Поискал на форуме и в faq, полностью нигде не нашел подробного описания "как это должно работать"

Имеется сегмент сети с DES-3028, к нему подключены мыльницы, к мыльницам - абоненты (2-3-5 шт)
Есть база действующих абонентов с ip mac и port (в 3028)
По простому нужно, чтобы абоненты "хотя бы" с соседних мыльниц не могли ставить чужой IP

create address_binding ip_mac ipaddress 10.10.4.1 mac_address 00:00:00:00:04:01 ports 4
create address_binding ip_mac ipaddress 10.10.4.2 mac_address 00:00:00:00:04:02 ports 4
create address_binding ip_mac ipaddress 10.10.5.1 mac_address 00:00:00:00:05:01 ports 5
create address_binding ip_mac ipaddress 10.10.5.2 mac_address 00:00:00:00:05:02 ports 5
......

config address_binding ip_mac ports 4 enable strict
config address_binding ip_mac ports 5 enable strict
при такой конфигурации с заданного порта 4 пропускаются ТОЛЬКО (IP) пакеты с указанными парами ip-mac (не IP пакеты пропускаются любые)

до этого места все понятно, а вот дальше непонятно

если пользователь на порту 4 ставит себе IP вместо 10.10.4.1 например 10.10.4.2, то его МАС блокируется (это я выяснил, подмена IP)
1) и не разблокируется, пока вручную из таблицы с заблокированными МАС его не удалить?
2) если пользователь на порту 4 с МАС отсутствующим в таблице ip-mac-port поставит себе IP который есть в таблице (попытка установить чужой IP неизвестным абонентом), его МАС заблокируют?
3) если пользователь на порту 4 с МАС отсутствующим в таблице ip-mac-port поставит себе IP которого нет в таблице (попытка установить неизвестный IP неизвестным абонентом), его МАС заблокируют?

если пользователь на порту 4 ставит себе МАС пользователя с порта 5 (00:00:00:00:05:01), блокируется МАС (00:00:00:00:05:01). Замечено, что в таблице заблокированных написано, что этот МАС заблокирован на порту 4, но по факту абонент с этим МАС порту 5 тоже не работает (Firmware: Build 2.41.B03), хотя у него верная связка ip-mac-port
4) это нормально?

5) верно ли я понимаю, что если хочу, чтобы на конкретном порту работали еще пользователи, которых нет в таблице ip-mac-port, нужно вместо strict указать loose?
5-1) как в таком случае будет происходить блокировка? По алгоритму "если ни ip ни МАС полученного пакета не присутствуют в таблице ip-mac-port, то пакет пропустить, иначе заблокировать МАС" или как-то иначе (к примеру, проверяется только ip или только MAC пришедшего пакета)?
6) за что отвечает параметр stop_learning_threshold? за количество адресов, которые могут быть на порту помимо указанных в таблице mac-ip-port?


ну или можно не отвечать на вопросы, а кинуть мануалом, где рассмотрены эти моменты
предположения конечно у меня есть, но хочется точно знать, как это работает, прежде чем внедрять

1,2,3 - да

нет. Чтобы работали непрописанные пользователи нужно вообще выключить impb

Максимальное количество адресов, которое может быть заблокировано на порту.

Запросите последнюю прошивку в соответсвующей теме и после перепрошивки используйте ACL режим IMPB, с ним коммутатор вообще не будет изучать МАК адреса заблокированных клиентов и будет пропускать только пакеты с валидными парами IP-MAC.

тогда еще вопрос - чем отличаются strict от loose
и все таки по вопросу 4. если я поставлю на своем порту МАС соседа (сидящего на соседнем порту DES-3028), то он заблокируется и у соседа не будет связи?

хм... а чем отличается strict ACL от strict не-ACL?..

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

strict пропускает только валидные пакеты, loose - блокирует только невалидные.


Нет, у соседа не заблокируется.

Поведение работы IMPB завист от версии, в более новых версиях прошивок стоит новая версия IMPB, т.е. когда Вы настроите ACL strict mode, то коммутатор не будет блокировать клиентов, которые занимаются подменой трафика, а будут просто отбрасывать данный трафик, тем самым не будет блокироваться и валидный клиент.

Я советую Вам обновить прошивку.

P.S.: 2 trublast > Ваши клиенты через VPN выходят в Интернет?

_________________
С уважением,
Бигаров Руслан.

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Всё зависит от того, какой режим Вы используете: ARP, ACL или DHCP Snooping

_________________
С уважением,
Бигаров Руслан.

Новую прошивку получил, буду пробовать. В моей версии при блокировке невалидного МАС он блокировался на всех портах. Что, собственно, очень нежелательно, так как злоумышленник может запросто блокировать абонентов на соседних портах, просто вписывая себе их МАСи.

Через ассиметричный VPN. Т.е. запросы уходят через обычный ethernet-ip без инкапсуляции в тоннель, а ответ из внешки роутер отправляет через VPN-соединение. Если ответ из локала-пиринга (а это в основном "бесполезный" р2р-трафик), то чтобы не грузить VPN-сервер ответ идет без VPN, напрямую к абоненту.

DHCP Snooping. какие при этом различия в работе ACL и не-ACL? речь, ессесно, про strict mode

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.