Доброго времени суток.
Есть коммутаторы dgs3627/dgs3612 (1.10-B09/2.52.B44), на портах включен dhcp snooping (strict, acl)
к портам подключается клиентские коммутаторы, ip-адреса клиентам раздаются через dhcp
также на некоторых портах клиентских коммутаторов есть статичные вланы, клиентам в этих вланах ip-адреса назначаются статично и естественно отрезаются на 36xx

как побороть?

делать статичные записи - не вариант, их может быть до нескольких тысяч
разрешение в acl по имени влана - не работает, маки по-прежнему блокируются

Вы используете DHCP Snooping на коммутаторах DGS-3600?

_________________
С уважением,
Бигаров Руслан.

использую и собираюсь использовать весьма активно
единственное припятствие на данный момент - вышеописанная проблема

Но у данной серии есть ограничение в 50 связок на порт при использовании DHCP Snooping.

_________________
С уважением,
Бигаров Руслан.

а больше там и не будет =)

Тогда как понимать:



и



Какой функцией блокируются?

_________________
С уважением,
Бигаров Руслан.

блокируются - какраз снупингом, он режет все что пришло на порт и не получено по dhcp/прописано руками
но мне нужно провести кучку маков мимо снупинга по одному общему признаку и признак этот - влан (vid, vlanname, неважно)
вобщем мне нужна помощь в этом вопросе, а не обсуждение архитектуры сети которая разрабатывалась не мной

DHCP Snooping - это один из режимов функции IP MAC Port Binding, т.е. привязки IP адреса + МАС адреса к порту. Если связка не была создана, то пакеты будут отброшены коммутатором. И обойти это нельзя, кроме как отключением этой функции на порту.

В целом задача какая!? Проверять у 50 ПК связку IP+MAC, а остальные пакеты по принадлежности к определённому VLAN -у, и остальное отбрасывать!? Или что?

P.S.: Если Вы хотите квалифицированную техподдержку, то Вы будете отвечать на мои уточняющие вопросы, которые мне нужны для понимания ситуации и задачи, которую Вы хотите решить. В противном случае, никакой информации или рекомендаций от нас не ждите!

_________________
С уважением,
Бигаров Руслан.

да

ACL

_________________
С уважением,
Бигаров Руслан.

в курсе. а пример работающий можно?
мне добиться чего-либо работоспособного так и не удалось

А рабочего варианта и нет ...

1. Связка IP+Mac реализуется через ACL profile PCF, но нужно учитывать: пакеты приходят с tag 802.1q или нет.

2. Выборка по VLAN-ам осуществляется через ACL profile Ethernet.

_________________
С уважением,
Бигаров Руслан.

Руслан как вы строги =)

Топикстартер: то что вы просите, нереализуемо ни одним оборудованием basic функционалом, но слава богу dgs36xx достаточно хорошие коммутаторы и там реализуемо все через advanced функционал, но что бы им граммотно пользоваться, необходимо иметь определенные технические знания. Поэтому настоятельно рекомендуется читать этот форум до четкого прояснения того как работает оборудование.

А если создавая темы "я хочу вот так извратится, срочно мне все подскажите", ответа вы не дождетесь, точнее бесплатного ответа.

ps. Хоть у DLink не всегда все работает, зато это самый лояльный вендор к своим потребителям.

я знаю как минимум одного производителя, у которого реализуемо
причем в рамках базового функционала. Ибо там, система, аналогичная IMP Dlink'a работает по Vlan'ам а не врубается на порт и никого там не пускает.
И ежели ответить не можете - не отвечайте "вы хотите странного", ибо я хочу вполне адекватных вещей.
И да задача решена.

Вообще-то DHCP Snooping это функционал уровня доступа, а если он где-то реализован по VLAN-ам то значит полностью в софте и будет сильно грузить процессор при хорошей сетевой нагрузке. Поэтому Вам лучше реализовать его на доступе если есть возможность. Если же Вы хотите именно DHCP Snooping на уровне агрегирования то без прописывания статических связок не обойтись. Можно также для идентификации клиента воспользоваться Option 82 и классами на DHCP сервере.