Ситуация: есть циска в роли шлюза для нескольких сетей. Каждая сеть загнана в свой влан и имеет свой адрес шлюза. С этой циски идет транк на DES-3828, в котором идут те же самые вланы. Таким образом, получается следующая картина: на порт 3828 приходит трафик с разных ипов, но с одним и тем же маком (мак циски). Результат - в логи 3828 сыпется Possible Spoofing Attack.

Внимание, вопрос: почему 3828 игнорирует вланы и паникует по поводу спуфинга, которого нет? Или я ошибаюсь, и проблема все-таки локализуется в другом месте? Петель там точно нет и быть не может, реальный спуфинг исключен.

Прошивка на 3828:
boot 0.00.008
firmware 3.00.B57
hardware 1A1

Конфиг циски и VLAN,ipif на 3828 приведите, и что к какому порту подключается?

Похоже на петлю

на 3828 заведено около 1000 вланов, разве это так существенно?
интерфейсов там три: один для управления, один для мультикаста - они в этом безумии не участвуют; третий для локальных сеток.

для начала хочется прояснить, может ли наличие пакетов с разным адресом источника, но с одинаковым мак-адресом быть причиной появления вредных сообщений, если пакеты эти идут разными вланами и в пределах одного влана связка ип-мак уникальна?

все вланы, участвующие в проблеме, заведены на 26ой порт 3828 как тэгированые.

Possible Spoofing Attack сыпется с MAC адресом или IP адресом?

Исключен чем?

с mac-адресом оно сыпется.

реальный спуфинг невероятен из-за того, что между циской и абонентами еще куча свичей. так что любая подмена адресов вылезет гораздо раньше, не доходя до центрального маршрутера.
единственный маршрут в проблемном участке сети до 3828 лежит через циску, так что любой спуфинг (хоть маков, хоть ипов), прежде всего должен сказаться именно на циске, а никак не на 3828. раз циска чувствует себя нормально и в логах у нее ничего нет, остается грешить на тандем циско - дес-3828 и кучу вланов с одинаковым маком источника и разными ипами.

если догадка по поводу вланов неверная, опровергните ее кто-нить, ибо пока что это единственное объяснение происходящему. на мой взгляд, вполне логичное

Попробуйте пожалуйста прошивку которую я вам выслал. А у вас точно нет петли между портами?

петли нет точно, циска и этот свич в двух шагах друг от друга стоят.

прошивку заливать на боевое устройство - может полгорода от сети отпасть в случае чего. попробуем воссоздать ситуацию на тестовом стенде, видимо.

я так до сих пор и не понял, при детекте спуфинга устройство смотрит на влан пакета или таки нет? если нет, то проблема 100% в этом, если смотрит, то на этом мысль обрывается. можете прояснить туман в этом вопросе?

На кошке arp proxy поднят?
Если да, попробуй опустить.

не, arp proxy не поднят..

Если есть возможноть установить 3526 рядом с 3828 поставьте, и попробуйте включить LBD как VLAN Based, сразу найдёте в чём проблема