1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 17:01

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 2 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Yagoda
 Заголовок сообщения: IP-MAC-Port Binding
СообщениеДобавлено: Чт сен 01, 2011 06:40 
Не в сети

Зарегистрирован: Ср мар 31, 2010 04:17
Сообщений: 24
Поиском не нашел...

Городская сеть, провайдер "последней мили".
Имеем коммутаторы DES-3200-** (разное к-во портов) как устройство доступа. Прошивка 1.50.B010.
После грозы полетело много клиентских устройств. Некоторые из них начинают флудить MAC-адресами. В результате коммутатор переходит в режим хаба с потерей производительности. Потери пакетов и т.д. В центре ругается логами и глючит Cisco...

И вот, после "курения" мануалов дошли до функции IP-MAC-Port Binding. Вроде бы именно эта функция должна защитить от MAC-флуда.

Прописывать каждое сочетание MAC-IP-Port нецелесообразно. Во-первых много, во-вторых клиенты могут менять свое оборудование.
На подобную ситуацию, вроде, как раз рассчитан режим ARP.

Мои действия.
IMP Binding Global Settings:
Trap / Log - Enabled (чтобы видеть в логах)
DHCP Snoop State - Disebled (не используется)
ARP Inspection - Enabled

Включаю на порту режим Loose, ARP.
Через некоторое время в MAC Block List появляется клиентские Vlan-IP-Port и весь трафик от клиента блокируется.
Если добавляю клиентские IP-MAC-Port в IMP Binding Entry Settings, то клиент работает.
При этом, режим порта ARP/ACL не имеет значения. Режим Strict/Loose тоже.
Если из таблицы IMP Binding Entry Settings убрать клиентские IP-MAC-Port, то весь трафик от клиента блокируется.

Почему-то думал, что IMP Binding Entry Settings будет заполняться автоматически на основании ARP пакетов от клиента. Поправьте, если ошибаюсь.

Ну и вопросы.
1. Так чем все-же отличаются режимы ARP и ACL?
2. Возможно использование IP-MAC-Port Binding без предварительного заполнения таблицы IMP Binding Entry Settings?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: IP-MAC-Port Binding
СообщениеДобавлено: Чт сен 01, 2011 14:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
1. Режим ARP реагирует только на ARP пакетики, ACL - на все пакетики с неверной связкой.
2. Вы видимо не совсем верно понимаете принцип работы данного функционала. Вам следует ознакомиться с нашими презентациями. Для решения исходной задачи скорее подойдет Port Security, а также правильная настройка Traffic Control и Loopdetect:
ftp://ftp.dlink.ru/pub/Trainings/D-Link_switches_and_network_technologies_Basic.rar
ftp://ftp.dlink.ru/pub/Trainings/D-Link_switches_and_network_technologies_Advanced.rar
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 2 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 55

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB