Задача выделить pppoe трафик в отдельный влан, на порту абонента один мак адрес (чтобы не подключали через свитчи много компьютеров и т.п.)
DES-3200-18 C1 Build 4.37.B006, порт абонента номер 3, Untagged.
120 - влан для локальной сети, 121 - для pppoe.
С настройкой проблем не возникает, а вот с port_security - есть проблема
config port_security ports 3 admin_state enable max_learning_addr 1 lock_address_mode deleteontimeout
свитч в логи пишет
252 2014-02-25 12:17:09 WARN(4) Port security violation (MAC address: 14-D6-4D-E4-26-EB on port: 3)
251 2014-02-25 12:17:04 WARN(4) Port security violation (MAC address: 14-D6-4D-E4-26-EB on port: 3)
250 2014-02-25 12:16:56 INFO(6) Port 3 link up, 100Mbps FULL duplex
Command: show fdb port 3
VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
121 VLAN121 14-D6-4D-E4-26-EB 3 Dynamic Forward
при это pppoe трафик есть , сессия поднялась все работает, а локалка заблокирована.
Бывает наоборот первый пакет от абонента пришел не pppoe, локалка есть - pppoe нет.
В fdb создалась запись:
Command: show fdb port 3
VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
120 VLAN120 14-D6-4D-E4-26-EB 3 Dynamic Forward
в логах снова
259 2014-02-25 12:22:09 WARN(4) Port security violation (MAC address: 14-D6-4D-E4-26-EB on port: 3)
258 2014-02-25 12:21:37 WARN(4) Port security violation (MAC address: 14-D6-4D-E4-26-EB on port: 3)
257 2014-02-25 12:21:12 INFO(6) Port 3 link up, 100Mbps FULL duplex
Разрешить два мака на порту - не выход (config port_security ports 3 admin_state enable max_learning_addr 2 lock_address_mode deleteontimeout),
т.к. абоненты смогут поднять с одного порта 2 сессии с разных маков.
Что-то мне кажется что port_security для свитка это не 1 мак, а одна пара мак+влан+port
ACL тоже не выход, если я создам правило разрешающее конкретный мак на порту, тогда абоненту - поменявши оборудование без звонка в тех.поддержку не обойтись.
Как быть чтобы и один мак от абонента был на порту, и 802.1v работало.
Код:
---
Command: show vlan
VLAN Trunk State : Disabled
VLAN Trunk Member Ports :
VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Enabled
Member Ports : 17-18
Static Ports : 17-18
Current Tagged Ports : 17-18
Current Untagged Ports:
Static Tagged Ports : 17-18
Static Untagged Ports :
Forbidden Ports :
VID : 120 VLAN Name : VLAN120
VLAN Type : Static Advertisement : Disabled
Member Ports : 1-8,17-18
Static Ports : 1-8,17-18
Current Tagged Ports : 17-18
Current Untagged Ports: 1-8
Static Tagged Ports : 17-18
Static Untagged Ports : 1-8
Forbidden Ports :
VID : 121 VLAN Name : VLAN121
VLAN Type : Static Advertisement : Disabled
Member Ports : 1-8,17-18
Static Ports : 1-8,17-18
Current Tagged Ports : 17-18
Current Untagged Ports: 1-8
Static Tagged Ports : 17-18
Static Untagged Ports : 1-8
Forbidden Ports :
Total Static VLAN Entries: 3
Total GVRP VLAN Entries: 0
DES-3200-18:admin#
DES-3200-18:admin#show dot1v_protocol_group
Command: show dot1v_protocol_group
Protocol Group ID Protocol Group Name Frame Type Protocol Value
----------------- -------------------------------- -------------- --------------
1 pppoe_disc EthernetII 8863
2 pppoe_session EthernetII 8864
Total Entries: 2
DES-3200-18:admin#show port dot1v ports 3
Command: show port dot1v ports 3
Port: 3
Protocol Group ID VLAN Name Protocol Priority
------------------- --------------------------------- -----------------
1 VLAN121 -
2 VLAN121 -
Total Entries: 2
Вход
Регистрация
FAQ
Поиск
