Добрый день.
Переезжаем с DES-3526 на DES-3528. Используется IMPB. Есть участки сети, которые сегментируются из плоской модели в сегмент и прибиваются по IP+MAC (за портами бывают мыльницы).
Происходит это так:
1. Включаем IMPB;
1a. Так как IPMB связок нет, лог быстро наполняется информацией о них, где IP+MAC. Дальше это все распарсивается и прописывается агентом по телнету.
1b. Если же каким-то образом не получилось прологировать (забыли прописать сислог/потеряли сеть), то связки появлялись в blocked, которые можно удалить из этой таблицы и лог опять наполнялся информацией.
Схема работала на DES-3526 идеально.
1.
ACLПоставили на тест DES-3528:
Код:
Device Type : DES-3528 Fast Ethernet Switch
MAC Address : 00-1E-58-50-16-30
IP Address : 10.254.155.25 (Manual)
VLAN Name : management
Subnet Mask : 255.255.0.0
Default Gateway : 10.254.0.1
Boot PROM Version : Build 1.00.B007
Firmware Version : Build 2.63.B030
Hardware Version : A1
Serial Number : P1UM186000012
System Name : DES-3528
Есть условный абонент:
Код:
IP: 10.1.10.253
MASK: 255.255.255.0
GW: 10.1.10.1
IMPB логируется:
Код:
Command: show address_binding
Trap/Log : Enabled
DHCP Snoop(IPv4) : Disabled
DHCP Snoop(IPv6) : Disabled
ND Snoop : Disabled
Настройки IPMB порта 24:
Код:
Command: show address_binding ports 24
Port IPv4 IPv6 Mode Zero IP DHCP Packet Stop Learning
State State Threshold/Mode
----- -------- -------- ---- --------- ----------- --------------
24 Loose Disabled ACL Allow Not Forward 500/Normal
В 24 порт коммутируем абонента и получаем:
Код:
3 2011-07-20 13:00:33 WARN(4) Unauthenticated IP-MAC address and discarded b
y ip mac port binding(IP:<10.1.10.253>, MAC:<0
0-1B-21-80-EE-C8>, Port<24>)
2 2011-07-20 13:00:33 INFO(6) Port 24 link up, 100Mbps FULL duplex
Все правильно, связки такой нет. Но почему:
Код:
Command: show address_binding blocked all
VID VLAN Name MAC Address Port
---- -------------------------------- ----------------- ----
Total Entries : 0
Почему заблокированного MAC-адреса нет в таблице blocked?Прописываем связку:
Код:
Command: create address_binding ip_mac ipaddress 10.1.10.253 mac_address 00-1B-21-80-EE-C8 mode acl ports 24
Success.
Трафик пошел. Все хорошо.
Теперь у абонента
меняем IP-адрес на 10.1.10.252. Выполнил в тупую в настройках сетевой карты, в этот момент у меня был запущен пинг:
Код:
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Да, пинг пропал - все правильно: IP не правильный.
Но в логе ничего не поменялось, как была последняя запись под номером три, так и осталась:
Код:
Command: show log
Index Date Time Level Log Text
----- ---------- -------- ------- ----------------------------------------------
3 2011-07-20 13:00:33 WARN(4) Unauthenticated IP-MAC address and discarded b
y ip mac port binding(IP:<10.1.10.253>, MAC:<0
0-1B-21-80-EE-C8>, Port<24>)
2 2011-07-20 13:00:33 INFO(6) Port 24 link up, 100Mbps FULL duplex
1 2011-07-20 13:00:30 INFO(6) Port 23 link down
То есть коммутатор не залогировал, что появился новый Unauthenticated IP-MAC.
Но почему же тогда в таблице blocked так же нет MAC-адреса:
Код:
DES-3528:admin#show address_binding blocked all
Command: show address_binding blocked all
VID VLAN Name MAC Address Port
---- -------------------------------- ----------------- ----
Total Entries : 0
Почему коммутатор не фиксирует в логе и в таблице blocked ситуацию со сменой IP-MAC.
Получается что, если кто-то поменяет себе реквизиты, а операторы это не зафиксируют и не примут меры. Но коммутатор трафик не пропустит.2.
ARPПри использования режима ARP, коммутатор зафиксирует смену IP и в таблицу blocked записывает MAC-адрес. Если постоянно менять IP, то в логе каждая попытка отражается.
Все хорошо. Но есть один момент.
Если режим IPMB (ARP) включить на порту и скоммутировать туда абонента (нового, у которого нету записи IP-MAC) - коммутатор зафиксирует Unauthenticated IP-MAC и заблокирует трафик. Это правильно.
Если привязка IP-MAC существует на порту и включен режим IPMB, то при удалении связки IP-MAC, трафик не блокируется и продолжает коммутироватся.
Настройки 23 порта:
Код:
Command: show address_binding ports 23
Port IPv4 IPv6 Mode Zero IP DHCP Packet Stop Learning
State State Threshold/Mode
----- -------- -------- ---- --------- ----------- --------------
23 Loose Disabled ARP Allow Not Forward 500/Normal
Таблица IP-MAC:
Код:
Command: show address_binding ip_mac all
M(Mode) - D:DHCP, N:ND S:Static ST(ACL Status) - A:Active I:Inactive
IP Address MAC Address M ST Ports
--------------------------------------- ----------------- -- -- ---------------
10.1.10.253 00-1B-21-80-EE-C8 S I 23
Абонент работает:
Код:
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Ответ от 10.1.10.1: число байт=32 время=1мс TTL=255
Удаляем IP-MAC:
Код:
Command: delete address_binding ip_mac all
Success.
Command: show address_binding ip_mac all
M(Mode) - D:DHCP, N:ND S:Static ST(ACL Status) - A:Active I:Inactive
IP Address MAC Address M ST Ports
--------------------------------------- ----------------- -- -- ---------------
Total Entries : 0
Абонент продолжает пинговать шлюз.
Если выключить порт и включить. Коммутатор заблокирует неизвестный IP-MAC и не будет пропускать трафик пока ее не пропишут.
Нормальное ли это поведение коммутатора?
Вход
Регистрация
FAQ
Поиск
