Есть странная проблема.

Иногда у абонентов отваливается сеть. (жалоба звучит как "ничего не работает)"

При этом на коммутаторе вижу (например).


Хотя судя по тому что у абонента говорит ОС lease-time еще не истекло.


Попытка переполучить IP нормализует ситуацию.


Не могли бы сотрудники Длинка прояснить, в каком случае происходит смена статус с Dynamic-->BlockByAddrBind.

Например, если абонент отправил запрос на переполучение адреса, но DHCP-сервер не ответил?

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

и еще - очень хотелось бы видеть время до котрого живет привязка в выводе комманды например так ....

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

Нормально снупинг работатет только в DES-3028
На DES-3526 у меня он тоже постоянно блокирует клиентов, так на 3526 пришлось глобально на всех коммутаторах отключить.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

у 3028 другие проблемы (см. соседнюю тему про маки)

Но, если честно, меня совершенно не устраивает ответ "фича заявлена, но не работает и не будет".
В конце концов за железо денех заплачено =(

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

нормально работает при ISM VLAN на 3526

_________________
Не важно откуда растут золотые руки ...
Жена: http://6e6e6e.com Сын http://sashablog.ru

какой отношение имеет DHCP-snooping к ISM ?

И вообще, жду комментариев от сотрудников Длинка ...)

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

Мы работаем над доработкой этой функции в DES-35XX. Уже совсем скоро будут результаты. Укажите в личку Ваш телефон пожалуйста.

Всем интересны результаты
Сколько уже ждем нормальной работы этой функции...

Здравствуйте, Иван. Я тоже столкнулся с некорректной работой dhcp-snooping'a:

Firmware: Build 6.00.B11, Build 5.01.B52

1) MacOS X- при подключении пытается запросить старые настройки при помощи DHCPREQUEST'a, шлет броадкастом с source ip = 0.0.0.0, в результает чего, свитч такие пакеты не пропускает- миррорили порт mac'а и аплинк- с аплинка ничего не выходит. В тоже время windows- все серии делают request со старым source ip и юникастом- и все работает нормально. Необходимо реализовать пропуск либо реквестов с 0.0.0.0 ip либо бродкастовых реквестов (я уж не разбирался, что именно из этого не работает)

2) Если получить те же настройки, что и в прошлый раз, но с лизтаймом меньшим, чем было до этого (например было 320000 секунд, в новых настройках уже 200 секунд), то свитч не уменьшает лизтайм бинда- остается старый с временем 320000 с.

3) Свитч пропускает ARP-пакеты, даже если хоста нет в биндах dhcp-snooping'a, что потенциально позволяет реализовать arp-spoofing атаку.

Иван, еще раз спасибо за звонок.

Предположительно проблема с клиентами которые блокируются "по неактивности".

В случае с dhcp-snooping существует "грязный хак" - ставить время lease очень маленьким.
Я поставил 5 минут и жалобы практически прекратились.
Естетсвенно, нужно иметь 2 DHCP сервера, из которых только один может быть авторитативным.

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

allow_zeroip нужно включать на порту в IMPB



DHCP Snooping используется вместе с DHCP Relay или без?



Есть strict режим и stop_learning_threshlod для решения данной проблемы.

_________________
С уважением,
Бигаров Руслан.

в том-то и дело, что включен.



Если имеется ввиду, функция релея на свитче, то без.



strict и так включен. Со stop_learning_threshlod не экспериментировал. Опишите команду, пожалуйста- в мануале про нее ничего нет.

Доработки функции IMPB ведутся, но нужно уточнить по данной проблеме.



Конфигурация ограничения колличества заносимых записей в FDB, при использовании IMPB
При использовании IMPB коммутатор блокирует записи не подходящие под сконфигурированую связку
но побочным эффектом становиться занесение в FDB таблицу всех обработанных пакетов.
Для предотвращения переполнения FDB при использовании IMPB, был введён новый параметр threshold
который наблюдает за колличеством заблокированных записей и при привышении этого параметра,
вводит порт в disable learning с соотвествующем оповещением созданием записи в лог.

Конфигурация:

Включаем ACL режим:
enable address_binding acl_mode

Создаём валидную связку на порту 1:
crea address_binding ip_mac ipaddress 192.168.5.99 mac_address 00:0D:88:B5:93:11 ports 1 mode acl

Настраиваем IMPB на порту 1:
config address_binding ip_mac ports 1 state enable strict stop_learning_threshlod 10

Смотрим связку:
show address_binding ip_mac
Command: show address_binding ip_mac

IP Address MAC Address Ports Mode
--------------- ----------------- ------------------------------ ----
192.168.5.99 00-0D-88-B5-93-11 1 ACL

Запускаем атаку и смотрим на таблицы:

DES-3526:admin#show address_binding blocked
Command: show address_binding blocked

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------

Total entries : 0

DES-3526:admin#show fdb
Command: show fdb

Unicast MAC Address Ageing Time = 300
VID VLAN Name MAC Address Port Type
---- ---------------- ----------------- ------ ----------------
1 default 00-11-95-81-D9-C4 CPU Self

Total Entries : 1

Смотрим логи:
6 00000 days 00:00:53 Port 1 enters stop IMPB learning state
Сообщение о том, что порт полностью заблокирован.

Разблокируем порт 1:
DES-3526:admin#config address_binding recover_learning ports 1

Смотрим лог:
7 00000 days 00:03:23 Port 1 recovers from IMPB stop learning state

Использование функции позволит избежать от атак со стороны пользователей и подвергать
нарушителя административному взысканию, потому как порт придётся поднимать вручную.

_________________
С уважением,
Бигаров Руслан.

могу скинуть дамп, если нужно.

за stop_learning_threshlod спасибо. я смутно догадывался из названия- теперь есть официальный мануал. )

Для анализа и доведения до ума IPMB пригодится и буду примного благодарен.



Я почти всегда, когда высылаю новую прошивку прикрепляю этот файл.

_________________
С уважением,
Бигаров Руслан.