faq обучение настройка
Текущее время: Чт окт 29, 2020 00:09

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 843 ]  На страницу Пред.  1 ... 16, 17, 18, 19, 20, 21, 22 ... 57  След.
Автор Сообщение
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Ср дек 23, 2015 21:57 
Не в сети

Зарегистрирован: Вт ноя 17, 2015 20:55
Сообщений: 44
michailbugati писал(а):
Почему тогда при с этими же правилами:
create cpu_access_profile ip source_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip source_ip 224.0.0.0 port 1-27 deny
на 3200 А1/C1 мультикаст работает?

Мультикаст и должен работать с этими правилами. Для мультикаста нужно фильтровать destination_ip, а не source_ip. Но если в этих правилах просто source поменять на destination, то IPTV работать перестанет... выше писали почему.

Вы точнее скажите, какой именно мультикаст-трафик хотите фильтровать от клиента, тогда может и подскажут решение или хотя бы направление в котором идти его искать.

Мультикаст во многих системах используется и многим оборудованием - ненароком можно зафильтровать что-то нужное. В вашем случае может даже стандартной настройки и ограничения по группам хватит на этом свиче и фильтровать с помощью ACL ничего не придется.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт дек 24, 2015 19:22 
Не в сети

Зарегистрирован: Вт ноя 17, 2015 20:55
Сообщений: 44
Artem Kolpakov писал(а):
на прошивке 043 наблюдаются проблемы с ISM VLAN, коммутатор не пропускает query пакеты до клиента при выключенном IGMP Querier в абонентском vlan, об этом уже сообщили разработчикам.


В качестве временного решения (которое у многих останется постоянным) можно на DGS-1100-10/ME включить IGMP Querier в абонентском VLAN. IPTV работать будет.

Но отправку General Query на Uplink все же нужно как-то устранить. Egress фильтров на D-Link ведь нет, а вышестоящий свич может вообще не уметь фильтровать такие пакеты или, если там тоже D-Link, все CPU ACL на нем могут быть уже заняты другими правилами.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пт дек 25, 2015 00:59 
Не в сети

Зарегистрирован: Пн июл 31, 2006 13:18
Сообщений: 10
Откуда: kyiv
здравствуйте,

вопрос вендору.
можно ли донести программистам чтобы добавили команду просмотра связки IP-MAC binding для данного свича и для 1100-06/ME :) конкретно интересует любая из этих двух или что-то типа того :)
show address_binding dhcp_snoop binding_entry
show address_binding ip_mac all
а то свич сам по себе замечательный, всё работает, dhcp snooping всё нормально снупает, опцию 82 обрабатывает, пользователи адреса получают, но эксплуатировать очень неудобно, ибо проверить на свиче, что и кому выдалось и выдалось и выдалось ли вообще - невозможно, нужно только лезть в биллинг (((

это возможно и реально или "все в сад" (с)?

ps: про security ладно, не будем, дабы не наглеть уж совсем :) workaround есть - и то хорошо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн дек 28, 2015 14:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
sansiam писал(а):
можно ли донести программистам чтобы добавили команду просмотра связки IP-MAC binding для данного свича и для 1100-06/ME :) конкретно интересует любая из этих двух или что-то типа того :)
show address_binding dhcp_snoop binding_entry
show address_binding ip_mac all
а то свич сам по себе замечательный, всё работает, dhcp snooping всё нормально снупает, опцию 82 обрабатывает, пользователи адреса получают, но эксплуатировать очень неудобно, ибо проверить на свиче, что и кому выдалось и выдалось и выдалось ли вообще - невозможно, нужно только лезть в биллинг (((


Ни на DGS-1100-10/ME, ни на DGS-1100-06/ME нет IMPB и не планируется. Соответственно, dhcp snooping тоже не будет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пн дек 28, 2015 20:18 
Не в сети

Зарегистрирован: Пт мар 20, 2009 01:39
Сообщений: 94
что исправили/добавили в 44-ой?
после установки 43-ей несколько свичей повисло, примерно 4 из 60.Под повисло я имею ввиду не повисло в процессе обновления а после успешного рубута и какого-то время эксплуатации.Можно ли получить дебаг версию что бы поиочь Вам исправить этот глюк до конца?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Вт дек 29, 2015 06:48 
Не в сети

Зарегистрирован: Пт ноя 30, 2007 18:32
Сообщений: 55
alexspils писал(а):
что исправили/добавили в 44-ой?


На официальном сайт есть информация:

Код:
Обновления от 28.12.2015
Замечания к выпуску
Исправления
\xC8\xF1\xEF\xF0\xE0\xE2\xEB\xE5\xED\xE0 \xED\xE0\xF1\xF2\xF0\xEE\xE9\xEA\xE0 \xEF\xEE\xF0\xF2\xEE\xE2
\xC4\xEE\xE1\xE0\xE2\xEB\xE5\xED\xE0 \xE2\xEE\xE7\xEC\xEE\xE6\xED\xEE\xF1\xF2\xFC \xED\xE0\xF1\xF2\xF0\xEE\xE9\xEA\xE8 vlan \xE3\xF0\xF3\xEF\xEF\xEE\xE9


Что по-русски звучит как:
1. Исправлена настройка портов
2. Добавлена возможность настройки vlan группой


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Вт дек 29, 2015 09:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Описание на сайте исправлено, спасибо за замечание.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Вт дек 29, 2015 22:04 
Не в сети

Зарегистрирован: Вт ноя 17, 2015 20:55
Сообщений: 44
Артем, рассмотрели функционал этого свича касательно работы с мультикастом... там такая каша. Свичей этих много, время идет, а воз и ныне там. Одно починили - другое сломали. Может дадите контакты разработчиков, чтобы напрямую о недоработках им писать (там много), а не Вас здесь терзать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Ср дек 30, 2015 10:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Пишите сюда, напрямую мне, или моим коллегам, на почту.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Ср дек 30, 2015 20:23 
Не в сети

Зарегистрирован: Вт ноя 17, 2015 20:55
Сообщений: 44
Хорошо.

Тогда опять о IGMP General Query и IGMP Reports:
  • 1. DGS-1100-10/ME отправляет его на Uplink, что может спровоцировать вышестоящий свич отправить ему весь имеющийся на нем мультикаст-трафик (или только все IGMP пакеты), который DGS-1100-10/ME не нужен. Это может привести к неприятным последствиям описанным далее в пункте 3.
  • 2. DGS-1100-10/ME не пропускает через себя IGMP General Query на клиентские порты и от своего имени их не дублирует и на Uplink на них сам не отвечает (а тем временем, на вышестоящем свиче/роутере работает счетчик ждущий ответа на этот Query и по его истечению трансляция UDP вышестоящим свичем/роутером прекращается). Думал, что включение Querier на DGS-1100-10/ME поможет, но ошибался.
  • 3. DGS-1100-10/ME пропускает IGMP Reports (V2 по крайней мере), приходящие ему на Uplink (возможно и с клиентских портов), на абонентские порты, хотя в RFC4541 section 2.1.1.1 прямо сказано: "A snooping switch should forward IGMP Membership Reports only to those ports where multicast routers are attached.". В некоторых случаях (при определенном сочетании оборудования, работающего по RFC или не по ним) это может спровоцировать обрывы в трансляции, RFC2236: "If the host receives another host's Report (version 1 or 2) while it has a timer running, it stops its timer for the specified group and does not send a Report, in order to suppress duplicate Reports.". Обрывы происходят примерно каждые 2 минуты (зависит от интервала отправки General Query роутером, рандомного счетчика у клиента и количества других клиентов подписанных на ту же группу).

Все это при настроенном ISM VLAN и включенном IGMP Snooping, естественно. Если что-то непонятно, то могу пояснить.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт дек 31, 2015 10:17 
Не в сети

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
Myxator писал(а):
Хорошо.

Тогда опять о IGMP General Query и IGMP Reports:
  • 1. DGS-1100-10/ME отправляет его на Uplink, что может спровоцировать вышестоящий свич отправить ему весь имеющийся на нем мультикаст-трафик (или только все IGMP пакеты), который DGS-1100-10/ME не нужен. Это может привести к неприятным последствиям описанным далее в пункте 3.
  • 2. DGS-1100-10/ME не пропускает через себя IGMP General Query на клиентские порты и от своего имени их не дублирует и на Uplink на них сам не отвечает (а тем временем, на вышестоящем свиче/роутере работает счетчик ждущий ответа на этот Query и по его истечению трансляция UDP вышестоящим свичем/роутером прекращается). Думал, что включение Querier на DGS-1100-10/ME поможет, но ошибался.
  • 3. DGS-1100-10/ME пропускает IGMP Reports (V2 по крайней мере), приходящие ему на Uplink (возможно и с клиентских портов), на абонентские порты, хотя в RFC4541 section 2.1.1.1 прямо сказано: "A snooping switch should forward IGMP Membership Reports only to those ports where multicast routers are attached.". В некоторых случаях (при определенном сочетании оборудования, работающего по RFC или не по ним) это может спровоцировать обрывы в трансляции, RFC2236: "If the host receives another host's Report (version 1 or 2) while it has a timer running, it stops its timer for the specified group and does not send a Report, in order to suppress duplicate Reports.". Обрывы происходят примерно каждые 2 минуты (зависит от интервала отправки General Query роутером, рандомного счетчика у клиента и количества других клиентов подписанных на ту же группу).

Все это при настроенном ISM VLAN и включенном IGMP Snooping, естественно. Если что-то непонятно, то могу пояснить.

Разработчики уже в курсе. Работа по проблеме с ISM Vlan и IGMP Query уже ведется.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Пт янв 01, 2016 18:10 
Не в сети

Зарегистрирован: Пн июл 31, 2006 13:18
Сообщений: 10
Откуда: kyiv
Artem Kolpakov писал(а):
Ни на DGS-1100-10/ME, ни на DGS-1100-06/ME нет IMPB и не планируется. Соответственно, dhcp snooping тоже не будет.

ну сам снупинг-то работает, хоть его и нет: пакет снупается, в него добавляется корректная опция82. всей-то радости сделать занесение пары ip-mac из пакета dhcpack в отдельную таблицу. даже в самом худом случае, если ограничиться одной записью на порт - это (4+6)*10=100 байт в оперативной памяти. лично я не вижу вообще никаких препятствий, кроме маркетинговых. других никаких требований нет, к безопасности подвязывать это не нужно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Сб янв 02, 2016 07:36 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1589
Откуда: Алтайский край, Барнаул
Думаете маркетинга мало? :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Вт янв 05, 2016 01:26 
Не в сети

Зарегистрирован: Пн авг 03, 2015 16:36
Сообщений: 119
Применяем на DGS-1100-10/ME Build V1.01.B043 (аплинк 10 порт)
create cpu_access_profile ip source_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip source_ip 224.0.0.0 port 1-10 deny
и напрочь теряем управление
Поясните пожалуйста причину

_________________
ISP LuxLite


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1100-10/ME
СообщениеДобавлено: Чт янв 07, 2016 08:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12235
Откуда: D-Link, Moscow
sansiam
Цитата:
ну сам снупинг-то работает, хоть его и нет: пакет снупается, в него добавляется корректная опция82.

Это не снупинг, это relay. Снупинг - это надстройка над IMPB, которого в этой модели нет, а значит и снупинга быть не может.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 843 ]  На страницу Пред.  1 ... 16, 17, 18, 19, 20, 21, 22 ... 57  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB