в логе:

20 2009/04/28 12:53:13 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.82, MAC: 00-e0-4c-48-0f-8d, port: 2)
19 2009/04/28 12:52:48 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.205, MAC: 00-50-bf-32-9a-a6, port: 2)
18 2009/04/28 12:52:47 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.63, MAC: 00-13-46-dc-d1-24, port: 2)
17 2009/04/28 12:52:46 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.200, MAC: 00-11-2f-dd-de-51, port: 2)
16 2009/04/28 12:52:43 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.63, MAC: 00-13-46-dc-d1-24, port: 2)

в конфиге:

config address_binding ip_mac ports 2 state enable
config address_binding ip_mac ports 1,3-5,7-22 forward_dhcppkt disable
enable address_binding acl_mode
enable address_binding trap_log
disable address_binding dhcp_snoop
create address_binding ip_mac ipaddress 192.168.1.63 mac_address 00-13-46-DC-D1-24 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.82 mac_address 00-E0-4C-48-0F-8D ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.200 mac_address 00-11-2F-DD-DE-51 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.205 mac_address 00-50-BF-32-9A-A6 ports 1-28 mode acl

fw: 4.50.B17

блокирует не всех, но многих. В ARP режиме работает нормально.

Данные действия направлены на поиск решения от блокировок MAC-адреса за broadcast рассылку и блоку по х.х.х.255

куда копать?

Попробуйте пожалуйста прошивку которую я Вам выслал.

в логе:

368 2009/04/29 18:32:49 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.157, MAC: 00-11-5b-69-51-9b, port: 5)
367 2009/04/29 18:32:35 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.76, MAC: 00-13-d4-ee-cb-cf, port: 5)
366 2009/04/29 18:32:34 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.25, MAC: 00-1d-7d-ca-2a-b9, port: 2)
365 2009/04/29 18:32:29 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.96, MAC: 00-e0-43-05-04-d4, port: 5)
364 2009/04/29 18:32:22 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.6, MAC: 00-1d-72-14-80-68, port: 10)
363 2009/04/29 18:32:22 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.92, MAC: 00-1a-92-d6-a0-e5, port: 10)
362 2009/04/29 18:32:19 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.221, MAC: 00-04-61-9f-b0-fc, port: 5)
361 2009/04/29 18:32:17 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.167, MAC: 00-19-5b-32-bd-fb, port: 2)
360 2009/04/29 18:32:16 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.186, MAC: 00-e0-4c-7e-e2-9a, port: 5)
359 2009/04/29 18:32:14 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.116, MAC: 00-15-58-95-a0-3c, port: 10)
358 2009/04/29 18:32:12 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.99, MAC: 00-e0-4c-d0-cc-02, port: 10)

на свиче:

create address_binding ip_mac ipaddress 192.168.1.6 mac_address 00-1D-72-14-80-68 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.25 mac_address 00-1D-7D-CA-2A-B9 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.76 mac_address 00-13-D4-EE-CB-CF ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.92 mac_address 00-1A-92-D6-A0-E5 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.96 mac_address 00-E0-43-05-04-D4 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.99 mac_address 00-E0-4C-D0-CC-02 ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.116 mac_address 00-15-58-95-A0-3C ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.157 mac_address 00-11-5B-69-51-9B ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.167 mac_address 00-19-5B-32-BD-FB ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.186 mac_address 00-E0-4C-7E-E2-9A ports 1-28 mode acl
create address_binding ip_mac ipaddress 192.168.1.221 mac_address 00-04-61-9F-B0-FC ports 1-28 mode acl

короче всё тоже самое, блокирует многих, но не всех



Далее, интереснее, хочу перейти на ARP режим, всё выключаю, чищю базу:

# IPBIND
disable address_binding acl_mode
enable address_binding trap_log
disable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1 limit 5
config address_binding dhcp_snoop max_entry ports 2 limit 5
config address_binding dhcp_snoop max_entry ports 3 limit 5
config address_binding dhcp_snoop max_entry ports 4 limit 5
config address_binding dhcp_snoop max_entry ports 5 limit 5
config address_binding dhcp_snoop max_entry ports 6 limit 5
config address_binding dhcp_snoop max_entry ports 7 limit 5
config address_binding dhcp_snoop max_entry ports 8 limit 5
config address_binding dhcp_snoop max_entry ports 9 limit 5
config address_binding dhcp_snoop max_entry ports 10 limit 5
config address_binding dhcp_snoop max_entry ports 11 limit 5
config address_binding dhcp_snoop max_entry ports 12 limit 5
config address_binding dhcp_snoop max_entry ports 13 limit 5
config address_binding dhcp_snoop max_entry ports 14 limit 5
config address_binding dhcp_snoop max_entry ports 15 limit 5
config address_binding dhcp_snoop max_entry ports 16 limit 5
config address_binding dhcp_snoop max_entry ports 17 limit 5
config address_binding dhcp_snoop max_entry ports 18 limit 5
config address_binding dhcp_snoop max_entry ports 19 limit 5
config address_binding dhcp_snoop max_entry ports 20 limit 5
config address_binding dhcp_snoop max_entry ports 21 limit 5
config address_binding dhcp_snoop max_entry ports 22 limit 5
config address_binding dhcp_snoop max_entry ports 23 limit 5
config address_binding dhcp_snoop max_entry ports 24 limit 5
config address_binding dhcp_snoop max_entry ports 25 limit 5
config address_binding dhcp_snoop max_entry ports 26 limit 5
config address_binding dhcp_snoop max_entry ports 27 limit 5
config address_binding dhcp_snoop max_entry ports 28 limit 5



данный мак в таблице биндинга был оО

откат на b17 ?

заметил ещё такую штуку: при оптовом добавлении связок в режиме ACL нагрузка на свич доводит его до вклбючения SGE, а при добавлении в ARP режиме - ему ваще пофигу, работает нормально.

ну и на последок:
Configuration and log saved to flash (Username: Anonymous, IP: 192.168.28.10, MAC: 00-01-42-30-02-b5)
не определяется логин

У меня другое:

Это через телнет. Anonymous пишется только в том случае если аккаунты на коммутаторе не созданы.

С юлокировкой я тоже подтвердить не могу. Если у Вас какие-то наблюдения, может у заблокированных ОС одна и та же, или может троян какой сидит? Может эти клиенты роутеры используют?

в ARP режиме всё ровно, роутеров не может быть у 50% клиентов

вы проверяли на рабочих машинах? их сколько было? у меня 260
на сколько забивали таблицу биндинга?

я не могу понять самой причины, т.к. сами видите сопоставление таблицы IBM и блокировок.

Даже если учесть, что у клиентов трояны, то почему блоки идут ровно по таблице ?

Я отпишу о проблеме в штаб-квартиру. Пожалуйста пришлите мне на почту топологию и конфиг коммутатора.

отправил

Коммутатор поддерживает только 800 правил ACL, из них некоторую часть вы забили сами, и некоторая часть осталась под address_binding. При добавлении связки IP-MAC в коммутаторе создаётся по одному правилу на порт, т.е. в Вашем конфиге чтобы address_biding работал нормально ему требуется 7308 правил (у Вас каждая связка на все 28 портов назначена)
Конечно, все эти правила не умещаются и неуместившиеся клиенты попадают в список заблокированных.

спасибо большое за информацию

Теперь новая проблемка:
делаю:
snmpset(ip, '40ade59642_08dc030ebe', '1.3.6.1.4.1.171.12.23.1.1', 'i', 3);

ответ bool(false)



хотя через snmpwalk получаю:
snmpwalk(ip, '40ade59642_08dc030ebe', '1.3.6.1.4.1.171.12.23.1.1');

array(1) { [0]=> string(1) "3" }

можете проверить?

4.50.B17
4.50.B18

тоже самое и на swIpMacBindingACLMode

ап что-ли...

Попробуйте OID 1.3.6.1.4.1.171.12.23.1.1.0
т.е. просто 0 в конец допишите

заработало, спасибо