хорошо, попробую.

но мне такое не подходит, так как на одном порту может быть около 50 пользователей.

А DHCP Snooping на такую нагрузку и не рассчитан.

Вообщем проверил.

При ограничении в 3 соединения всё отлично.
При no_limit то же самое происходит, т.е. то ли виснет, то ил ещё чёт случается, но я по ИП достучаться не могу, консоли к свитчу сейчас нет.

Чего же так не рассчитано на такое количество соединений?
А как же заявленные 500 ip-mac port bindings?
Или это исключительно статическая привязка?

На какое количество правил рассчитано?

Спасибо.

Это для статической привязки. При DHCP Snooping без потери производительности как раз работает до 10 связок на порт.

а на сколько сильно падает производительность?

как я вижу здесь даже не производительность падает, а просто при no_limit и одним цискофоном работает не гладко.

У меня даже неадекватность при 10-ти есть. Т.е. запросы дхцп не пролазят и т.д. Сча экспериментально определю, сколько максимум лимит оно понимает.

Это предел. И предел должен быть обязательно задан.

Да какой уж предел.

Вот выставил 5 максимум на каждый порт.
Сходил на обед вернулся - всё работает.

Делаю звонок с цискофона, говорю говорю а потом раз, мак адрес вижу в заблокированных:

DES-3526:admin#show address_binding blocked
Command: show address_binding blocked

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
3 vlan3 00-1B-0C-18-2C-1F 1 BlockByAddrBind


Отключение включение телефона по питанию не помагает.

Вообщем у меня не получается сделать так, чтобы это стабильно работало хотя бы при 5-ти соединениях.

Сейчас попробую ещё раз при трёх.

Сбросил свитч на дефолтные заводские настройки.
Активировал всё как и раньше.
С лимитом в 10 телефон не пускает.
С лимитом в 2 тоже не пускает.

Куда копать? Как отдебажить?

Попробуйте не с Cisco, а с обычными рабочими станциями. Тесты с ними говорят об обратном.

Я то попробую, но вроде как непорядок, что с одними устройствами работает, а с другими нет.

Это ж нужно будет ещё много оборудования протестировать на совместимость, прежде чем запускать.

В любом случае вижу пока один вариант:
forward_dhcpacket enable на всех портах
ip_mac защиту включить на абонентских портах.

Пропатчить dhcp server и на основе приходящих пакетов апдейтить статическую таблицу связок ip_mac любым удобным способом на свитче.

Возможно стоит попробовать этот способ. Перезвоните пожалуйста во вторник в офис по телефону 744-00-99 доб.390.

Незнаю баг не баг но вот что случилось.

DES3526_5.01-B09

Включил loop detect? сидело себе ждало своего времени, настало время петли на порту, свитч определил что она есть, и начал странно блокировать порт, как бы 50 на 50 пакетов проходит и столько же теряется, в логах пишет что типа эксперементал тестинг и тра ла ла.
В настройках петли пишет что обнаружил петлю на таком то порту.

Отключаю порт чтобы избежать глюков на остальную сеть, и тут то казявка.
Порт как бы пишет что отключён но раз в 60 сек помоему, порт открывается проверяет петлю этим делает во всей сети каку до тех пор пока не отключу функцию обнаружения петель, тогда порт с петлёй отключён полностью и можна работать искать проблему.

Доброго времени суток, давно у вас не был...
Вышлите пожалуйста новую прошивочку на 3526 на alexkazakru собака mail.ru

проблем нет, но хочется чем нибудь заняться от скуки

To MsHOME:

1) Вы уверены что прошивка именно 5.01-B09? Вы с какой прошивки перепрошивали? Сбрасывали ли к умолчальным настройкам если это был предыдущий релиз? Как настроена функция?

2) Этот баг был в прошивках до 5.01-B09, но как раз в ней его пофиксили. Поэтому смотрите пожалуйста пункт 1.

To kazakru:

Я Вам прошивку выслал.