1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 06, 2025 18:49

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 28 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
Denis Evgraphov
СообщениеДобавлено: Пт ноя 19, 2010 11:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Укажите, пожалуйста, Ваши настройки в плане port_security
Вернуться наверх
 Профиль  
 
mace
СообщениеДобавлено: Пт ноя 19, 2010 18:36 
Не в сети

Зарегистрирован: Пн июн 05, 2006 18:36
Сообщений: 89
Откуда: Kiev
На 1 первом порту занесено два МАС адреса:
Код:
Command: show fdb

Unicast MAC Address Aging Time  = 300

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-00-00-00-00-11  1   Permanent
1    default                          00-1B-38-17-09-37  1   Permanent

Вот настройки Port Security:
Код:
Command: show port_security

Port_security Trap/Log : Disabled

Port   Admin State   Max. Learning Addr.  Lock Address Mode
----   -----------   ------------------   -----------------
1      Enabled       2                    Permanent
2      Disabled      0                    DeleteOnTimeout
3      Disabled      0                    DeleteOnTimeout

Включаю в 1-й порт левый МАС и пакеты проходят!
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн ноя 22, 2010 11:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Нужно сделать:
Код:
config port_security ports 1 admin_state enable max_learning_addr 0
Вернуться наверх
 Профиль  
 
mace
СообщениеДобавлено: Пн ноя 22, 2010 12:05 
Не в сети

Зарегистрирован: Пн июн 05, 2006 18:36
Сообщений: 89
Откуда: Kiev
Но ведь мне надо на порт более 1 Мас адреса забивать на порт, поэтому я не ставил max_learning = 0
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн ноя 22, 2010 12:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Попробуйте, пожалуйста. И Вы имеете в виду динамические записи или уже статически прописанные в FDB записи?
Вернуться наверх
 Профиль  
 
mace
СообщениеДобавлено: Пн ноя 22, 2010 12:38 
Не в сети

Зарегистрирован: Пн июн 05, 2006 18:36
Сообщений: 89
Откуда: Kiev
Конечно я пробовал сделать, но раз вы просите, еще раз сделаю (возможно, мог ошибиться).
Все Мас адреса Статически прописываются в таблицу fdb.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн ноя 22, 2010 12:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Это первый момент. И второй: Вы проверяете работу port_security пингом между клиентами подключенными за одним портом DES-3028 или между заблокированными клиентами на разных портах DES-3028?
Вернуться наверх
 Профиль  
 
mace
СообщениеДобавлено: Пн янв 17, 2011 13:32 
Не в сети

Зарегистрирован: Пн июн 05, 2006 18:36
Сообщений: 89
Откуда: Kiev
Забыл ответить.
На свитче выставил следующие настройки:
1) В разделе Port Security:
- Port: номер порта на который надо включить Security
- Admin State = Enabled
- Max Learning Address = 0
- Lock Address Mode = Permanent
2) Unicast Forwarding:
create fdb default C8:0A:XX:XX:XX:XX port XX

После чего Port Security протестирован на DES-3028 и DES-3526 - реально работает.
Большое спасибо за ответы :)

P.S. Жаль, что на DGS-3100 нельзя вносить Static MAC адреса или по схожей схеме из-за разных чипов. В Украинском представительстве D-link мне сказали, что на этом свитче можно реализовать только обычный Port Security, который не подходит и из-за этого я создал этот топик.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн янв 17, 2011 16:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Рад слышать, что разобрались!
Вы имеете в виду то, что на DGS-3100 Max Learning Address должен быть больше нуля?
Вернуться наверх
 Профиль  
 
mace
СообщениеДобавлено: Пн янв 17, 2011 18:14 
Не в сети

Зарегистрирован: Пн июн 05, 2006 18:36
Сообщений: 89
Откуда: Kiev
Должен быть = 0. Чтобы можно было на порт добавлять неограниченное кол-во адресов, как это делается на 3526 и 3028 (до 256 МАС).
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн янв 17, 2011 18:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На DGS-3100 Max Learning Address не может принимать нулевого значения. На данной серии задачу можно решить при помощи ACL.
Вернуться наверх
 Профиль  
 
mace
СообщениеДобавлено: Пн янв 17, 2011 18:34 
Не в сети

Зарегистрирован: Пн июн 05, 2006 18:36
Сообщений: 89
Откуда: Kiev
Можете выложить примеры написания ACL для какого-то конкретного МАС адреса и порта.
Через веб и Cli можно будет впоследствии видеть внесенные МАС адреса через ACL?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Вт янв 18, 2011 10:11 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Ниже приведенные правила разрешают клиента с MAC-адресом 00-01-02-03-04-05 на первом порту, другие MAC-адреса на первом порту запрещены.
Код:
create access_profile profile_id 1 ethernet source_mac ff-ff-ff-ff-ff-ff
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac 00-01-02-03-04-05 port 1 permit

create access_profile profile_id 2 ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 2 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1 deny
Через CLI можно смотреть правила при помощи команды "sh access_profile". Также просмотреть правила можно и через WebUI. Более подробно можете почитать в документации для данной серии: ftp://ftp.dlink.ru/pub/Switch/DGS-3100%20Series/Description/
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 28 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 156

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB