Привет!

Есть некий клиент с адресом, допустим, 1.1.1.1, который он получает по DHCP раз в сутки, на коммутаторе доступа:





Все порты настроены так для IMPB:


На данного клиента с адресом 1.1.1.1 и DIR-100 с выключенным NAT в качестве CPE смаршрутизирована сетка 2.2.2.0/24.

Насколько я понимаю, в режиме ARP блокировка (т. е., попадание в таблицу blocked) происходит только при появлении ARP-пакета с левым source IP/source MAC, поэтому смаршрутизированная сетка должна работать без проблем (от спуфинга поможет уже URPF на PE-маршрутизаторе).

Однако возникает следующая проблема, иногда (когда - не выловил, но думается, что в моменты завершения lease и/или переполучения адреса), в логи начинает сыпаться:



На DHCP-сервере в это время:


Т. е., предположение следующее: клиент не переполучил адрес в 12:15, лиза на коммутаторе закончилась, в 12:18:13 он его получил, на него создалась запись в DHCP Snooping Entries и IP-MAC-Port Entries, в логи сыпаться сообщения перестали, но в blocked запись с MAC так и повисла, результат - ничего не работает. Пока что временно выключили IMPB на порту.

Логики пока что не уловил, поэтому прошу помочь разобраться в поведении IMPB.

И ещё одна замечаемая порой у клиентов проблема, воспроизвести самостоятельно не удаётся.

Допустим, есть абонент-должник с адресом 3.3.x.x, присваеваемым ему по DHCP после проверки наличия долга в SQL-запросе. Пополняет баланс, выполняется скрипт service activation, выключает и включает порт на коммутаторе с интервалом в 10 секунд, абоненту присваивается после этого айпишник 4.4.x.x по DHCP в случае отсутствия долга, при этом коммутатор тут же помещает MAC в MAC Block List, а в логах ругается на неавторизованную связку с адресом 4.4.x.x (хотя он был получен по DHCP). С чем это может быть связано?

Настройки IMPB на порту аналогичные вышеописанным.

В первую очередь нужно обновить прошивки на DIR-100 и DES-3528 до актуальных версий. На DES-3528 прошивку можно найти в первом сообщении темы: http://forum.dlink.ru/viewtopic.php?f=2&t=92700

Вы издеваетесь?! DIR-100 - это клиентское устройство, лезть мы туда, во-первых, не имеем права, а во-вторых, - оно должно работать, как и любое устройство, поддерживающее DHCP согласно соответствующим RFC.

Обновлять прошивку на "авось поможет" на нашей сети доступа из около 500 коммутаторов неприемлемо, особенно на ваши "бета-версии", особенно учитывая свойственные Вам изменения в SNMP MIB. Просим уточнить, по какой именно причине возникают данные проблемы на текущей прошивке, и однозначно сказать, были ли какие-либо изменения в последующих версиях, касающиеся IMPB, которые могли их устранить. В чэнджлогах 2.60.0.17 (последней версии, опубликованной на FTP, а не на каком-то Dropbox-е) ничего на данную тему нет.

UPD.: обновление до 2.71 на одном из коммутаторов, кажется помогло, *вроде бы*: link down стал приводить к удалению записи IMPB. Хайлайтнутые вопросы остаются актуальными.

Я Вам предложил обновить прошивку, так как в актуальных версиях реализован функционал IMPB v3.8, что означает, что IMPB был существенно доработан на этой серии. В Changelog для последней Release версии об этом есть упоминания.
P.S. Обновлять прошивку на всех коммутаторах сети конечно не стоит, всегда нужно проверять именно на одном из тех, где ситуация происходит.