Прошивка .B029

Решил сделать так, что бы редактировать ацл оффлайн:
удалил все ацл, сохранил конфиг, на тфтп создал файлик в котором только пункт с ацл.
на свиче написал:

Все загрузилось, свич начал добавлять правила, но, в какой-то момент, загрузка свича стала 100%, включился SafeGuard, и все, теперь он постоянно включаеть/выключается уже 12 часов

Пример файла с ацл (всего 537 строк) :

Я Вам прошивку выслал.

Ух ты!!!!
Спасибо....



Заргузил ~500 строк с файла почти неглядя....

Теперь вопросы:
1) Как вот это растоковать? Где-то количества описаны?

2) А вот это?


3) А вот это? Случайно не имеет отношения к http://forum.dlink.ru/viewtopic.php?t=50634
Взможно каким-то вариантом команди убрать арп генерируемый свичом?

Рад слышать!

1) Это оставшиеся в вашем распоряжении ACL с разбивкой по портам.

2) В этой прошивке есть функция DHCP Server. 4 пула по 512 адресов.

3) По поводу этой опции уточню.

По поводу последней команды, эта опция пока в стадии тестирвания, но вот её описание:

1. Config Command :
Purpose :
The spirit of Broadcast Segmentation is to limit every port’s broadcast/unknown multicast egress domain
Format :
config broadcast_filter [<portlist> | null] {arp_forward_list [<portlist> | all]}
Description :
1)Ability to isolate Broadcast traffic/unknown multicast traffic in ports of the VLAN.
2)Users within the same subnet can access each other. That is, unicast traffic is not affected on those ports when 1) are applied.
3)Co-exists with traffic segmentation.
Parameters :
<portlist> 1 : Specifies a range of ports to be configured. -> Broadcast/nulticast/unknown traffic will be filtered on these ports.
null : clear all ports.
<portlist> 2 : Specifies a range of ports to be configured. -> ARP requests can be forwarded between these ports.
all : Specifies all ports to be configured. -> ARP requests can be forwarded between these ports.
Restrictions :
You must have operator above privileges.

2. Display Command :
Purpose :
Used to show Broadcast Segmentaion configuration.
Format :
show broadcast_filter
Description :
Used to show Broadcast Segmentaion configuration.
Restrictions :
None.

О - спасибо..
Попробовал...


Первый <portlist> убирает бродкаты, второй разрешает арп, на пакеты генерируемые свичом не влияет... Access Entries не используются..

В сети стоит 3 шт. 3828, в каждом прописано около 500 пар IP-MAC-Binding, как научить DHCP что-бы он по маку выдавал нужный IP, используя таблицу IP-MAC-Binding?

Я думаю нужно идти с другой стороны. Я думаю вам нужна поддержка DHCP Snooping + IP Source Guard + Dynamic ARP Inspection. В этом случае коммутатор изучает полученные клиентом связки на порту и лочит их. Если клиент меняет IP в своей связке то его коммутатор блокирует. При этом также надо иметь возможность указать кол-во MAC-адресов на порту, по которым могут быть получены IP-адреса, чтобы исключить постоянный перебор клиентом MAC-адресов. Правильно ли я вас понял?

Ну вроде того. IP у наших клиентов прописаны статиком, но часто клиенты сносят систему, а настроить не умеют. Идеальный вариант, выдать ip по маку средствами DHCP самого коммутатора, ну и при блокировать если не правильная пара мас+ip. Слать трапы при попытке перебора. МАС нотификейшен, кстати так и не заработал у нас.
Если есть примеры как все это реализовано, дайте пожалуйста.
В идеале - закрывать доступ определенному IP, по команде биллинга - snmp или php скриптом, который любезно опубликовал наш коллега.

Т.е. всё-таки Вы хотите использовать внешний сервер или встроенный с свитч? Просто по понятным причинам встроенный возможно может не обладать нужной гибкостью. Перезвоните лучше в офис по телефону 744-00-99 доб.390.

Так я же однозначно написал :



Встроенный. Мы вообще отказались от софт роутеров, не надежно все это. Тем более, в необслуживаемых труднодоступных местах. Правда пока 3828 тоже не очень оправдывает наши надежды. Бывают ситуации, когда в офисе порт включен один компьютер, вирусов нет, а в логах: Possible spoofing attack from 00-19-5b-41-af-02 port 8
Смотрели на этом компьтере утилитой сетевой траф - ничего нет.

Перезвоните пожалуйста завтра по телефону который я вам выслал в личку.