Здравствуйте.
DES-3828
Fw: 4.50.B17
Hw: 1A2
2 сегмента сети перевели на 2 UpLink порта (оптические) со скоростью 1 Гбит/с.
На каждый порт существует по 70-80 записей IMB Table в режиме ACL.
Проблема в том что некоторые из этих записей просто перестают пропускаться в произвольное время (с чем связано не понимаю), при удалении записи и повторном добавлении все снова работает до поры до времени.
Грубо говоря переткнул 2 сегмента вместо LAN сделал на UpLink, выгрузил конфиг свича, в выделеном фрагменте, где IMB Table - заменил цифры портов, все тщательно проверил и загрузил обратно, после чего ребутнул.
Причем жалуются одни и те же абоненты, что у них периодически связь пропадает, и только с этих сегментов. И лечится это как я уже сказал - перезаведением в IMB Table. Подскажите пожалуйста, в чем может быть проблема?

_________________
ICQ: 300-220

Еще хочу спросить есть ли возможность сделать так, чтобы в IMB Blocked отображались не только заблокированные MAC адреса, но и с какого порта они был заблокированы, а еще лучше блокировать MAC именно на этот порт, а не на все как сейчас.

_________________
ICQ: 300-220

А у вас какой режим IMP на порту выставлен strict или loose?

Striсt
А не напомните в чем разница, запамятовал.

_________________
ICQ: 300-220

Как устройство поступает с каждым первым новым ARP пакетом. В strict не пропускает после анализа если он не валидный в loose пропускает. У Вас просто не штатная топология поскольку эта функция должна использоваться на access уровне.

На access уровне? Что мне нужно сделать?
Packet Content Mask править? Разве нормальная работа ACL не предусмотрена на UpLink порты?

_________________
ICQ: 300-220

Извините если предыдущее сообщение показалось грубым, попробую поставить loose на 1 из UpLink портов, посмотрим что будет.

_________________
ICQ: 300-220

Дело в том, что если у Вас к uplink портам подключены неуправляемые коммутаторы или коммутаторы, на которых не контролируется смена IP+MAC клиентом, то IMPB ACL на uplink-овских портах DES-3828 не решит проблему.

_________________
С уважением,
Бигаров Руслан.

На UpLink портах DES-3828 через переходники Latel`овские на оптику и далее с оптики на Uplink порт в DES-3010G там один Uplink тоже есть.
Или это тоже самое, что вы и сказали?
Все равно ACL же работает в целом, просто с некоторыми записями,а их не более 5% возникает такое. Я поставил на loose, сегодня будет день - посмотрим, повторится или нет.
Если не поможет наверно буду их в ARP режиме записывать или верну все как было. Как вы думаете возможно что то сделать, может в прошивке?

_________________
ICQ: 300-220

Всё же я посоветовал бы для локализации проблемы использовать IMPB ARP на DES-3010G и сравнить новые данные по блокировке МАС-ов и старые.

_________________
С уважением,
Бигаров Руслан.

Я рассматривал этот вариант, но при подмене IP&MAC при ARP, MAC заносится в blocked и блокирует пока его не удалишь оттуда, по крайней мере так было в 3 версии прошивки на 3010G, с другой стороны наверно удобно но у нас их 12 и поддерживать актуальную таблицу в каждом - это трудновато, был бы ACL на 3010G другое дело.
К тому же как ни странно - поставил на эти 2 порта режим loose на ACL и вроде пока (4 часа работы) никто не жаловался, тьфу тьфу тьфу.

"Еще хочу спросить есть ли возможность сделать так, чтобы в IMB Blocked отображались не только заблокированные MAC адреса, но и с какого порта они был заблокированы, а еще лучше блокировать MAC именно на этот порт, а не на все как сейчас."

_________________
ICQ: 300-220

И все таки вылетают даже не знаю что и делать, а возможно на DES-3010G ACL пришить?

_________________
ICQ: 300-220

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390 или укажите в личку ваш телефон.

Врубил ARP на DES-3010G.
ИМХО:
Не спорю возможностей появилось больше, вижу каждый сегмент, кто откуда и почему, но вот некоторых произвольно в бан посылает, может их и подменяют однако я ставил себе Traaffic Inspector - он обновлял сетевое соединение (добавлял свой протокол) и я попал в blocked. Сочтемся на том, что как оружие для конкретных вычислений нелегалов это поможет, но не как постоянная защита.

Вот сижу изучаю Packet Content поставил на все порты loose, посмотрим что будет. О результатах сообщу, думаю другим эта тема тоже полезна будет, хатя ...

_________________
ICQ: 300-220

ОК. Ждём результатов!