1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 21:37

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 17 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
dimaaan
 Заголовок сообщения: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Пт авг 16, 2013 12:06 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
Здравствуйте, помогите решить проблемку. При включении режима strict в настройках IMP Binding начинаются произвольные потери пакетов у абонентов. Временно возможно решить проблему с переходом impb в режим loose (в этом режиме потеря пакетов не наблюдается), но в этом режиме если абонент подкидывает мак шлюза, то шлюз блокируется на всех портах, а не на 1-м порту.
Версия прошивки 1.83.B005.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Пн авг 19, 2013 08:15 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Запретите изучение mac адреса шлюза на абонентских портах
Вернуться наверх
 Профиль  
 
dmvy2
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Пн авг 19, 2013 08:47 
Не в сети

Зарегистрирован: Чт июн 04, 2009 07:38
Сообщений: 201
Artem Kolpakov писал(а):
Запретите изучение mac адреса шлюза на абонентских портах

подскажите, как красиво это сделать?
Вернуться наверх
 Профиль  
 
dimaaan
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Пн авг 19, 2013 12:03 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
dmvy2 писал(а):
Artem Kolpakov писал(а):
Запретите изучение mac адреса шлюза на абонентских портах

подскажите, как красиво это сделать?


Тоже интересует этот вопрос.
Вернуться наверх
 Профиль  
 
lumen
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Пн авг 19, 2013 15:05 
Не в сети

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск
Сделать на абонентский портах запрещающий ethernet acl с src mac шлюза.
Вернуться наверх
 Профиль  
 
dimaaan
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Пн авг 19, 2013 15:21 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
lumen писал(а):
Сделать на абонентский портах запрещающий ethernet acl с src mac шлюза.


Не помогает, как только подкидывают мак шлюза свитч висит, в таблице MAC Block List мак шлюза присутствует.
Все это происходит в режиме loose. В режиме strict свитч блокирует только порт, но потеря пакетов в этом режиме слишком большая.

стоят такие правила
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet source_mac 11-22-33-44-55-66 port 1-24,28 deny
Вернуться наверх
 Профиль  
 
lumen
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Вт авг 20, 2013 07:15 
Не в сети

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск
Покажите все ваши acl, этот acl лучше бы сделать первым, а то очередь до него может и не дойти.
Вернуться наверх
 Профиль  
 
dimaaan
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Вт авг 20, 2013 11:07 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
Вот все мои acl
Скрытый текст: показать
create access_profile ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp dst_port 1234 port 1-28 permit priority 7
config access_profile profile_id 2 add access_id 2 ip udp src_port 1234 port 1-28 permit priority 7
config access_profile profile_id 5 add access_id 1 ip source_ip 172.16.0.2 destination_ip 0.0.0.0 port 1-28 permit priority 7
create access_profile ip source_ip 0.0.0.0 destination_ip 255.255.255.255 profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 0.0.0.0 destination_ip 172.16.0.2 port 1-28 permit priority 7
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet source_mac 11-22-33-44-55-66 port 1-24,26-28 deny
config access_profile profile_id 7 add access_id 2 ethernet source_mac 66-55-44-33-22-11 port 1-24,28 deny
create access_profile ip udp src_port_mask 0xFFFF profile_id 100
config access_profile profile_id 100 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 100 add access_id 2 ip udp src_port 67 port 1-24,28 deny
Вернуться наверх
 Профиль  
 
lumen
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Вт авг 20, 2013 12:19 
Не в сети

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск
Запрещающие acl лучше ставить вначале, так как правила работают до первого совпадения, дальше по списку не идут.
Вернуться наверх
 Профиль  
 
vcvitaly
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Ср авг 21, 2013 13:51 
Не в сети

Зарегистрирован: Чт окт 29, 2009 19:13
Сообщений: 91
Откуда: Донецк
Подскажите, пожалуйста, acl срабатывают раньше address binding'a? Я пробовал на 3028, кажется, и там у меня получалось, что impb срабатывает раньше и нелегитимный трафик все равно блокируется (mac в fdb), несмотря на наличие acl.
Вернуться наверх
 Профиль  
 
dimaaan
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Ср авг 21, 2013 15:55 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
vcvitaly писал(а):
Подскажите, пожалуйста, acl срабатывают раньше address binding'a? Я пробовал на 3028, кажется, и там у меня получалось, что impb срабатывает раньше и нелегитимный трафик все равно блокируется (mac в fdb), несмотря на наличие acl.


нет, acl срабатывает позже, из-за чего проблема остается не решенной...
Вернуться наверх
 Профиль  
 
dimaaan
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Ср авг 21, 2013 15:55 
Не в сети

Зарегистрирован: Пт авг 16, 2013 11:56
Сообщений: 10
Artem Kolpakov писал(а):
Запретите изучение mac адреса шлюза на абонентских портах


как это сделать?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Чт авг 22, 2013 08:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Тут два варианта.
1. Использовать режим strict - тогда при блокировке mac адрес не попадает в fdb. В вашем случае с этим режимом есть проблемы, и я настоятельно рекомендую более детально проанализировать ситуацию и выяснить причины потери трафика - проблему надо решать, а не уходить от нее. Тем более, что в вашем случае, фактически, это единственный выход.
2. Использовать acl - однако impb имеет более высокий приоритет чем acl, и в данном случае также неприменим.

На DES-3200 C1 реализован функционал mac protection - его назначение блокировать изучение в fdb диапазонов mac адресов шлюзов и брасов на access портах. Работает при включении port security на конкретном порту. Однако, для DES-3200 A1/B1 в планах этот функционал не стоит.
Вернуться наверх
 Профиль  
 
lumen
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Чт авг 22, 2013 13:29 
Не в сети

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск
А если mac шлюза статически прописать на uplink портах, это не поможет решить данную ситуацию?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28F A1 и ip mac port binding
СообщениеДобавлено: Чт авг 22, 2013 14:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Не поможет - при блокировке запись в fdb будет обновлена
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 17 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 138

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB