арендует канал. Даже если на порт ставить всё закрывавающие acl ничего не меняется:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny
или
create access_profile ethernet vlan profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet vlan VLAN100 port 1 deny
(100-й влан - управляющий)




Command: show gvrp

Global GVRP : Disabled

Port PVID GVRP Ingress Checking Acceptable Frame Type
------ ---- -------- ---------------- ---------------------------
1 1 Disabled Enabled All Frames
2 1 Disabled Enabled All Frames

Не совсем понятно, что у Вас происходит в результате всех вышеописанных действий. В чем, собственно, заключается проблема? И на компьютере, такой же MAC как на роутере или только их IP совпадают?

На компьютере и на роутере маки разные, а ip одинаковые. А проблема в том, что свитч начинает думать что роутер находится на маке компьютера и с роутера теряется всё управление свитчом. Лечится arping-ом свитча с роутера, но ведь это же не выход постоянно arping-овать свитч только для того, чтобы он не пропадал?
Повторюсь, что вместо компьютера у нас вредный абонент, а фильтрация через acl на эту особенность не работает.

То есть в "sh arpentry" меняется связка, в соответствии с параметрами компьютера? Вы не пробовали прописать ее статически?

Если статически прописать то всё ок, только очень не хочется статики, хочется чтобы всё работало так, как ожидаешь)