Замучился я уже!
в сетке есть много 3526-х (около сотни) и 3010-й (около 40).
последнее время стала повторяться ситуация:
на порту 3010-го висит один клиент с одним MAC-адресом.
и не может работать
а при просмотре через sh fdb por такой-то вижу иногда даже с десяток адресов. эти адреса реально есть, но находятся на абсолютно других железяках. вот если на той железяке, где реально находится такой адрес, сделать ip-mac-binding для него, тогда этот адрес пропадает из списка "левых". но когда этот список постоянно меняется и железа много, очень тяжко отслеживать это все....
причем один и тот же "левый" мак- может быть одновременно в нескольких виланах.
что-то типа такого
DES-3526:4#sh fdb mac 00-12-C0-2D-67-9C
Command: show fdb mac_address 00-12-C0-2D-67-9C

VID VLAN Name MAC Address Port Type
---- ---------------- ----------------- ------ ----------------
13 VLAN13 00-12-C0-2D-67-9C 25 Dynamic
142 VLAN142 00-12-C0-2D-67-9C 25 Dynamic
1367 VLAN1367 00-12-C0-2D-67-9C 26 Dynamic
1590 VLAN1590 00-12-C0-2D-67-9C 26 Dynamic

В сетке запущен MSTP. если что, все эти виланы, к примеру, находятся в разных инстансах. я не знаю, может это вообще не из той оперы - про спан-три, но своих идей уже нету.
ПРОШУ ХЕЛПА - че делать-то......

Вы не могли бы перезвонить в офис по телефону 744-00-99 доб.390 или указать Ваш телефон?

Блин....
Забегался и забыл по результатам отписаться.
Значит так:
проблему с кучей MAC-адресов с одного порта создает скорее всего какой-то (какие-то) вирусяка. Довольно гиморно выявлять таких клиентов, но приходится.
Причем интересно, что большинство таких жертв вирусов являются иностранцами - то ли привычка не предохранятся, то ли "особенности локализаций" - не знаю.
В этом случае новая прошивка, естессно, не спасает. Кроме, пожалуй, случаев, когда у таких вот "больных" клиентов есть фиксированный адрес. В этом случае IP-MAC-Binding рулит.
А так помогает только выключение порта до вылечивание компов от заразы.

У нас в общежитиях, где иностранные студенты, тоже частенько наблюдалась картина с кучей маков на порту.

Интересно то, что после повсеместного введения IpMacBindingPort больше такого не наблюдается, что косвенно говорит о том, что народ знал, что делает, т.е. подбирал MAC, который можно использовать.

А можно зделать просто привязку по маку.. без айпишника ? или нужно обязательно айпишник указывать ?

В этом случае надо использовать функцию Port Security совместно со Static MAC Table.

Подобное было замечено на 30xx свичах - при включении в порт "подгоревшего" железа, например дешевых 5-8 портовых устройств.
PortSecurity в этом случае не помогает.

2 Demin Ivan


> В этом случае надо использовать функцию Port Security совместно со Static MAC Table.

как конкретно будет выглядеть строка, которая привяжет просто МАС-адрес 00-11-22-33-44-55 к порту 6?
create address_binding ip_mac ......

там требуется IP-адрес - какой надо вводить?

DES-3526:4#cre add ip ip 0.0.0.0 ma 00-11-22-33-44-55 mo ar por 6
Command: create address_binding ip_mac ipaddress 0.0.0.0 mac_address 00-11-22-33-44-55 mode arp ports 6

Invalid host address assigned!

Fail!

DES-3526:4#

Например Вам нужно на порту 8 сделать привязку только для МАС-а 00-15-E9-AF-FA-4D для этого делаем следующее:

1. Мы создаём статическую привязку МАС-а к порту в FDB Таблице:
create fdb default 00-15-E9-AF-FA-4D port 8

2. Далее, отключаем на порту 8 автоизучение MAC-ов и используем режим Permanent:
config port_security ports 8 admin_state enable max_learning_addr 0 lock_address_mode Permanent

_________________
С уважением,
Бигаров Руслан.

Спасибо!
Единственное что, в строке
create fdb default 00-15-E9-AF-FA-4D port 8
"default" - имя вилана.
Это, скорее, я для себя пишу пояснение.
Может еще кому пригодится