Вобщем столкнулся с такой ситуацией - каким то образом МАК адрес шлюза для абонентов появляется не на 25-28 порту (аплинк порты) а на абонентских. Так как включен IP Mac-port binding, соответственно мак-адрес шлюза блокируется, и у абонентов перестает работать интернет. Лечиться тем, что все абонентские порты (1-24) перевести в состояние down, а потом обратно в up. После чего работоспособность возобновляется. Решением было бы прибить статически мак-адрес шлюза на аплинк порты, но это усложнено тем, что свитчи работают в RSTP кольце, и мак-адрес шлюза может приходить с другого аплинк порта. Каким образом можно решить данную проблему?

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

Packet content filtering ACL

Включите loopback detection глобально и на абон. портах.
+ проверьте что-бы STP state и BDPU forwarding был включен только на портах которые учавствуют в RSTP, а на абон портах выключен.

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Loopback detection на портах включен, СТП на абонентских портах выключен.

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 20
config access_profile profile_id 20 add access_id 1 ethernet source_mac F0-7D-68-F0-69-B9 port 1-24 deny


Нужно запретить мак-адрес шлюза (F0-7D-68-F0-69-B9) на всех абонентских портах, разрешить его только на транковых (25-28).

Правильно ли я создал правило? Что будет с коммутатором, если он вдруг получил мак адрес шлюза с любого из 1-24 портов.
Не получиться ли так, что он просто заблокирует этот мак? Иными словами с аплинк порта мак пропадет, и нигде больше не появится?
Тоесть сам факт появления мака шлюза на другом порту не приведет к изменениям в fdb?

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

Не парьте себе моск. Просто воспользуйтесь функцией arp_spoofing_prevention.

И в довесок - правильно ли я составил правила:

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 5
config access_profile profile_id 5 add access_id 1 ethernet destination_mac 00-21-91-C7-D5-D8 port 1-24 permit
config access_profile profile_id 5 add access_id 2 ethernet destination_mac 00-00-00-00-00-00 mask FF-FF-FF-FF-FF-FF port 1-24 deny

Смысл следующий - разрешить обращаться на мак-адрес шлюза, и запретить обращаться на все остальные мак-адреса.

ЗЫ: Не помешает ли это правило работе DHCP Relay?

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

Используйте функционал ARP Spoofing Prevention. Правила у Вас некорректно составлены, у Вас клиенты не должны друг с другом вообще общаться? Не проще ли запретить MAC шлюза на клиентских портах, а не обратную задачу решать?

ARP Spoofing конечно хорошо, но к примеру не все свитчи могут хотя бы 16 записей. DES-1228ME - 1 запись, DES3526 - 10 записей.
DES-3200-26|28 принял все.

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

Я так понял мой выбор - это все же ACL, потому как ARP Spoofing не работает адекватно. Только сегодня утром наблюдалась та же картина - по одному из вланов заблокировался мак адрес шлюза на абонентском порту, при том что арп спуфинг был включен:

# ARPSPOOF

config arp_spoofing_prevention add gateway_ip 10.20.1.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.2.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.3.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.7.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.9.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.10.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.12.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.13.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.15.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.16.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.19.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26
config arp_spoofing_prevention add gateway_ip 10.20.20.1 gateway_mac F0-7D-68-F0-69-B9 ports 1-26

Device Type : DES-3200-26
Firmware Version : Build 1.50.B002


Или я как-то неправильно понял работу arp spoofing prevention?

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

Что значит заблокировался MAC адрес шлюза? У Вас используется IMPB?

Да, на абонентских портах использутся IMPB.

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

В таком случае Вам нужно использовать IMPB версии 3.8 (реализованный в 1.52 прошивках). Там заблокированные MAC адреса не заносятся в FDB.

А абоненты тоже не будут отображаться в IMP Blocked?

_________________
Не важно веришь ли ты в бога, важно верит ли он в тебя...

Будут, кроме того в логи попадет сообщение о блокировке.