Hi
Хочу ограничить количество используемых на каждом порту mac адресов. Использую самый простой способ port security с указанием max learning adress. Через какое то время port lock entries заполняется нужными данными. Но получается, что они будут сброшены после пропадания питания. Во всяком случае кроме permanent и deleteonreset я других опций не увидел. Можно эти данные 1) сделать статичными или 2) связку mac-port перекинуть в IP-MAC Binding Settings всем массивом (как вариант)?
P.S. Прошу прощения за глупый вопрос, с техникой только знакомлюсь.
P.P.S Последнюю прошивку вышлите

У Вас два варианта: 1. Отключить автообучение на портах и добавить статические связки в FDB таблицу 2. Либо использовать IP-MAC-Port Binding.

_________________
С уважением,
Бигаров Руслан.

Я Вам прошивку выслал.

а. Сделал по 1 варианту - работает, ок. Отключить - это выставить 0 для нужного порта? Или же лучше отключать?

б. Хочу попробовать IP-MAC-Port Binding - a фиг. Как функция IP-MAC-Port Binding называется в терминах CLI Manual? В web я её конечно вижу, но через telnet никак.

с. Прошивку свежую прошил. Добавилось функцианала. Из замеченного - перестал отображать s.n. Сплошные буковки яяяяяяяяяяя

а. Выставить 0.

б. show address_binding

_________________
С уважением,
Бигаров Руслан.

ОК, спасибо, но почему в мануале этой команды нет?
Где то есть мануал новее этого?
http://ftp.dlink.ru/pub/Switch/DGS-3200 ... scription/

Старый мануал на ftp, потому что пока нового релиза не было. Как только появится новый релиз, то сразу будет выложен и новый мануал.

_________________
С уважением,
Бигаров Руслан.

Вотс не работает Почему не работает понятно. Непонятно как разрулить ситуацию. Итак.
Порт № 6, Max learning = 0
Admin state enable
Добавлено 3 адреса в fbd
Появляется ещё одна машина на порту 6, с mac 00-03-FF-14-F6-CB, получает адрес 192.168.0.180 и спокойно работает в сети. На dhcp и в arp таблицах соседних пк она видна именно по этой паре mac/ip.
Почему вроде понятно, mac она подменяет, как именно она это делает мне не интересно, гораздо интереснее что мне сделать что бы такие интересные случаи отслеживать. В логах то чисто.

Command: show arpentry
ARP Aging Time : 20
Interface IP Address MAC Address Type
------------- --------------- ----------------- ---------------
System 192.168.0.0 FF-FF-FF-FF-FF-FF Local/Broadcast
System 192.168.0.1 00-0D-88-5F-FA-9C Dynamic
System 192.168.0.107 00-1D-D9-29-31-12 Dynamic
System 192.168.0.130 00-1C-F0-D4-3A-4D Local
System 192.168.0.180 00-1D-D9-29-31-12 Dynamic
System 192.168.0.255 FF-FF-FF-FF-FF-FF Local/Broadcast

Total Entries: 6

Занятненько одинаковые mac. И ни слова в логах.

DGS-3200-10:4#show fdb
Command: show fdb

Unicast MAC Address Aging Time = 300

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ----- -----------
1 default 00-02-78-86-27-25 6 Permanent
1 default 00-0D-88-5F-FA-9C 8 Dynamic
1 default 00-13-46-C5-B8-CB 6 Permanent
1 default 00-1C-F0-D4-3A-4D CPU Self
1 default 00-1D-D9-29-31-12 6 Permanent
1 default 00-40-01-21-9A-EB 2 Permanent

Total Entries: 6

Если включить trap-ы в Port Security, то в логи будут писаться только сообщения о недействительных MAC адресах.

Port Security привязывает МАС к порту, для привязки IP+MAC к порту есть другая функция IP-MAC-Port Binding, она решит данную проблему.

_________________
С уважением,
Бигаров Руслан.

Хорошо. Port Security admin state = disable
Привязываю ip+mac к порту. 192.168.0.107:00-1D-D9-29-31-12 port 6 Режим acl. Моделию ситуацию - появляется связка которой нет в списке - mac тот же, ip уже другой. Доступа в сеть нет у обоих хостов. В списке заблокированных есть mac и Blocked By Address Binding. В логе Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.0.180>, MAC:<00-1D-D9-29-31-12>, Port<6>)
Как мне сделать, что бы блокировалась связка ip+mac которой нет в списке, а хост со связкой из списка продолжал работать. Для заблокированного хоста есть полный доступ к свитчу, дальше никак.

Никак, ведь блокируется MAC-адрес и невозможно определить уже кто валидный а кто нет. Если хотите так используйте ACL Packet Content filtering. Примеров много в FAQ.

1. Задачка такая - допустим имеется 3 хоста с одинаковыми mac и разными ip. Соответственно 1 из 3 связок mac+ip валидная, остальные надо блокировать. ACL единственное решение?
2. Если да, то как правильно ставится задача в этом случае, в терминах acl фильтра? Блокировка всех ip+mac на порту кроме валидной по IP?

Разрешаете только валидную и запрещаете всё остальное.