Возникла проблема на нескольких коммутаторах в кольцах, кольца построены на разных моделях коммутатров.

Настроено Opt.82 + address_binding.

Проверяем на разном ПО.

Настройки не меняются.

DES3200R_4.36.B011.had - клиенты по address_binding блочатся и не могут авторизоваться, изменение ARP Inspection, IP Inspection видимых улучшений не дают. Переключение на port_sec не решает проблему некоторые клиенты не могут авторизоваться.

DES3200R_4.38.B000.had - клиенты на port_sec после перезагрузки все авторизованы корректно. Переключаю на address_binding, вижу периодическое пропадение пакетов до клиентов. Со слов нескольких клиентов у них в момент пропадения отсутствует мак шлюза в таблице ARP. Так же вижу кратковременное пропадение мака клиента на узле агрегации. По началу думал что проблема в 3028/52 установленных в том же кольце с из кривой фунцией хэшей маков, но совпадения хэш в flood_fdb ни с маком шлюза ни с маком клиента нет.
Изменение настроек ARP Inspection, IP Inspection в разных вариантах ничего не меняют если включено ARP Inspection.
ARP Inspection - loose, IP Inspection - enable
ARP Inspection - loose, IP Inspection - disable
ARP Inspection - strict, IP Inspection - enable
ARP Inspection - strict, IP Inspection - disable

Привязка есть ACL в норме, но пакеты пропадают.


На port_sec всё в норме, на одном из коммутаторо оставил ПО 4.42.B001 и port_sec. Клиенты перестали обращаться, потери не наблюдают.

На одном из коммутаторов проверяю другое ПО
DES3200R_4.39.B013.had - тоже самое
DES3200_Run_4_39_B015.had - тоже самое
DES3200_Run_4_42_B001.had - тоже самое
DES3200R_4.42.B002.had - тоже самое

Возвращаю на коммутаторе ПО DES3200R_4.38.B000.had. (Востанавливаю часть слетевших при Down Upgrade настроек - ports desc)

Ради теста включаю на ARP Inspection - disable, IP Inspection - enable - и клиенты начинают работать нормально, потерь не фиксируют, я так же вижу что всё в норме.

В ACL вижу корректные правила по каждому клиенту.

Причём самое странное с идентичным настройками большая часть коммутаторов и клиентов работает нормально, бывают проблемы у одного клиента на сотню... причём замена клиентского оборудования не влияет.

Вопрос к Производителю - насколько корректно использовать ARP Inspection - disable, IP Inspection - enable

Boot PROM Version : Build 4.00.001
Firmware Version : Build 4.38.B000
Hardware Version : C1
Serial Number : R3931C1000124

mend-ac-2-5:admin#show filter dhcp_server
Command: show filter dhcp_server

Enabled Ports: 1-48
Trap & Log State: Enabled
Illegal Server Log Suppress Duration:5 minutes

Permit DHCP Server/Client Table:
Server IP Address Client MAC Address Port
----------------- ------------------ --------------------

mend-ac-2-5:admin#show dhcp_local_relay
Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status : Enabled
DHCP/BOOTP Local Relay VID List : 3101

DHCP Relay Agent Information Option 82 Circuit ID : Default
DHCP Relay Agent Information Option 82 Remote ID : Default

mend-ac-2-5:admin#show dhcp_local_relay option_82 ports
Command: show dhcp_local_relay option_82 ports

Port Option 82
Policy
---- ---------
1 replace
2 replace
...
47 replace
48 replace
49 keep
50 keep
51 keep
52 keep


mend-ac-2-5:admin#

Total Entries: 0

mend-ac-2-5:admin#show address_binding ports
Command: show address_binding ports


ARP: ARP Inspection IP: IP Inspection ND: ND Inspection Prot: Protocol

Port ARP IP ND Prot Zero IP DHCP Packet Stop Learning
Threshold/Mode
----- -------- -------- -------- ---- --------- ----------- --------------
1 Disabled Enabled Disabled IPv4 Allow Forward 50 /Normal
2 Disabled Enabled Disabled IPv4 Allow Forward 50 /Normal
...
48 Disabled Enabled Disabled IPv4 Allow Forward 50 /Normal
49 Disabled Disabled Disabled All Not Allow Forward 500/Normal
50 Disabled Disabled Disabled All Not Allow Forward 500/Normal
51 Disabled Disabled Disabled All Not Allow Forward 500/Normal
52 Disabled Disabled Disabled All Not Allow Forward 500/Normal


mend-ac-2-5:admin#show address_binding
Command: show address_binding

Roaming state : Disabled
Trap/Log : Enabled
DHCP Snoop(IPv4) : Enabled
DHCP Snoop(IPv6) : Disabled
ND Snoop : Disabled
Function Version : 3.97


mend-ac-2-5:admin#

mend-ac-2-5:admin#show address_binding dhcp_snoop
Command: show address_binding dhcp_snoop

DHCP Snoop(IPv4) : Enabled
DHCP Snoop(IPv6) : Disabled

mend-ac-2-5:admin#
mend-ac-2-5:admin#show address_binding dhcp_snoop max_entry
Command: show address_binding dhcp_snoop max_entry

Port Max Entry Max IPv6 Entry
---- --------- --------------
1 2 No Limit
2 2 No Limit
...
48 2 No Limit
49 No Limit No Limit
50 No Limit No Limit
51 No Limit No Limit
52 No Limit No Limit

mend-ac-2-5:admin#

mend-ac-2-5:admin#show address_binding ip_mac all
Command: show address_binding ip_mac all

M(Mode) - D:DHCP, N:ND S:Static ACL - A:Active I:Inactive

IP Address MAC Address M ACL Ports
--------------------------------------- ----------------- -- --- -------------
х.х.х.х A0-F3-C1-AD-32-37 D A 16
х.х.х.х 1C-75-08-E0-BD-AF D A 28
...
х.х.х.х E8-11-32-7F-85-2D D A 32

Total Entries : 31

mend-ac-2-5:admin#show address_binding b a
Command: show address_binding blocked all

VID VLAN Name MAC Address Port
---- -------------------------------- ----------------- ----

Total Entries : 0


mend-ac-2-5:admin#

================================================================================
Profile ID: 513 Profile name: IMPB v4

MASK on
Source MAC : 00-00-00-00-00-00
Ethernet Type
Source IP : 0.0.0.0
Consumed HW Entries : 32
--------------------------------------------------------------------------------
Rule ID : 1 Ports: 48

Match on
Source MAC : 54-E6-FC-E4-E5-DB Mask : FF-FF-FF-FF-FF-FF
Ethernet Type : 0x800
Source IP : х.х.х.х Mask : 255.255.255.255

Action:
Permit

--------------------------------------------------------------------------------
Rule ID : 2 Ports: 46

Match on
Source MAC : 84-C9-B2-FE-69-47 Mask : FF-FF-FF-FF-FF-FF
Ethernet Type : 0x800
Source IP : х.х.х.х Mask : 255.255.255.255

Action:
Permit

--------------------------------------------------------------------------------

Вопрос открыт... жду комментариев производителя - почему при корректной авторизации, индикации на 3200 и в биллинге. При включенном ARP Inspect коммутатор блокирует трафик к/от клиента на некоторое время. При включенном IP Inspect без ARP Inspect проблемы с блокировкой нет.

Собрал тестовую схему изолировал в одном кольце крайний коммутатор ч-з разрыв кольца и traffic_segmentation.
Последовательность включения коммутаторов.

3200-52 С1 - уровень доступа
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.39.B013
Hardware Version : C1
Serial Number : RZBI1DB000596

DGS-3420-26SC - уровень агрегации
Boot PROM Version : Build 1.00.006
Firmware Version : Build 1.70.B009
Hardware Version : A1
Serial Number : R32I1B9000849

DGS-3420-26SC - уровень концентрации
Boot PROM Version : Build 1.00.006
Firmware Version : Build 1.70.B009
Hardware Version : A1
Serial Number : R32I1B9000871

Cisco CISCO7606-S - опорный узел

cisco ASR1004 - BRAS

Для чистоты эксперимента выключаю port_sec и addr_bind

Жду когда в addr_bind dhcp b - слетят привязки. Включаю ARP Inspect strict - IP Inspect disable. Все клиенты попадают в блок и начинают потихоньку переавторизовываться посылая запросы DHCP.


Все клиенты переавторизованы.

ishim-ac-2-1-9:admin#sh add i a
Command: show address_binding ip_mac all

M(Mode) - D:DHCP, N:ND S:Static ACL - A:Active I:Inactive

IP Address MAC Address M ACL Ports
--------------------------------------- ----------------- -- --- -------------
*.*.*.* 2C-AB-25-DA-47-02 D I 31
*.*.*.* 64-70-02-88-EF-7D D I 5
*.*.*.* EC-43-F6-DA-EC-09 D I 13
*.*.*.* 2C-AB-25-DA-44-A7 D I 29
*.*.*.* D0-DF-9A-6E-1D-1D D I 22
*.*.*.* 2C-AB-25-D9-89-3E D I 30
*.*.*.* BC-F6-85-43-45-91 D I 2
*.*.*.* 2C-AB-25-D9-68-77 D I 28
*.*.*.* F8-D1-11-8D-CE-FD D I 9
*.*.*.* 2C-AB-25-D5-95-DE D I 21
*.*.*.* 2C-AB-25-D9-D4-6F D I 3
*.*.*.* 2C-AB-25-D9-E2-FC D I 23
*.*.*.* 2C-AB-25-D9-EA-3A D I 16
*.*.*.* 2C-AB-25-D9-EA-2C D I 26
*.*.*.* 2C-AB-25-D9-F9-3A D I 14
*.*.*.* BC-F6-85-45-0A-EB D I 10
*.*.*.* 90-F6-52-AD-AC-E5 D I 27
*.*.*.* BC-F6-85-43-2B-39 D I 7
*.*.*.* 2C-AB-25-DA-3B-17 D I 25
*.*.*.* 64-70-02-89-04-D1 D I 17
*.*.*.* 64-70-02-88-F1-57 D I 18
*.*.*.* BC-F6-85-43-2C-C3 D I 32
*.*.*.* 2C-AB-25-D9-F1-21 D I 1

Total Entries : 23

ishim-ac-2-1-9:admin#
ishim-ua-2:admin#sh add b a
Command: show address_binding blocked all

VID VLAN Name MAC Address Port
---- -------------------------------- ----------------- ----

Total Entries : 0


ishim-ua-2:admin#

Смотрю на DGS таблицу FDB от коммутатора. Вижу периодическое пропадение части маков.

К примеру на DGS таблица выглядит так.

ishim-ua-2:admin#sh fdb po 2
Command: show fdb port 2

VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
1 default D8-FE-E3-6F-E4-82 2 Dynamic Forward
28 manag D8-FE-E3-6F-E4-50 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-68-77 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-D4-6F 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-E2-FC 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-EA-2C 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-F9-3A 2 Dynamic Forward
56 IP_TV 2C-AB-25-DA-3B-17 2 Dynamic Forward
56 IP_TV 2C-AB-25-DA-44-A7 2 Dynamic Forward
56 IP_TV 64-70-02-88-EF-7D 2 Dynamic Forward
56 IP_TV 64-70-02-88-F1-57 2 Dynamic Forward
56 IP_TV 64-70-02-89-04-D1 2 Dynamic Forward
56 IP_TV BC-F6-85-43-2B-39 2 Dynamic Forward
56 IP_TV BC-F6-85-43-2C-C3 2 Dynamic Forward
56 IP_TV BC-F6-85-45-0A-EB 2 Dynamic Forward
3043 3043 2C-AB-25-D5-95-DE 2 Dynamic Forward
3043 3043 2C-AB-25-D9-68-77 2 Dynamic Forward
3043 3043 2C-AB-25-D9-89-3E 2 Dynamic Forward
3043 3043 2C-AB-25-D9-D4-6F 2 Dynamic Forward
3043 3043 2C-AB-25-D9-E2-FC 2 Dynamic Forward
3043 3043 2C-AB-25-D9-EA-2C 2 Dynamic Forward
3043 3043 2C-AB-25-D9-F1-21 2 Dynamic Forward
3043 3043 2C-AB-25-D9-F9-3A 2 Dynamic Forward
3043 3043 2C-AB-25-DA-3B-17 2 Dynamic Forward
3043 3043 2C-AB-25-DA-44-A7 2 Dynamic Forward
3043 3043 2C-AB-25-DA-47-02 2 Dynamic Forward
3043 3043 64-70-02-88-EF-7D 2 Dynamic Forward
3043 3043 64-70-02-88-F1-57 2 Dynamic Forward
3043 3043 64-70-02-89-04-D1 2 Dynamic Forward
3043 3043 90-F6-52-AD-AC-E5 2 Dynamic Forward
3043 3043 BC-F6-85-43-2B-39 2 Dynamic Forward
3043 3043 BC-F6-85-43-2C-C3 2 Dynamic Forward
3043 3043 BC-F6-85-45-0A-EB 2 Dynamic Forward
3043 3043 D0-DF-9A-6E-1D-1D 2 Dynamic Forward
3043 3043 EC-43-F6-DA-EC-09 2 Dynamic Forward
3043 3043 F8-D1-11-8D-CE-FD 2 Dynamic Forward

Total Entries: 36

ishim-ua-2:admin#sh fdb po 2
Command: show fdb port 2

VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
1 default D8-FE-E3-6F-E4-82 2 Dynamic Forward
28 manag D8-FE-E3-6F-E4-50 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-68-77 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-D4-6F 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-E2-FC 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-EA-2C 2 Dynamic Forward
56 IP_TV 2C-AB-25-D9-F9-3A 2 Dynamic Forward
56 IP_TV 2C-AB-25-DA-3B-17 2 Dynamic Forward
56 IP_TV 2C-AB-25-DA-44-A7 2 Dynamic Forward
56 IP_TV 64-70-02-88-EF-7D 2 Dynamic Forward
56 IP_TV 64-70-02-88-F1-57 2 Dynamic Forward
56 IP_TV 64-70-02-89-04-D1 2 Dynamic Forward
56 IP_TV BC-F6-85-43-2B-39 2 Dynamic Forward
56 IP_TV BC-F6-85-43-2C-C3 2 Dynamic Forward
56 IP_TV BC-F6-85-45-0A-EB 2 Dynamic Forward
3043 3043 2C-AB-25-D5-95-DE 2 Dynamic Forward
3043 3043 2C-AB-25-D9-68-77 2 Dynamic Forward
3043 3043 2C-AB-25-D9-89-3E 2 Dynamic Forward
3043 3043 2C-AB-25-D9-D4-6F 2 Dynamic Forward
3043 3043 2C-AB-25-D9-E2-FC 2 Dynamic Forward
3043 3043 2C-AB-25-D9-EA-2C 2 Dynamic Forward
3043 3043 2C-AB-25-D9-EA-3A 2 Dynamic Forward
3043 3043 2C-AB-25-D9-F1-21 2 Dynamic Forward
3043 3043 2C-AB-25-D9-F9-3A 2 Dynamic Forward
3043 3043 2C-AB-25-DA-3B-17 2 Dynamic Forward
3043 3043 2C-AB-25-DA-44-A7 2 Dynamic Forward
3043 3043 2C-AB-25-DA-47-02 2 Dynamic Forward
3043 3043 64-70-02-88-EF-7D 2 Dynamic Forward
3043 3043 64-70-02-88-F1-57 2 Dynamic Forward
3043 3043 64-70-02-89-04-D1 2 Dynamic Forward
3043 3043 90-F6-52-AD-AC-E5 2 Dynamic Forward
3043 3043 BC-F6-85-43-2B-39 2 Dynamic Forward
3043 3043 BC-F6-85-43-2C-C3 2 Dynamic Forward
3043 3043 BC-F6-85-43-45-91 2 Dynamic Forward
3043 3043 BC-F6-85-45-0A-EB 2 Dynamic Forward
3043 3043 D0-DF-9A-6E-1D-1D 2 Dynamic Forward
3043 3043 EC-43-F6-DA-EC-09 2 Dynamic Forward
3043 3043 F8-D1-11-8D-CE-FD 2 Dynamic Forward

Total Entries: 38

Периодически пропадают 2 мака

3043 3043 2C-AB-25-D9-EA-3A 2 Dynamic Forward
3043 3043 BC-F6-85-43-45-91 2 Dynamic Forward

Проверяю на 3200-52

ishim-ac-2-1-9:admin#show address_binding dhcp_snoop binding_entry port 2
Command: show address_binding dhcp_snoop binding_entry port 2

S (Status) - A: Active, I: Inactive
Time - Left Time (sec)

IP Address MAC Address S LT(sec) Port
--------------------------------------- ----------------- -- ---------- -----
*.*.*.* BC-F6-85-43-45-91 A 404 2

Total Entries : 1

ishim-ac-2-1-9:admin#sh fdb po 2
Command: show fdb port 2

VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
3043 Opt82_3043 BC-F6-85-43-45-91 2 Dynamic Forward

Total Entries: 1

ishim-ac-2-1-9:admin#sh fdb po 16
Command: show fdb port 16

VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
3043 Opt82_3043 2C-AB-25-D9-EA-3A 16 Dynamic Forward

Total Entries: 1


ishim-ac-2-1-9:admin#show address_binding dhcp_snoop binding_entry port 16
Command: show address_binding dhcp_snoop binding_entry port 16

S (Status) - A: Active, I: Inactive
Time - Left Time (sec)

IP Address MAC Address S LT(sec) Port
--------------------------------------- ----------------- -- ---------- -----
*.*.*.* 2C-AB-25-D9-EA-3A A 354 16

Total Entries : 1

ishim-ac-2-1-9:admin#

В момент когда маки отсутствуют на DGS они на 3200 присутствуют.

Переключаю ARP Inspect disable- IP Inspect enable.

Продолжаю фиксировать пропадение маков периодически отсутствует мак.

3043 3043 2C-AB-25-D9-EA-3A 2 Dynamic Forward

На доступе полностью отключаю addr_bind и продолжаю фиксировать проблему маки периодически пропадают на DGS при этом присутствуют на 3200.

Проблема проявляется не на всех портах за всё время тестирования был запущен ping на клиентов с портов 5,9,17,18,22,27 и у них перерывов нет при любой настройке.

Причём при замене оборудования на проблемных портах ничего не даёт, убирали клиентский роутер с одного из портов ставили свой ноут и продолжали фиксировать проблему.

Вывод один проблема в пропадении Mac - Arp inspect просто усугубляет проблему. Жду комментариев представителей Dlink. Конфигурации могу предоставить по запросу.

7 дней тема, ни одного комментария от производителя...

У меня используется rev.C в больших объёмах.
DES-3200-26/C1 Fast Ethernet Switch 561 штук.
DES-3200-52/C1 Fast Ethernet Switch 69 штук
DES-3200-10/C1 Fast Ethernet Switch 62 штук
DES-3200-28/C1 Fast Ethernet Switch 42 штук

И все больше и больше клиентов обращаются с проблемами потери пакетов.

Для корректной работы сети мне нужен функционал ARP Inspect и IP Inspect, а он работает мягко говоря странно...

Не совсем понятно, какая связь между пропаданием MAC-адреса на агрегации и IMPB на доступе, если на доступе MAC-клиента есть в FDB. Если Вы отключаете IMPB на доступе, то проблема все равно остается на агрегации. Тут в первую очередь нужно собрать дамп трафика на аплинке DES-3200/C1 и посмотреть уходит ли он наверх при наличии проблемы.
P.S. На DGS-3420 стоит обновить ПО до актуальной версии отсюда: https://cloud.dlink.ru/owcl/index.php/s ... e/download

Наблюдается 2-е проблемы.

1. Проблема - при включении arp insp loose/strict коммутатор блочит трафик клиентов с некоторой периодичностью и от и к клиенту. В этот момент клиент фиксирует пропадение mac шлюза, я фиксирую пропадение мака клиента на агрегации, на доступе все корректно в add_bind связка ip/mac есть мак на порту тоже. При этом пропадение происходит не на всех портах и на него не влияет подключенное оборудование. Взаимосвязь 100% т.к. при отключении arp insp loose/strict с включенным ip insp ни клиент ни я не фиксируем пропадение пакетов в том объёме как было.
Пропадение пакетов это следствие включения arp insp loose/strict. Пакеты пропадают пачками, клиент фиксирует отсутствие сервиса в течении 5-10 сек.

2. Даже с выключенным полностью addr bind на портах пакеты с проблемных портов периодически пропадают, реже и не так на долго. Клиент не фиксирует проблему т.к. логика работы комутатора в пределах клиентского vlan - нет мас в таблице отправить пакет на все порты к которым добавлен vlan кроме порта источника, трафик льётся в ненужные порты но при этом по факту у клиента работает.

Сейчас мне важно решить 1-ую проблему.

Обновлять УА приведёт к другим глюками и проблемам, не думаю что на 20 УА используемых у нас данного типа, с коммутаторами разных моделей - проблема в ПО. Проблема пропадения пакетов встречается при использовании связки 3200-xx rev.C - cisco, 3627G -3200-xx и т.д.

Снять дамп на текущий момент проблематично, сотрудников в городах кроме "подключенцев" нет. Учитывая что проблема не на одном коммутаторе а на всей линейке серии воспроизвести ее на стенде вполне возможно.

Триста сотен коммутаторов 3200-XX/C1, работают в режиме ARP Inspection - strict, IP Inspection - disable, addr bind включен, никто никого не блочит без причины. Описанных ТС дропов нет.
Схема подключения такая
3200-XX/C1 <==> 3420-26SC <==> CISCO4948

Авторизация Opt.82?
firmware 4.39.B013?

Как и указывалось ранее я похоже фиксирую наложение нескольких блоков настроек...

ARP Inspection - strict, IP Inspection - disable - пробовал проблема идентична

Если MAC клиента на доступе не пропадает и связка верна, но проблема имеется и имеется при отключении IMPB, но как Вы пишете в меньшем объеме, то все же более вероятно, что с IMPB это не связано. У Вас Traffic Control с параметром unicast используется? Применяются ли ACL правила на доступе и на агрегации?
MAC--шлюза во время наличия проблемы не пропадает/перемещается в FDB на другой порт?

Доступ.
> У Вас Traffic Control с параметром unicast используется?
Нет

# STORM

config traffic control 1 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 2 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 3 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 4 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 5 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 6 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 7 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 8 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 9 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 10 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 11 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 12 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 13 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 14 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 15 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 16 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 17 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 18 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 19 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 20 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 21 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 22 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 23 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 24 broadcast enable multicast disable unicast disable action drop threshold 128 countdown 0 time_interval 5
config traffic control 25 broadcast disable multicast disable unicast disable action drop threshold 64 countdown 0 time_interval 5
config traffic control 26 broadcast disable multicast disable unicast disable action drop threshold 64 countdown 0 time_interval 5
config traffic control auto_recover_time 0
config traffic trap none
config traffic control log state enable

Созданы шаблоны для клиентов со статикой, и фильтр для мультикаста на CPU.

# ACL

create access_profile profile_id 1 profile_name 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type
create access_profile profile_id 2 profile_name 7 ip source_ip_mask 0.0.0.0
create access_profile profile_id 3 profile_name 9 ethernet source_mac 00-00-00-00-00-00

#CPU Interface Filter

create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.255.252
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 permit
create cpu access_profile profile_id 2 ip destination_ip_mask 255.255.255.0
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 238.1.1.0 port 1-24 permit
create cpu access_profile profile_id 3 ip destination_ip_mask 240.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny
enable cpu_interface_filtering

-------
УА

# STORM

config traffic control 1 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 2 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 3 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 4 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 5 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 6 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 7 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 8 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 9 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 10 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 11 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 12 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 13 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 14 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 15 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 16 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 17 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 18 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 19 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 20 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 21 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 22 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 23 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 24 broadcast enable multicast disable unicast disable action shutdown broadcast_threshold 2048 multicast_threshold 2048 unicast_threshold 2048 countdown disable time_interval 5
config traffic control 25 broadcast disable multicast disable unicast disable action drop broadcast_threshold 131072 multicast_threshold 131072 unicast_threshold 131072 countdown disable time_interval 5
config traffic control 26 broadcast disable multicast disable unicast disable action drop broadcast_threshold 131072 multicast_threshold 131072 unicast_threshold 131072 countdown disable time_interval 5
config traffic control auto_recover_time 15
config traffic trap none
config traffic control log state enable

# ACL


#CPU Interface Filter

disable cpu_interface_filtering


> MAC--шлюза во время наличия проблемы не пропадает/перемещается в FDB на другой порт?

Нет, проверяли на нескольких коммутаторах в момент проблемы, мак шлюза никуда не перемещается. Так же у части клиентов на коммутаторе проблемы просто НЕТ. Если бы мак шлюза пропадал то проблема была бы у всех.

В логах есть cрабатывания Traffic Control?

Да.
Нет. 4.36.B009 Ставить что-то новое смысла нет, весь интересующий нас функционал:
авторизация опт.82, dhcp relay, snmp, syslog, igmp auth, mvr aka ism, acl работают как часы.

Нет.

Мы раньше работали на DES3200R_4.36.B011.had без addr_bind - использовали port_sec.

Использование IAD заставило снять traf_segment на УА, в связи с тем что голос идёт в пределах одного влан и адресации напрямую с IAD на IAD.

Это вызвало проблемы в кучей пересечений на 3028/52 в том числе.

Начались проблемы с пропадением маков они вызывали проблемы с ISM и т.д

Участились случаи подмены ip/mac шлюза из за глюков роутеров и по незнаниюу клиентов.

Включение addr_bind на ver.4.36.b011 не давало стабильной работы, клиенты банились и не могли авторизоваться.

Сначала использовали arp strict. Потом loose. Потом тестова поставили 4.39.B013 и клиенты нормально начали авторизоваться и не банились...

Кто знал что траф их будет пропадать.....

Мы логично пришли к тому к чему пришли и по старому нельзя и по новому работает криво... сейчас повсеместно rev.C обновляется до DES3200R_4.39.B013.had
перенастраивается и addr_bind включается в режиме arp insp dis, ip insp en.

На всех 700 узлах где было настроено arp insp loose - arp insp выключен.

p.s. Так же был жёсткий баг с перезагрузкой 3200-52 при использовании наших настроек и вводе команды sh util port.

viewtopic.php?f=2&t=170542