Решил попробывать у себя в сети данную функцию. Сказать, что я обрадывался её появлению, это значит ничего не сказать. Фича революционная. Думаю за ней будущее. По крайней мере делать завязку с биллингом уже в плане. Решила она за 1 раз все мои проблемы, левые маки, не авторизованные устройства и т.д. Причём не надо кого то искать, снифферить и т.д. Но после включения этой функции начались звонки от абонентов - в основном от владельцев висты - у них комп не может получить адрес, потом жалобы от тех, у кого хп сп2 - сеть пропадает на секунду, потом опять появляется. Не сказать, что таких большинство, думаю несколько процентов от общей массы, но не прописывать мне же их статически в таблицу, тем более в ней всего не более 500 записей! Настройки у меня обычные, allow zero ip конечно включено, DHCP Snoop Max Entry No limit. Strict.
Пока я её выключил, жду статистики от других владельцев свитчей и представителей длинк.

Покажите пожалуйста полный конфиг в плане IMP DHCP Snooping.

# IPBIND
config address_binding ip_mac ports 22,30,32-33 state enable
config address_binding ip_mac ports 22,30,32-33 allow_zeroip enable
disable address_binding acl_mode
enable address_binding trap_log
enable address_binding dhcp_snoop
create address_binding ip_mac ipaddress 192.168.1.52 mac_address 00-1B-11-50-9B-13 ports 22
create address_binding ip_mac ipaddress 192.168.1.99 mac_address 00-80-48-46-24-CE ports 8
create address_binding ip_mac ipaddress 192.168.3.140 mac_address 00-16-D4-CC-65-D5 ports 33
create address_binding ip_mac ipaddress 192.168.6.38 mac_address 00-19-5B-10-69-5F ports 30
create address_binding ip_mac ipaddress 192.168.6.243 mac_address 00-22-15-FB-AA-3E ports 8
create address_binding ip_mac ipaddress 192.168.7.118 mac_address 00-22-15-3A-E3-9F ports 32
config address_binding dhcp_snoop max_entry ports 1 limit 5
config address_binding dhcp_snoop max_entry ports 2 limit 5
config address_binding dhcp_snoop max_entry ports 3 limit 5
config address_binding dhcp_snoop max_entry ports 4 limit 5
config address_binding dhcp_snoop max_entry ports 5 limit 5
config address_binding dhcp_snoop max_entry ports 6 limit 5
config address_binding dhcp_snoop max_entry ports 7 limit 5
config address_binding dhcp_snoop max_entry ports 8 limit 5
config address_binding dhcp_snoop max_entry ports 9 limit 5
config address_binding dhcp_snoop max_entry ports 10 limit 5
config address_binding dhcp_snoop max_entry ports 11 limit 5
config address_binding dhcp_snoop max_entry ports 12 limit 5
config address_binding dhcp_snoop max_entry ports 13 limit 5
config address_binding dhcp_snoop max_entry ports 14 limit 5
config address_binding dhcp_snoop max_entry ports 15 limit 5
config address_binding dhcp_snoop max_entry ports 16 limit 5
config address_binding dhcp_snoop max_entry ports 17 limit 5
config address_binding dhcp_snoop max_entry ports 18 limit 5
config address_binding dhcp_snoop max_entry ports 19 limit 5
config address_binding dhcp_snoop max_entry ports 20 limit 5
config address_binding dhcp_snoop max_entry ports 21 limit 5
config address_binding dhcp_snoop max_entry ports 22 limit no_limit
config address_binding dhcp_snoop max_entry ports 23 limit 5
config address_binding dhcp_snoop max_entry ports 24 limit 5
config address_binding dhcp_snoop max_entry ports 25 limit 5
config address_binding dhcp_snoop max_entry ports 26 limit 5
config address_binding dhcp_snoop max_entry ports 27 limit 5
config address_binding dhcp_snoop max_entry ports 28 limit 5
config address_binding dhcp_snoop max_entry ports 29 limit 5
config address_binding dhcp_snoop max_entry ports 30 limit no_limit
config address_binding dhcp_snoop max_entry ports 31 limit 5
config address_binding dhcp_snoop max_entry ports 32 limit no_limit
config address_binding dhcp_snoop max_entry ports 33 limit no_limit
config address_binding dhcp_snoop max_entry ports 34 limit 5
config address_binding dhcp_snoop max_entry ports 35 limit 5
config address_binding dhcp_snoop max_entry ports 36 limit 5
config address_binding dhcp_snoop max_entry ports 37 limit 5
config address_binding dhcp_snoop max_entry ports 38 limit 5
config address_binding dhcp_snoop max_entry ports 39 limit 5
config address_binding dhcp_snoop max_entry ports 40 limit 5
config address_binding dhcp_snoop max_entry ports 41 limit 5
config address_binding dhcp_snoop max_entry ports 42 limit 5
config address_binding dhcp_snoop max_entry ports 43 limit 5
config address_binding dhcp_snoop max_entry ports 44 limit 5
config address_binding dhcp_snoop max_entry ports 45 limit 5
config address_binding dhcp_snoop max_entry ports 46 limit 5
config address_binding dhcp_snoop max_entry ports 47 limit 5
config address_binding dhcp_snoop max_entry ports 48 limit 5
config address_binding dhcp_snoop max_entry ports 49 limit 5
config address_binding dhcp_snoop max_entry ports 50 limit 5
config address_binding dhcp_snoop max_entry ports 51 limit 5
config address_binding dhcp_snoop max_entry ports 52 limit 5

Как видно включил пока только на трёх портах. Для двух владельцев висты сделал статические записи, остальные записи служебные.
Ещё один вопрос - так и не понял разницу между Strict и Loose. Просветите пожалуйста. Когда использую режим Loose таблица IP-MAC Binding DHCP Snooping Table почему то пустая, может так и должно быть?

А почему вот здесь не 8-ого порта?
config address_binding ip_mac ports 22,30,32-33 allow_zeroip enable

По поводу strict и loose. При IMP DHCP Snooping правильно использовать strict. Этот режим позволяет в отличии от loose отбрасывать после анализа каждый первый новый ARP пакет не явлющийся валидным для указанного порта.

Потому, что на 8-м порту этот режим в данный момент отключен. Использую пока для теста только 22,30,32 и 33 порт.



Спасибо. А таблица при этом должна быть пустой?

Вы же говорите у Вас только в loose она пустая. И покажите как Вы её смотрите.

Смотрю через веб-морду. В режиме strict она есть, в режиме loose все записи от туда пропадают.

Правильно, нужно использовать strict.

Попробывал включить loose, как по идее более щадящую функцию. DIR-100 и комп с ХР так и не получили сетевой адрес... Как только переключил на strict всё сразу заработало. Потом в режиме strict экспериментировал с абонентом у которого виста. Он что только не делал, и комп перегружал, подключение выкл/вкл и т.д. Через пол часа он всётаки получил сетевой адрес. Но потом через 3 часа он его потерял и опять постоянно в блок листе... Его тоже статически ввёл в таблицу. В логе просто его мак и ип фигурирует как заблокированные. Попробуйте на стенде эту ситуацию с вистой, это ведь не долго. Если проблема есть, она у Вас тоже сразу обнаружится.
1A1, Build 4.50.B15

Мы проверим эту ситуацию на тестовом стенде, о результатах я Вам отпишу.

тоже немного помучался со снупингом - при кажущейся простоте и удобстве натолкнулся на ряд проблем. в итоге сделал как все - привзяла к биллингу и управление свитчевыми ACL через SNMP. Вот уж надежней некуда и все под контролем.

На тестовом стенде обнаружилась не совсем корректная работа коммутатора при использовании опции loose и мы уже занимаемся исправлением. При использовании strict ОС Windows Vista IP адрес получала. Уточните, пожалуйста, сколько MAC адресов у Вас на том порту, где происходит некорректная работа, а, также, какой SP установлен на OC.

От кол-ва маков это не зависит, маков на порту не много. Одновременно то всегда мало. Штук 10-20 на порт, а то и меньше. Узнал про висту, парень сказал, что самая первая версия висты, может ещё до первого сп.

А у других абонентов с Вистой выше указанная ситуация также возникает или это единичный случай?

Включил я эту фичу ещё на паре портов. Получилось ещё интересней. У абонента виста хоме+сп1 и стоял KIS2008, так вот пока он не удалил каспера компьютер не мог получить сетевой адрес! Сейчас поставил авиру и радуется жизни.