вот так и живем уж третитй год пошел

Вопрос к техю поддерждке: то что на DES-3028 не пропускаются DHCP запросы с хаблокированных MAC адресов - это все таки баг, или особенность коммутатора?

Такое поведение исправлялось в прошивке 2.50.B08, можете запросить в соответствующей теме.

ну значит будем через месяц-другой спрашивать, пока остаёмся на 2.40b08, а то мало-ли глюков новых прибавится....

Кхм. Действительно, похоже, исправлено, спасибо.

Но теперь MAC адреса в блок листе не отображаются вообще.
И в логах с включенным trap_log не фиксируются :/

Согласно новому дизайну функции IMPB маки заблокированных клиентов в режиме strict более не заносятся в FDB. Посмотреть заблокированных можно только, если используется режим loose.

Ну вот о чем я и говорил

А по поводу логов? В обоих ли режимах IP-MAC попадает в лог?

А на 3526/3550 в новых прошивках тоже такой же дизайн будет?

terrible, в strict режиме в лог ничего не попадает

Ну отсутствие списка заблокированных маков можно ещё пережить, а отсутствие логирования - это очень плохо. Хотелось бы чтобы была реализация как в старом добром 3526. А то получается нормально залочить абонента на порту можно, а диагностировать причину блокировки (смена мака и/или IP) нельзя.
Пока вижу только один выход - откат на старую прошивку и флушить раз в пару секунд блоклист.

О каком списке заблокированных идёт речь? IMPB v3.8 в strict режиме никого не блокирует, а занимается фильтрацией на лету так сказать. Плюс ARP Spoofing Prevention нормально отрабатывает по защите шлюза, и из-за того, что клиенты не блокируются, МАС шлюза не пропадает с uplink порта. Если Вас не устраивает такое поведения коммутатора, то Вы можете использовать R2.41 и наслаждаться расширяющимся списком заблокированных пользователей и всеми последствиями от этого.

_________________
С уважением,
Бигаров Руслан.

Руслан, это всего-лишь вопросы, не более, чисто ради уточнения работы.

Если в strict режиме никого не блокирует, а занимается лиш фильтрацией, то можно ли как-нибудь выдрать статистику по фильтрации?

Какую именно!? Какая связка IP+MAC не подошла под заданную?

_________________
С уважением,
Бигаров Руслан.

Раньше в списке FDB были абсолютно все MAC адреса (если не учитывать глюк с хешированием).
По нему можно было фиксировать появление левых MAC адресов в сети, добавлять новые привязки, и т.п.
Теперь на порту с включенным IMB невозможно увидеть MAC вне списков доступа. Ее нужно будет отключать на какое-то время.

Не помешала бы cтатистика, или лог - IP-MAC адреса (либо даже просто MAC), которые не пропустил фильтр IMB.

PS: Теперь, зато, понятно, почему не пропускается PPPoE в strict. Действовало 2 фильтра: 1. Блок лист в FDB 2. внутренний фильтр IMB.

Я Дёмину Ивану писал как-то, но почему-то ответа не долждался. Имею в виду следующее, по поводу статистики: чтобы были счётчики мак-порт + количество несовпадающих с IMB пакетов. Ну и обнуление таковых при получении валидных пакетов с мака (ну допустим более 10).

А есть прошивка с исправенным глюком с DHCP и с включенным блок-листом в strict?