Здравствуйте.

Сегодня Сергей Колосов прислал по моей просьбе на форуме самую последнюю прошивку для DGS3200-10, и вот что я обнаружил.

Дано:
Device Type : DGS-3200-10 Gigabit Ethernet Switch
MAC Address : 00-1C-F0-92-43-95
IP Address : 192.168.0.254 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.0.1
Boot PROM Version : Build 1.00.B012
Firmware Version : Build 1.61.B004
Hardware Version : A1

В порту 1 компьютер (IP 192.168.0.4), в порту 7 шлюз DFL-210 (IP 192.168.0.1, MAC 00-15-E9-6C-DF-45).

После установки новой прошивки пропал Интернет. До этого стояла прошивка 1.50b19, никаких проблем. Начинаю разбираться. В конфиге строчка:

С этой строчкой DGS блокирует ARP ответы от 192.168.0.1. Даже если указать в правиле порты 3-6, то ARP ответ с порта 7 все равно не пройдет на порт 1. Убираем arp_spoofing_prevention - ARP ответы от шлюза проходят, доступ в Интернет появляется.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Указывайте в настройке порт, куда подключен шлюз.

Я такой вариант тоже делал. Блокирует.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Не могу подтвердить.

Выслал Вам последнюю прошивку.

Александр, спасибо за прошивку. Только я не понял, почему она последняя? Вы мне прислали 1.50.b038, а сейчас у меня стоит 1.61b004. Может, мне прислать свой конфиг? Все-таки Вы тестировали на дефолтном конфиге, наверное, а?

P.s. И я напоминаю, что при одном и том же конфиге, но на разных прошивках, свитч ведет себя также по-разному. Т.е. на 1.61 блокирует ARP ответы шлюза, если включена ARP spoofing, а, например, на 1.35 нет. Проверю на 1.50....

UPD: проверил на 1.50b038. ARP ответ от шлюза режется свитчом. При этом пинг в консоли самого DGS нормально проходит от шлюза. Может, я неправильно понимаю работу этой команды? Как я понял, свитч допускает ARP ответы конкретного IP с конкретным MAC и на конкретном порту. Верно?

И я не понимаю, почему вот здесь - viewtopic.php?p=362153#362153 - Иван Демин пишет, что необходимо указывать клиентские порты, а не там, где шлюз.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Иван правильно написал, но видимо в последней версии что-то поменяли. Я запросил ШК и напишу как получу ответ.

Баг в прошивке, будет исправлен 12 марта.
Пока посоветовали сделать настройку

Она поможет обойти проблему.

Неа, не поможет. Также режет. Отключил и подожду 12 марта. Спасибо.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

скажите, в arp_spoofing_prevention в ports что надо писать? порты, на которых фильтровать, или порты, на которых может шлюз появиться?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Обычно клиентские порты.

_________________
С уважением,
Бигаров Руслан.

хм... я прописал аплинки... уже три дня всё нормально работает... а должно было бы не пускать шлюз к клинетам?.. ЧЯДНТ?..

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Это на каком коммутаторе?

_________________
С уважением,
Бигаров Руслан.

3028, fw 2.41

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

А тема про другой коммутатор.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

спасибо, конечно, но неужели реализация функции так кардинально отличается?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.