Что-то я не понимаю... Имеем VLAN:

802.1Q Static VLAN Settings
-------------------------------------------------------------------------------
VID: [211 ] VLAN Name:[~v211 ] Entries: 25
1 8 9 16 17 24
Egress/Forbidden:[FFFFFFFF][FFEFFFFF][FFFFFFFE]
Tag/Untag :[TTTTTTTT][TTUTTTTT][TTTTTTTT]
State :<Active > APPLY

(не знаю, как фиксированный шрифт тут задать... )

К порту 11 подключен "клиент", к порту 24 - роутер. Трафик ходит. Все правильно. Если начать перетыкать клиента из порта в порт - трафик ходить перестает. Тоже правильно. Возврачаем клиента в порт 11, роутер перетыкаем в порт... Ну, 22. Трафик ходит !! С чего бы !? И как сделать, чтобы не ходил ?

А... Я понял... Электроны - шутка тяжелая. Прущий трафик сминает все фильтры на своем пути... Потому, пока трафик не кончится, он прет по инерции в соседний порт...

Нет, ну а как иначе обяснить, что минуты через две-три это безобразие прекращается и трафик между 11-ым и 22-ым портами ходить перестает, как и положено ? И дальше роутер доже можно по любым портам переставлять, пока в 24-ый не воткнешь... Но как только в 24-ый воткнешь, электроны как ломанутся... И снова можно в любой порт роутер перетыкать - будет работать.

Device Type : D-Link DES-3226 Ethernet Switch
Boot PROM Version : 1.00.003
Firmware Version : 6.00.127
Base Module Version: 2B1

При чем тут игра с MAC, если порт _вообще_ Forbidden для VLAN ? Где тут логика ? Хотя попробую.

Кстати, что вообще означает Forbidden?
Я всегда использую Not member, и проблем не замечал.
Правда, на других свичах - 3226s.

forbidden: запретный; запрещенный
Состояний у порта три: E/F/-.
E - Egress
F - Forbidden
- - как раз Not Member
На самом деле, я проверил оба варианта, и "-", и "F". Результата это не меняет. Кстати, сразу после перезагрузки свича правила тоже не работают. Делай что хочешь, если за эти минуты успеешь. А уж если дырка обнаружится, которая позволит свич удаленно рестартовать... Или, хотябы, завешивать...

Ingress Checking на портах включён?

Касательно отличий Forbidden от Not member - их нет, пока не задействован GVRP. В случае GVRP Forbidden запрещает порту быть мембером влан априори, а Not member оставляет ему шанс вступить в влан динамически через GVRP протокол.

Оно. Спасибо. После включения поведение становится правильным. Только, все равно, непонятно, с чего исходящий трафик попадает в порт, который не является членом VLAN... Хотя, конечно, я могу предположить, как это происходит. К примеру, возможно, что вся работа VLAN строится по MAC-адресам, а таблица соответствия MAC и разрешенных/запрещенных портов строится переодически.

В общем, я бы Ingress Checking порекомендовал по-умолчанию включенным сделать, а то однажды кто-нибудь поседеет, увидев, что у него кто хочет от кого хочет (почти) трафик получает. Это же додуматься надо, что явление временное и минут через пять все устаканится... Я вот случайно нарвался, окошко с пингом не закрыв сразу.

Кстати, для
Vladislav Karagezov:
MAC address aging time на это влияния не оказывает. Ставил 10 сек, спустя 30 трафик еще ходил.

проверьте правильность настроек VLAN на вашем коммутаторе. При правильных настройках подобных проблем быть не должно.

_________________
С уважением, Карагезов Владислав

На самом деле, лично я просто не догадываюсь зачем может понадобиться выключенный ingress checking.
А то что оно по-умолчанию выключено действительно неправильно.

вообще-то, настройки VLAN я показал в первом сообщении. Все остальное - после сброса в factory default. Уж я не знаю, на сколько оно там у Вас правильно... Вот, Ingress-фильтрация отключенной оказалась...

1. Вы показали настройки одного VLAN, вполне может быть, что один и тот же порт входит в несколько VLAN - отсюда и возможные проблемы.
Что касатеся Ingress Checking - действительно, установлено в disable по умолчанию, в мануале об этом написано. Что касается понимания, для чего нужна эта фугкция - почитайте мануал и документацию по VLAN.

_________________
С уважением, Карагезов Владислав

уж такие вещи я в состоянии исключить Я пол-дня разные варианты конфигураций пробовал. И с единственным VLAN в том числе. Да и первое сообщение, честно говоря, запостил уже тогда, когда знал ответ в виде своего второго сообщения. То есть, что все начинает работать правильно через некоторое время.
Давайте я попробую догадаться ? Чтобы проверить входящий для порта трафик на его допустимость ? А при отключенной функции считается, что любой входящий трафик допустим ? Или, все-таки, еще есть, что прочитать ?