Для 3526 нужно написать ACL

Задача - заблокировать ip broadcast кроме dhcp(по нему получают адрес абоненты)

В packet content не разобрался, помогите строчками.

Все это надо чтобы избежать таких вот строчек в логе:
WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 10.20.15.255, MAC: 00-50-8D-C2-AE-03, port: 24)

В поиск! Обсуждалось. Вот, например, тут.

_________________
LiveComm

первым профилем разрешить DHCP запросы (по порту наверное)
вторым разрешить arp eth_type 0x806
третьим запретить все на dst_mac ff-ff-ff-ff-ff-ff mask ff-ff-ff-ff-ff-ff

если используете relay то возможно разрешать его не потребуется, т.к. он возможно отрабатывается раньше ACL.

на 3526 relay _до_ ACL

_________________
с уважением, БП

Итого свич 3526, прошивка 5.01 B21
DHCP сейчас не интересует, адреса статические

на 12 порту стоит привязка в режиме ARP
10.20.5.218
00:16:D4:C7:18:68
порт 12

создан вот такой ACL:

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 115
config access_profile profile_id 115 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-26 deny

То есть по идее все броадкасты закрыты на свиче
остальные аcl рубят 135-139, 67, 445 порты и т.п.

Итого:
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 10.20.5.255, MAC: 00-16-D4-C7-18-68, port: 12)

Эти строчки получаю

Может быть IPMB срабатывают раньше ACL?
Могу выслать весь конфиг устройства

а этот - 10.20.5.255 адрес является броадкастовым для клиентского компьютера?

если вы зафигачили вышеописанную ACL и от клиента всё-равно летят брудкасты - 2 варианта:

1) у клиента ОЧЕНЬ много вирусни, его проблемы, что его отшибает
2) IMB поставьте в режим Loose

Да конечно.
Очень хочется услышать комментарии специалистов длинк.
привязка стоит в режиме strict
От клиентов по разной причине могут лететь броадкасты и к сожалению не всегда из за вирусни. Например такое может делать 7 касперский.
Цель - избавится от блокировок клиента по этой причине.
Многие абоненты просто считают что интернет у нас плохо работает.

а вы можете заснифить пакеты которые вызывают проблемы?
сдается мне это не броадкаст, т.к. броадкастом это было бы если бы адрес 10.20.5.255 стоял как dst_ip , а т.к. его блочит биндинг то этот адрес стоит почему то в src_ip что на самом деле уже странно очень.

IPMB по идее броадкастам не мешает, если у них адрес отправителя верный.
попробуйте еще acl такой:


вдруг сработает.
хотя на самом деле неправильно что какое-то ПО у абонента может менять в пакетах src_ip.

Заснифать не могу
так как неясно что снифать и что за софт делающий такое

Тем не менее регулярно появляются подобные сообщения.

А еще вопрос. почему привязку в loose ставить?

Loose - первый пакет проскакивает, остальные - фильтруются. Помогает достаточно хорошо в таких случаях

Так стоп. Обьясните логику. Про разничу strict и loose знаю
неясно какая связь в данном случае
Зачем надо чтобы первый пакет проскочил?

ну потому что скорее всего он и будет один.

пробовали последний профиль?

нет пока не пробовал.

Попробую сегодня- завтра.
переписываю профили на куче свичей, это небыстро

Еще вопросик. Данный пакет заблокировался по привязке. Допустим он один.
Что далее происходит? Если далее все пакеты идут валидные то блок снимается?

Проверил
встречается и с режимом strict и с режимом loose