Сразу скажу - форум читал. Много, долго и вдумчиво, но полной ясности для себя не получил, почему и решил создать тему. Хочу активно поиспользовать оборудование D-Link в сети, но нужно понимание того, соответствует ли оно задачам. Для начала условия работы:
1) Распределенная сеть оптика/медь с малой плотностью абонентов. Т.е. ставить тот же 3526 на уровень доступа не целесообразно ни экономически (клиентов на объекте зачастую меньше, чем в нем портов), ни технически (медные межобъектные линки втыкать в него не хочется - порты жалко). Поэтому речь идет, скорее, об использовании тех же 3526 где-то на уровне агрегации: на объекте, куда приходит оптический гигабитный линк, и к которому подключена по 100Мбитной меди группка из нескольких других объектов.
2) В сети используется DHCP для раздачи адресов, привязка IP-MAC для контроля пользователей внутри сети и VPN для получения доступа в Интернет. Нюанс в том, что помимо статических лизов в каждом сегменте есть динамический пул адресов общего пользования. Штука крайне удобная и клиентам очень нравится: можно, например, принести с работы ноутбук, вставить, получить временно какой-нибудь свободный адрес (доступа к локальным ресурсам и доп.услугам с него не будет), после чего вылезти по VPN в Интернет, чтобы поработать. Отказываться от этого очень не хочется, так как в этом клиенты видят наше конкурентное преимущество по сравнению с другими сетями, где все жестко привязано друг к другу и все такое...

Соответственно, вытекают из всего этого такие вопросы:
1) Можно ли исключить из действия IP-MAC binding определенный ряд адресов? Типа, какой-нибудь разрешающий ACL создать? Оптимально для нас, чтобы не только можно было, но еще и в режиме IP-MAC binding ARP mode, так как хотелось бы иметь возможность использовать дешевые 3026 и новые 3028... Тем более, что в acl mode придется следить не только за количеством правил binding'а на все устройство, но еще и чтобы на каждой группе из 8 портов не больше 200 было, а это несколько напряжно в повседневной работе...
2) Много информации и обсуждений на форуме посвящено новому параметру пятого релиза прошивки для 3526, который разрешает пакеты с адреса 0.0.0.0, дабы клиент мог получить свой адрес с DHCP и нормально работать. Но ведь это только часть проблемы! Есть всем известный диапазон адресов APIPA - 169.254.x.x, в который та же Windows попадает, если не находит в сети DHCP-сервер. Однако, Windows продолжает посылать запросы на получение адреса каждые 5 минут и если получит таковой - то начинает нормально работать. А теперь представим более чем реальную ситуацию: по каким-либо причинам клиент вдруг оказался "оторванным" от dhcp-сервера. Не важно по каким: сервер сглючил и сдох, порвался клиентский кабель, украли провайдерский коммутатор... Одним словом, любой форс-мажор и проблема в работе. Так вот, после исправления проблемы, когда связь с "центром" восстановится, клиенту ничего не надо делать - просто через пару минут система сама снова получит адрес и все будет хорошо. Что будет, если используется IP-MAC binding? Клиент попадет в "черный список", потому что у него не нулевой и не соответствующий прописанному адрес? А чтобы снова нормально работать, ему придется перезагружать компьютер (а ведь сам он до этого не додумается! Он ведь в тех.поддержку провайдера звонить начнет и т.п.! Да и откуда клиенту знать, что уже пора перезагружать компьютер?), дабы "начать все с 0.0.0.0"? На мой взгляд, это очень важный вопрос. В конце концов оборудование в итоге будет работать не в условиях стенда и поэтому необходимо обеспечить адекватную поддержку нештатных ситуаций...

К слову говоря, оба вопроса по сути сводятся к одному: хочется большей гибкости, чем просто allow_zero_ip. Хочется, чтобы была таблица (точнее, список), куда можно самому добавить, скажем, 0.0.0.0/32, 169.254.0.0/16, 192.168.1.240/28... Пяти элементов на весь коммутатор на мой взгляд более чем хватило бы. И тогда функция ip-mac binding стала бы реально той штукой, которая "аццки жжот".
Или, может быть, я зря впадаю в патетику и на самом деле, все это уже есть и может быть реализовано на ACL? Ткните тогда куда-нибудь, где это уже разбиралось... Или хотя бы подтвердите - буду пробовать на подопытном коммутаторе...
Заранее спасибо!

Вот с этим согласен на все 100%!

Плюс мои предложения теме: http://forum.dlink.ru/viewtopic.php?t=45682

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

А что мешает использовать функцию DHCP Snooping в последней прошивке? Никаких статических лиз. Ограничение по MAC-адресам 10 на порт. По-моему вполне достаточно.

Если нет то в режиме IP-MAC-Port Binding ACL mode пропишите до включения функции нужные Вам разрешающие правила, а потом включите функцию.

Параметр allow_zero_ip если выставлен в enable на порту постоянно пропускает запросы с IP-адреса 0.0.0.0.

Так что как видите средства очень гибкие и возможен любой вариант настройки.

Вот только не срабатывают ACL, связанные с DHCP, особенно в случае, если включен IpMacBindingPort!-(

Боюсь, что разрешающее правило для DHCP-запросов с адресов 169.xxx может также не сработать, как и запрещающее правило (сделано для того, чтобы не размножались DHCP-запросы после попадания в DHCP RELAY). Если бы работало, то не срабатывал бы IpMacBindingPort на такие пакеты, да и другие свитчи их не видели бы...

Соответствующая заявка была отправлена Ивану. Ждем ответа разработчиков.

DHCP Snooping пока не предлагать!-)

Мешает хотя бы приблизительное понимание того, что это такое. Где об этом можно почитать? На форуме не видел. Документации по пятой прошивке пока нет. В документации к четвертой такое словосочетание вообще отсутствует...


Ага, значит это можно делать! Ну слава Богу! Я тоже так думал (ибо оно по логике вещей выходит), но мало ли...


Относительно. Это ведь ACL mode, который недоступен ни в 3026, ни в новых 3028... А ведь именно 3028, как я понял, вы позиционируете как операторское решение (об этом говорит хотя бы наличие четырех гигабитных портов... Впрочем, на форуме это уже обсуждалось...)... А у него такой гибкости, получается, как раз нет... Вот если бы в ACL на 3028 можно было в правиле поставить галочку, типа "Pass IP-MAC-port binding" - это было бы просто шикарно! Может отпишете на эту тему разработчикам?
На имеющейся сети буду сейчас с 3526 экспериментировать (хотя очень не хочется, как говориться в вашем мануале, "продумывать стратегию ACL в целом" ), но скоро планируем строить еще одну сеть и если бы 3028 обеспечивали описываемый функционал - было бы просто здорово и закупал бы их не задумываясь...

Спасибо за информацию! Буду знать, к чему готовится перед экспериментами на подопытном свиче...

ps: Откровенно говоря, мой первый пост был связан именно с тем, что я уже прочитал на форуме о том, что ACL что-то разрешающие в MAC-IP-port binding ни фига не работают. Просто думал, что, может, это на каких-нибудь старых бетах? И сейчас все выправили?

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

а может тогда и заморачиваться не стоит?

Стоит, стоит... Просто хочется большей свободы. А ограничения "500 на девайс" и "100 на порт" - это две большие разницы.

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

Я уже пытался, но как-то не везло - то вас не было, то еще что-то... На этой неделе обязательно еще раз попробую!

Лучше позвонить послезавтра во второй половине дня.

[quote ]Если нет то в режиме IP-MAC-Port Binding ACL mode пропишите до включения функции нужные Вам разрешающие правила, а потом включите функцию.[/quote]

А подскажите или дайте плз пример, как прописать правило Разрешающее допольнительное и Куда, главное?

Это все на DES-3526 происходит.

У нас просто сейчас как раз есть проблемы с клиентами изза этого, я так понимаю. Айпи раздаются по DHCP и вот когда по какойто причине клиенту винда отдает 169.x адрес, он попадает в блок лист, и все... Клиенты вобщем не живут... Сейчас до разбора ситуации было принято решение пока отключить IP-Mac-Binding. И еще подскажите, если IP-MAC-Bind прописать, но Admin Sate = Disabled это все равно что его и нет? и это никак не повлияет на работоспособность клиента? или лучше вообще не писать!?
Allow Zero IP = Enabled пишется, и все остальное тоже пишется по SNMP.

а мне вот тут подумалось, что если бы на 3526 был свой dhcp сервер, то таких проблем не было бы вообще...

Там есть DHCP RELAY. Этого достаточно. DHCP-сервер на свитчах не нужен (IMHO).