D-Link • Просмотр темы - IMB на trunk порту, PPPoE, и еще несколько вопросов по IMB

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

IMB на trunk порту, PPPoE, и еще несколько вопросов по IMB

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 3

[ Сообщений: 31 ]

На страницу 1, 2, 3 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

littlesavage

Заголовок сообщения: IMB на trunk порту, PPPoE, и еще несколько вопросов по IMB

Добавлено: Вт янв 12, 2010 05:57

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

Есть несколько простых вопросов по IMB.

1. IMB, включенный на trunk порту работает, т.е. блокирует в т.ч. и тегированный трафик. Но можно ли как-нибудь отключить его работу на порту для определенного VID'а?

2. Будет ли через через порт с включенным IMB проходить PPPoE трафик с машин, с отключенным TCP/IP?

2. В таблице заблокированных адресов нет параметра IP, блокировка происходит по параметрам VID-MAC. В случае, если на 1 машине прописано алиасами 2 ип, а в списках IMB есть только 1 из них, блокируется MAC и не работают оба ип. Можно ли этого как-то избежать? Хотя, добавление второго адреса в таблицу Permit IP Pool помогает. И как можно узнать по SNMP, с каким именно IP был заблокирован заданный MAC?

Используется IMB в режиме arp strict.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт янв 12, 2010 06:22

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

ох намучаетесь....

1) нет
2) по идее да, если будет: conf addr ip_m ports 1-24 allow en
3) нет

Уже давно хотел, чтобы описанные вами функции были добавлены в функционал IMB, однако это настолько неповоротливая корова, что что-либо туда добавить практически нереально (со слов Ивана и Руслана).

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Вт янв 12, 2010 06:35

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

terrible писал(а):

ох намучаетесь....

1) нет
2) по идее да, если будет: conf addr ip_m ports 1-24 allow en
3) нет

Понятно, спасибо!

С вкюченным allow_zeroip действительно пропускаются все MAC'и без IP.

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Пт янв 15, 2010 11:22

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

Похоже, поторопился со всеми.

RRCP пакеты в strict режиме не пропускаются, только в loose.
Точнее, так. С прошивкой 5.01-B52 после включения IMB на порту, в каких-то случаях RRCP блокируется, в каких-то - нет. C 6.00.B22 блокирутеся всегда.
Но с любой прошивкой, примерно раз в пол часа час 1-2 пакета все таки проходят.
MAC-адрес просто пропадает из FDB таблицы. То, что он заблокирован, нигде не фиксируется.
Нельзя ли как-нибудь его не блокировать?

PS: И один 3526 потерял управление через неделю после включения IMB. До этого было несколько месцев аптайма. Как только до него доберемся, выясню, какая там прошивка. UP: была 5.01-B52, поставил 6.00.B22. Жду очередного зависания.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Пт янв 15, 2010 16:16

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Похватайте пожалуйста снифером эти RRCP пакеты и пришлите мне на почту.

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Пн янв 18, 2010 11:02

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

RRCP пакеты отправил.

Продолжаю разбираться в IMB

В DES-3028 Permit IP Pool отсутствует?
2. Нарисовал загрузку CPU на коммутаторах за день.
На одном 3526 получил очень высокие значения:

Если смотреть show utilization cpu, то очень часто в 5секундных интерфалах загрузка 100%

На 3550 загрузка поменьше:

На первом 181 привязка, на втором - 36

Нормальна ли такая загрузка? И чем 100% значения могут грозить?

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пн янв 18, 2010 12:36

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Разгружайте 3526!!! И чем быстрее, тем лучше. Увеличивайте "звездатость" вашей сети.

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Чт янв 28, 2010 13:03

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

DES-3028 Firmware: Build 2.31.B03

Часто теперь вижу в логах:

Код:

13411 2010-01-28 12:53:48 Unauthenticated IP-MAC address and discarded by ip mac
                           port binding (IP: 0.0.0.0, MAC: 00-E0-4C-68-FA-95, Po
                          rt: 1)

для разных мак-адресов.

Конфиг:

Код:

# ADDRBIND

enable address_binding dhcp_snoop
create address_binding ip_mac ipaddr 10.100.71.154 mac_address 00-E0-4C-68-FA-95 ports 1
enable address_binding trap_log
disable address_binding arp_inspection
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 1-28 mode arp stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-24 limit no_limit
config address_binding ip_mac ports 25-28 state disable allow_zeroip disable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 25-28 limit 5

MAC-адрес естественно оказывается в списках блокировки.
После удаления, MAC нормально получает IP по DHCP и, судя по всему, больше в него не попадает.
С чем это может быть связано?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт янв 28, 2010 14:47

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А связки статикой зачем прописываете?

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Чт янв 28, 2010 15:28

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

Чтобы работало как по DHCP, так и с вручную прописанным адресом.

На DHCP сервере прописан диапазон для гостевых ип (10.100.71.250-10.100.71.254). Адрес из этого диапазона может быть получен только по DHCP, и затем этот диапазон ограничивается ACL'ями. Поэтому включен DHCP Snooping.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт янв 28, 2010 15:51

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Одновременно эти режимы использовать нельзя.

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Чт янв 28, 2010 17:02

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

Т.е. при включенном DHCP Snooping добавлять статические записи вообще нельзя? Или их нельзя добавлять для тех IP, которые могут быть получены автоматически?

Это огорчает. В документации я не нашел об этом никаких упоминаний. Веб интерфейс тоже не выдает никаких предпреждений.

А в MIB'ах наоборот, очень подробно расписано поведение при добавлении статической связки с имеющимися DHCP связкам:

Цитата:

swIpMacBindingDHCPSnoopState OBJECT-TYPE
SYNTAX INTEGER {
enabled(1),
disabled(2)
}
MAX-ACCESS read-write
STATUS current
DESCRIPTION
"When the dhcp_snoop function is enabled, all address_binding
disabled ports will act as DHCP server ports (the switch will
learned IP address through DHCP server ports (by DHCP OFFER
and DHCP ACK packets)).

Note that the DHCP discover packets can not be passed through the
user ports if the allow_zeroip function is disabled on this port.

The auto-learned IP-MAC binding entry will be mapped to a specific
source port based on the MAC address learning function. This entry
will be created as an ACL-mode binding entry for this specific port.
Each entry is associated with a lease time. When the lease time
expires, the expired entry will be removed from this port. The
automatically learned binding entry can be moved from one port to
another port if the DHCP snooping function has learned that the MAC
address is moved to a different port.

Consider a case where DHCP snooping learns a binding entry, and the
same IP-MAC binding entry has been statically configured. Suppose
that the learned information is consistent with the statically
configured entry, then the automatically learned entry will not be
created. Supposing that the entry is statically configured in ARP
mode, since the automatically learned entry will be created in ACL
mode, the entry will become ACL mode. Supposing that the entry is
statically configured on one port and the entry is automatically
learned on another port, then both entries will exist.

When the dhcp_snoop function is disabled, all of the automatically
learned binding entries will be removed.
"
::= { swIpMacBindingCtrl 4 }

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт янв 28, 2010 17:06

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Укажите пожалуйста в личку Ваш телефон.

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Вт фев 09, 2010 15:04

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

terrible писал(а):

2) по идее да, если будет: conf addr ip_m ports 1-24 allow en

На этот вопрос ответ тоже - нет. Не пропускают коммутаторы не-IP пакеты, пока с данного MAC адреса не пройдет хотя-бы один пакет с правильным IP.

Нашел еще один баг (ну или особенность) DES-3028.

DES-3028 Build 2.42.B01

Код:

disable address_binding dhcp_snoop
create address_binding ip_mac ipaddr 10.100.14.141 mac_address 00-1C-C0-07-E7-DA ports 1
config address_binding ip_mac ports 1 state enable allow_zeroip enable forward_dhcppkt enable

Для заблокированных MAC Не работает auto-recovery по DHCP.
1. Останвливаем демон DHCP сервера.
2. Включаем комп. Ему винда по APIPA присваивает 169.254.x.x. MAC адрес попадает в блок лист
3. Включаем DHCP сервер.

При любых манипуляциях с компом, IP ему не присваивается. Пока MAC адрес находится в списке блокировки, коммутатор не пропускает от него DHCP запросы. Независимо от параметра forward_dhcppkt.

На DES-3526 такой проблемы нет: DHCP запросы пропускаются, адрес присваевается, MAC адрес автоматически удаляется из списка блокировки.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт фев 09, 2010 19:17

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

мак давно пора-бы удалять из списка блоков согласно fdb_aging_time, странно, что этого не наблюдается на 30хх

Вернуться наверх

Страница 1 из 3

[ Сообщений: 31 ]

На страницу 1, 2, 3 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 227

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения