Проблема. При настройке DGS-1100-24 потребовал установить default gateway, утверждая что заводская установка 0.0.0.0 - "invalid". Пришлось прописать. Теперь устройство ищет этот gateway во всех настроенных VLAN'ах, отправляя ARP-пакет в каждую сеть каждые 5 минут. В результате оборудование мониторинга сети тут же орёт что в сети появилось устройство с неправильным IP-адресом (не принадлежащим соответствующим сегментам сети).

Вопросы.

1. Как заставить DGS-1100 забыть про default gateway - нужен он только для того чтобы настраивать его с "неродного" сетевого сегмента. Я бы хотел чтобы такой возможности вообще не было, чтобы доступ к устройству можно было получить только из его сегмента сети. Решение этого вопроса решило бы и вопрос про "неправильные" ARP-пакеты, т.к. не нужно было бы постоянно искать этот gateway.

2. Зачем устройству этот самый default gateway, и зачем его искать каждые 5 минут?

3. Можно ли либо указать ему тот vlan в котором искать default gateway (наверное vlan#1?), либо сделать так чтобы искался он в том vlan'е, в котором на его ARP-запросы кто-то ответил, а не во всех? Например, после включения шлём по всем как он делает сейчас, а потом - только в том, в котором был ответ при предыдущем запросе. Если в очередной раз никто не ответил, то можно снова по всем спросить... Конечно, явное указание в каком vlan'е это искать, на мой взгляд, предпочтительнее.

Ну и напоследок. Я не смог поменять vlan#1, как тут кому-то отвечали. Нет в интерфейсе такой вкладки - management vlan.

Звонил по этим вопросам вчера по телефону, Ответил Артём Колпаков, порекомендовал попробовать последнюю прошивку, и если не заработает, то написать в форум. Сегодня прошил последней B13, но ровным счётом ничего не изменилось...

Спасибо.

Вижу ситуацию на стенде, я отпишу о ней в ШК.
Как только будут новости я обязательно сообщу.

Ситуация следующая.
Оставить пустым поле Default Gateway нельзя. На DES-1100 для примера оно изначально не пустое.
Относительно ARP.
Так как у серии DGS-1100 нет managment vlan (и не планируется ближайшее время) ipif System доступен из всех vlan, настроенных на коммутаторе, и поэтому рассылка arp от его имени идет по всем vlan. Запретить рассылку arp до несуществующего gateway нельзя, поэтому удалось достигнуть компромисса: пауза между arp request будет увеличена до 60 секунд.

Там не пустой gateway по-умолчанию, там он забит всеми нулями (0.0.0.0). Если это значение оставить как оно есть с завода, то "Apply" в настройках IP нажать не получится - он будет ругаться на неправильный gateway. Но это, понятно, уже придирки к ответу, суть не меняется - запретить default gateway нельзя. Более того, похоже что и сохранённый конфиг в котором стоит заводская настройка этого gateway загрузить тоже нельзя, но я не уверен -- сейчас не могу проверить.

А ситуация получается довольно интересная. Т.е. свитч слушает во всех vlan'ах, и им можно отовсюду управлять, нужно только пароль подобрать. Vlan'ы часто используются для того чтобы отделить "плохие" сегменты сети от "хороших". И собственно то самое устройство которое призвано это отделение делать само подвержено атакам со стороны "плохих" сегментов, и отфильтровать их не умеет, и более того, рассылая ARP'шки оно как-бы приглашает себя поломать немного...

Я вот тут понял что у меня это устройство в результате видно снаружи, правда только с ближайших устройств, т.к. его внутренний адрес (10.xxx) не маршрутизируется - благодаря собственно тому что нет управляющего vlan'а и оно ищет default gateway везде...

Может, всё-таки, есть смысл сделать ограничение по vlan'у - с какого из них вообще принимать управление? Там бы и программа упростилась чуть-чуть, цикла бы не было по всем vlan'ам при рассылке ARPшек... (зато в интерфейсе придётся добавить одну опцию).

Спасибо за ответ, пошел пароль менять на более сложный...

Смысл есть - но этот функционал называется Managment vlan, и, как я уже писал - в ближайшее время на этой серии, к сожалению, не планируется.

Можно попробовать указать шлюзом IP самого свича, либо 127.0.0.1, 127.0.0.2 - но дело может кончится потерей управления в принципе.
Ещё по DHCP можно не выдавать шлюза по умолчанию.

Для этого и DGS-1210 серии планируется IPv6 хотя бы для менеджмента?

Не планируется.

Не получается, он ругается что "Gateway must not be equal to IP" или "Invalid Gateway". Так что не кончится.


Ага, и при этом он будет по DHCP снова во все vlan'ы запросы слать, это даже ещё более интересно чем ARPшки.

Вообще я честно говоря не знаю что делать. Вопёж остального оборудования можно придушить, но эти сообщения были полезными, регулярно юзеры что-то не то делали и это отлавливалось, теперь за общим шумом, издаваемым вот этими ARPшками уже ничего другого не слышно, все логи им забиты.

Может сделать возможность не задавать gateway?

Эээ. Я только сейчас понял.. А ведь к нему можно с любого vlan'а прийти, если в нём поставить IP-адрес из его подсети, т.к. vlan-то он и не проверяет. При этом оборудование тоже будет орать о неправильных пакетах, -- хоть это хорошо. Так что придавливать это журналирование нельзя, нужно фильтровать.

Однозначно нужно делать management vlan. Иначе это дырка сплошная получается...

Michael Tokarev
Обновите прошивку и укажите какой-нибудь default gateway, неважно, какой. Рассылку arp пофиксили в v1.00.B15

Ок. После обновления постоянные рассылки ARP-запросов прекратились. Он всё равно рассылает ARP-шки также как и раньше, по всем VLAN'ам, но теперь только по необходимости, т.е. когда к нему обращаются из не его подсети, -- т.е. как и должно быть. Безопасности это не добавило, но ругань в журналах вылечилась.

Default gateway всё равно не даёт выставить в значение по-умолчанию (все нули) - можно ещё эту возможность сделать, чтобы можно было оставить default gateway со значением по-умолчанию, 0.0.0.0?

Спасибо!

/mjt

Как я уже писал, оставить поле Default Gateway пустым (значения 0.0.0.0) нельзя

у меня DGS-1100-16 - где новые прошивки то брать? на ФТП ничего нет отродясь