to ALL
Мне вот интересно , у кого-нибудь ,когда-нибудь работал IMB c параметром Loose. У меня не заработало как я не менял прошивки,после запроса на dhcp порт блокировался.

Когда Вы включите strict режим и подкрутите остальное, то Вы можете посмотреть через команду "sh access_profile" какие создаются ACL для обеспечения безопасности.

_________________
С уважением,
Бигаров Руслан.

У клиента какая OS? Как Вы настраивали IMPB?

_________________
С уважением,
Бигаров Руслан.

Клиетская ос-winxp,vistа
Нстройки -см первый пост с них я начал тему

А какая связка на порту и с каким IP блокируется?

_________________
С уважением,
Бигаров Руслан.

как только клиент получает ip c dhcp сервера порт тут же блокируется и записей в таблице не создается.

DES-3526:admin#show fdb
Command: show fdb

Unicast MAC Address Ageing Time = 300
VID VLAN Name MAC Address Port Type
---- ---------------- ----------------- ------ ----------------
33 vl33 00-1B-FC-B0-02-C7 2 BlockByAddrBind
33 vl33 00-21-91-2F-21-6C 8 BlockByAddrBind

DES-3526:admin#show address_binding dhcp_snoop binding_entry
Command: show address_binding dhcp_snoop binding_entry

IP Address MAC Address Lease Time Port Status
--------------- ----------------- ---------- ---- --------

Total entries : 0

Даже в логе?

_________________
С уважением,
Бигаров Руслан.

Также тестирую DHCP-snooping...
Прошивка на свитче Build 2.10.B11
Имеем DHCP-сервер с lease 600 сек.
Настраиваю все порты в режиме strict, zero ip и forward dhcp packet также включены.
После получения адреса mac-адрес сразу попадает в блок-лист.
При этом махинации с попыткой переполучить адрес не выходят.
Включаю режим loose.
Все отлично. По умолчанию WinXP пытается обновит адрес каждые 5 мин и если смотреть командой
show address_binding dhcp_snoop binding_entry
то lease time будет обновляться каждые 5 мин.

Интересный момент - во время работы в режиме loose включаю strict на этом порту. Время lease отсчитывается до нуля после чего мак блокируется.

Пока работы режима loose кажется более логичной при том, что при попытке сменит IP мак сразу попадает в блок-лист, а после установки получения автоматически работа возобновляется

Снова эксперимент. Прошил свитч 2.10-B05
Проблема в режиме strict исчезла

На B06 strict тоже нормально работает. А все что выше уже сломали.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Последняя версия прошивки 2.20-В08, а что касаемо функции IMPB, то она дорабатывается в связи с изменившимися условиями.

_________________
С уважением,
Бигаров Руслан.

Спасибо. Сделал запрос на прошивку в соответствующей теме.
Будем тестировать...

Прошил на 2.20-B08.
Появились новые команды.

и в команде

Можно узнать, что означают новые команды?

В режиме strict с системой windows xp проблем нет.
При исползовании FreeBSD 7.2 lease time падает до 0 после чего адрес попадает в список заблокированных.
tcpdump показывает наличие попыток обновить адрес со стороны клиента и ответов со стороны сервера, но lease time остается прежним.
Толко после запроса с 0.0.0.0 port 68 адрес попадает в DHCP Snooping Entries

Вот лог tcpdump'а на FreeBSD

А вот в Windows XP


В первом случае lease time не обновляется, во втором каждые 5 минут lease time обновляется.
Как видим разница только в src портах UDP датаграмм. В Windows 68 порт, во FreeBSD случайный.
Получается lease time обновляется только при обновлении адреса с src порта 68