чем этим?
как работает имбп в новых прошивках? что за другой принцип работы?

В режиме стрикт он отбрасывает пакеты и заносит невалидные МАС адреса в таблицу

это в старых прошивках так(я выше уже писал,что на новой прошивке в режиме стрикт невалидные маки НЕ пишутся в таблицу и лог!), а как теперь в новых прошивках работает механизм?

А режим loose Вы пробовали? В нём должны записываться,если я не ошибаюсь.

тут можно услышать внятный ответ, чем отличаются эти 2 режима?
и чем отличается работа импб в старых прошивках с работой в новых?

В Strict режиме идёт жёсткая блокировка недействительных ARP-ов.

В ранних версиях IMPB коммутаторы блокировали недействительную связку, но при этом заносили МАС адреса в FDB таблицу, что могло привести потери связи клиентов со шлюзом, так как МАС адрес мог появится на клиентском порту, в новой версии коммутатор отбрасывает пакеты с недействительными связками и не блокирует их, поэтому и не заносит в блок лист, но при этом не изучает недействительные МАС адреса на клиентских портах.

_________________
С уважением,
Бигаров Руслан.

спасибо за ответ.
но для ясности хотелось бы понять как работает loose режим на новых прошивках и на старых?
и еще вопрос на 3526 с последней прошивкой принцип работы импб изменился тоже?

Одинаково.



Пока нет.

_________________
С уважением,
Бигаров Руслан.

попробовал loose режим на новой прошивке - да,действительно, в логах появляются записи о блокировании.

вопрос был не в том - одинаково ли он работает на новой и старой прошивке. а вот в чем
на новой прошивке:
strict - полное отбрасывание невалидных арп без изучения
loose - отбрасывание невалидных арп с изучением(как я понял)

на старой прошивке:
strict - отбрасывание невалидных арп с изучением
loose - ???

Почему именно со "шлюзом"? Заносит FDB с типом BlockByAddrBind? А вообще я не совсем понял Вашу мысль. Что в этом плохого? Клиент использует неверные атрибуты - блокируется и лишается доступа к сети. Что не так?

Да.

_________________
С уважением,
Бигаров Руслан.

для 3200 impb работает также, как и для 3028?

Если Вы имеете ввиду IMPB v3.8, то нет, данная версия IMPB будет в следующих релизах.

_________________
С уважением,
Бигаров Руслан.

Руслан. Просто получается как в анекдоте - либо быстро, либо качественно. Теперь мы можем иметь надежную защиту в режиме strict, но не видеть, почему абонент не работает (может быть у него проблемы с ОС, а может быть его и address_binding зарубил), либо иметь ненадежную защиту в режиме loose (очень ненадежную: до тех пор, пока клиент не пошлет бродкаст, он замечательно будет работать с любой связкой IP-Mac!).

Я просто так и не понял, почему изменилось поведение IMPB в последнем релизе. Вы можете привести пример, когда старое поведение вызывает проблемы? При каких условиях это может произойти?

Я не совсем понимаю, что не понятного ... уже несколько раз расписывали эти ситуации ...

Клиент организовал кольцо на порту или подделал МАС адрес шлюза, IMP заблокировал невалидную связку, а также МАС шлюза будет заблокирован на клиентском порту, т.е. МАС пропадёт с uplink порта, клиенты на этом коммутаторе теряют свзяь со щлюзом и те, которые находятся за этим коммутатором.

В новой реализации коммутатор не блочит МАС адреса в FDB таблице и невалидные связки, а отбрасывает на лету. Относительный минус то, что коммутатор не логирует это, но с другой стороне при flood-е это излишне.

_________________
С уважением,
Бигаров Руслан.