D-Link • Просмотр темы - des 3028 есть вопросы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

des 3028 есть вопросы

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 3

[ Сообщений: 43 ]

На страницу Пред. 1, 2, 3 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

toxicom

Заголовок сообщения:

Добавлено: Вт окт 21, 2008 16:27

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Мне не понятна логика работы IMP в DES-3028.

Клиенты получают настройки по DHCP. DHCP-сервер в одном vlan с клиентами. На одном порту 3028 может быть два или три клиента подключенных через неуправляемый свитч.
включаем:

Код:

config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable

Если клиет адресс получил, то все хорошо. Если не получил (DHCP сервер был недоступен по какой либо причине) то видим в логах что-то типа

Код:

124 2008-10-21 09:22:30 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.39.144, MAC: 00-1B-38-74-46-C1, Port: 4)

и пока

Код:

00-1B-38-74-46-C1 4 BlockByAddrBind

с этого мака DHCP запросы больше не проходят. Собственно вопрос в том, почему сделано именно так? Почему бы не разрешить DHCP запросы всегда?
Когда один пользователь на порт, то это не проблема. При перезагрузке, на порту link down/link up и удаляются все MAC BlockByAddrBind. А если через мыльницу то нет.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Ср окт 22, 2008 09:17

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Ivantey писал(а):

Не появилась ли новая прошивка?

Пока нет

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Ср окт 22, 2008 09:20

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

toxicom
Вообще недоступность DHCP сервера это, прямо скажем, нештатная ситуация и такого в нормальной обстановке быть не должно. В этом случае могу только предложить обходить порты скриптом и удалять заблокированные MAC адреса.

Насчёт пропуска DHCP, а что если кто-то намеренно изменил свой MAC и пытается получить чужой ip-адрес? Свитч и такие запросы должен обрабатывать?

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Ср окт 22, 2008 12:44

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Цитата:

а что если кто-то намеренно изменил свой MAC и пытается получить чужой ip-адрес?

И пусть получает, работать-то он не сможет. Эта ситуация ничем не отличается от злонамеренного изменения mac+ip.

Этото вопрос возник не потому что DHCP сервер часто не доступен, а потому что при включенной функции IMP клиенты winxp иногда не принимают адрес который выдает им сервер. При том что сервер на их запрос отвечает. Только отключаешь IMP на порту - клиент сразу получает адресс.

Вернуться наверх

b_o_r_oda

Заголовок сообщения:

Добавлено: Ср окт 22, 2008 13:00

Зарегистрирован: Пн фев 20, 2006 23:06
Сообщений: 32
Откуда: Chernushka

Прошивка Build 2.00-B10
Возможен ли просмотр всех связок IP/MAC на данном коммутаторе через веб-интерфейс в разделе Monitoring-->ARP-FDB

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Ср окт 22, 2008 17:16

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

раздел Monitoring-->ARP-FDB отображает ARP таблицу комутатора в том VLAN в котором находится интерфейс комутатора.
Правда не понятно зачем туда прилепили кнопку "Add to IP-MAC-Port Binding Table" особенно с учетом того, что управление нужно выносить в отдельный VLAN

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Чт окт 23, 2008 11:41

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Есть подозрения, что DHCP relay совместно с IMPB может вызывать проблемы в текущей прошивке. Я отписал в штаб-квартиру и сейчас ожидаю решения. Как только оно появится я Вам напишу.

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Сб окт 25, 2008 12:17

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

Alexandr Zaitsev
Вот такой глюк был обнаружен:
Схема сети такая
Управление в VLAN default, клиенты в VLAN v22

Код:

       gate<-------
                   |
       -----------25-----
      | №1               |  1-24 порты - клиенты, 26, 27 подключены свитчи как и №2
       --------26-27-28--
                      |
       --------------25--
      | №2               |  1-24 порты - клиенты, 26, 28 подключены свитчи как и №3
       --------26-27-28--
                   |
                   |
        ----------25----
       | №3             |
        ---3------------ 
           |
     |клиент|

Клиент жалуется на низкую скорость локальной сети (~1Кb/c).
Пингуем клиента со шлюза - потери ~25-40%. Проверяем всю физику (меняем кабель, обжимку, сетевые, порты комутатора) - не то.
Смотрим на №1 и на №2

Код:

DES-3028:4#show fdb mac_address <macaddr клиента>
Command: show fdb mac_address 00-15-C5-C0-AE-29

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------

Total Entries  : 0

Смотрим на №3

Код:

DES-3028:4#sh fdb m 00-15-C5-C0-AE-29
Command: show fdb mac_address 00-15-C5-C0-AE-29

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
22   v22                              00-15-C5-C0-AE-29 3    Dynamic

Total Entries  : 1

При этом, повторюсь, клиент "пингуется". Делаем на №1 и №2

Код:

clear fdb all

Начинаем видеть mac клиента на №1:28 и №2:27. Потери пропадают. Команда clear fdb vlan v22 такого эффекта не дает. Через какое-то время ситуация повторяется.

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 13:50

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

Не срабатывает IMP при атаке от юзера вирусом alman

На коммутаторе включен IMP c DHCP Snooping
на L3 выше вижу
System 10.20.136.74 00-13-D3-EB-01-6F Dynamic
System 10.20.136.76 00-13-D3-EB-01-6F Dynamic
System 10.20.136.80 00-13-D3-EB-01-6F Dynamic
System 10.20.136.82 00-13-D3-EB-01-6F Dynamic
System 10.20.136.87 00-13-D3-EB-01-6F Dynamic
System 10.20.136.96 00-13-D3-EB-01-6F Dynamic
System 10.20.136.97 00-13-D3-EB-01-6F Dynamic
System 10.20.136.100 00-13-D3-EB-01-6F Dynamic
System 10.20.136.101 00-13-D3-EB-01-6F Dynamic
System 10.20.136.103 00-13-D3-EB-01-6F Dynamic
System 10.20.136.104 00-13-D3-EB-01-6F Dynamic
System 10.20.136.113 00-13-D3-EB-01-6F Dynamic
System 10.20.136.115 00-13-D3-EB-01-6F Dynamic
System 10.20.136.119 00-13-D3-EB-01-6F Dynamic
System 10.20.136.135 00-13-D3-EB-01-6F Dynamic
System 10.20.136.138 00-13-D3-EB-01-6F Dynamic
System 10.20.136.146 00-19-DB-D6-2E-B7 Dynamic
System 10.20.136.147 00-16-E6-3F-B3-2E Dynamic
System 10.20.136.149 00-13-D3-EB-01-6F Dynamic
System 10.20.136.157 00-13-D3-EB-01-6F Dynamic
System 10.20.136.158 00-13-D3-EB-01-6F Dynamic
System 10.20.136.161 00-13-D3-EB-01-6F Dynamic
System 10.20.136.165 00-13-D3-EB-01-6F Dynamic
System 10.20.136.168 00-16-36-70-47-65 Dynamic
System 10.20.136.171 00-13-D3-EB-01-6F Dynamic
System 10.20.136.177 00-13-D3-EB-01-6F Dynamic
System 10.20.136.178 00-13-D3-EB-01-6F Dynamic
System 10.20.136.179 00-13-D3-EB-01-6F Dynamic
System 10.20.136.183 00-13-D3-EB-01-6F Dynamic
System 10.20.136.186 00-13-D3-EB-01-6F Dynamic
System 10.20.136.187 00-13-D3-EB-01-6F Dynamic
System 10.20.136.190 00-13-D3-EB-01-6F Dynamic
System 10.20.136.192 00-0E-2E-72-6B-8D Dynamic
System 10.20.136.193 00-13-D3-EB-01-6F Dynamic
System 10.20.136.194 00-13-D3-EB-01-6F Dynamic
System 10.20.136.195 00-13-D3-EB-01-6F Dynamic
System 10.20.136.197 00-03-0D-5C-10-14 Dynamic
System 10.20.136.202 00-13-D3-EB-01-6F Dynamic
System 10.20.136.204 00-03-0D-27-50-AF Dynamic

Если у себя на ноуте выставляю IP статически и включаюсь в этот комутатор то он нормально блокирует мой ноут.

Как с этим бороться может кто нибудь знает.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 14:37

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Оффтоп: Ivantey, нехорошо использовать интерфейс System для маршрутизации. Есть случаи, когда это отрицательно сказывалось на устройстве.

_________________
LiveComm

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн окт 27, 2008 23:50

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

To toxicom:

Это у вас в какой прошивке происходит?

To Ivantey:

Какой у вас режим IMP на порту strict или loose?

По поводу последнего поста абсолютно согласен.

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Вт окт 28, 2008 09:54

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

to Demin Ivan:
№1 - 2.00-B14, №2 и №3 - 1.06-B05

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Вт окт 28, 2008 14:01

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

Пробовал и strict и loose
Прошивка 2 .0- B20

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Чт окт 30, 2008 16:26

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

toxicom
Выслал Вам последнюю прошивку, попробуйте с ней.

Ivantey
Т.е. заражённый компьютер примеряет на себя все ip-адреса подсети, я правильно понимаю?

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Пт окт 31, 2008 15:15

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

to Alexandr Zaitsev
Cхема сети такая же. VLAN клиентов v20. Прошивка №1 - 2.00-B23. Клиент включен в №3. Пингуем клиента с 10% потерь. Смотрим mac клиента:

Код:

DES-3028:4#sh fdb m 00:1D:7D:D1:A9:77
Command: show fdb mac_address 00-1D-7D-D1-A9-77

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------

Total Entries  : 0

делаем

Код:

DES-3028:4#cl fdb all
Command: clear fdb all

Success.

и все равно не видим mac клиента. делаем предыдущую команду _два_раза_подряд_ и видим mac

Код:

DES-3028:4#sh fdb m 00:1D:7D:D1:A9:77
Command: show fdb mac_address 00-1D-7D-D1-A9-77

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
20   v20                             00-1D-7D-D1-A9-77 28   Dynamic

Total Entries  : 1

через минуту

Код:

DES-3028:4#sh fdb m 00:1D:7D:D1:A9:77
Command: show fdb mac_address 00-1D-7D-D1-A9-77

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------

Total Entries  : 0

всего маков на на железке

Код:

DES-3028:4#sh fdb
Command: show fdb

Unicast MAC Address Aging Time  = 300

....
поскипано
....

Total Entries  : 225

Вчера делал тоже самое только когда mac'ов на железке было около 380, так никакие очистки fdb не давали никаких результатов, mac клиента на железке увидеть так и не удалось.[/b]

Вернуться наверх

Страница 2 из 3

[ Сообщений: 43 ]

На страницу Пред. 1, 2, 3 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения