1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 01:58

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 4
  [ Сообщений: 51 ]  На страницу 1, 2, 3, 4  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
InventoR
СообщениеДобавлено: Ср ноя 23, 2011 15:23 
Не в сети

Зарегистрирован: Ср дек 12, 2007 16:44
Сообщений: 108
Собственно, к клиента стоит роутер dlink dir-300 и компьютера, на этих настройках работает нормально ряд других свичей, но вот какие-то траблы полезли с этим клиентом.
Свич DES-3200-10

Код:
^M
config address_binding ip_mac ports 1 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 1 limit 5^M
config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 2 limit 5^M
config address_binding ip_mac ports 3 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 3 limit 5^M
config address_binding ip_mac ports 4 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 4 limit 5^M
config address_binding ip_mac ports 5 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 5 limit 5^M
config address_binding ip_mac ports 6 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 6 limit 5^M
config address_binding ip_mac ports 7 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 7 limit 5^M
config address_binding ip_mac ports 8 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 8 limit 5^M
config address_binding ip_mac ports 9 state disable allow_zeroip disable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 9 limit 5^M
config address_binding ip_mac ports 10 state disable allow_zeroip disable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 10 limit 5^M
enable address_binding dhcp_snoop^M
enable address_binding trap_log
^Mdisable address_binding arp_inspection^M


Код:
^M
enable dhcp_relay^M
config dhcp_relay hops 4 time 0 ^M
config dhcp_relay option_82 state enable^M
config dhcp_relay option_82 check disable^M
config dhcp_relay option_82 policy keep^M
config dhcp_relay option_82 remote_id default^M
config dhcp_relay add ipif System 192.168.240.1^M
^M
# DHCP_LOCAL_RELAY^M
^M
disable dhcp_local_relay^M
config dhcp_local_relay vlan vlanid 1024 state enable ^M
^M
# NDP^M


В логих валит с клиента:
Код:
Nov 23 10:58:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:01:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:02:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)

Код:
Nov 23 14:04:02 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.186.214, MAC: C8-0A-A9-82-76-D4, Port: 1)


Клиент говорит что также включал шнурок в стационарник с Windows 7


Сеть обычная звезда, пока без кольца.
Отдельный управляющий vlan на все сетевое оборудование.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Ср ноя 23, 2011 16:07 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Цитата:
192.168.0.103, MAC: 00-1D-7D-01-7E-D4

Это правильные IP адрес и MAC клиента?

Какая прошивка на роутере?
Вернуться наверх
 Профиль  
 
InventoR
СообщениеДобавлено: Ср ноя 23, 2011 17:58 
Не в сети

Зарегистрирован: Ср дек 12, 2007 16:44
Сообщений: 108
к сожалению добиться чего-то внятного от клиента пока не удалось.
да, все так как и есть, ничего не изменялось.
а что?
Вернуться наверх
 Профиль  
 
InventoR
СообщениеДобавлено: Пт ноя 25, 2011 11:07 
Не в сети

Зарегистрирован: Ср дек 12, 2007 16:44
Сообщений: 108
В общем по истечению недели вижу что работа связки ip port snoop binding проходит криво косо из-за кривости ряда клиентов.
есть мысль уйти просто на acl с привязкой ip+port чтобы избавиться от этого гемороя.

причина ряда проблема в клиентских ПК где сеть поднимается не во время загрузки ПК, а после и как итог, клиентский ПК начинает слать запросы до инициализации сети.
Вернуться наверх
 Профиль  
 
Gerasimello
СообщениеДобавлено: Пт дек 02, 2011 09:38 
Не в сети

Зарегистрирован: Вт окт 24, 2006 22:25
Сообщений: 114
InventoR писал(а):
В общем по истечению недели вижу что работа связки ip port snoop binding проходит криво косо из-за кривости ряда клиентов.
есть мысль уйти просто на acl с привязкой ip+port чтобы избавиться от этого гемороя.

Не факт, что геморрой покинет вас.
В нашей сети IP выдаются абонентам по DHCP на основании MAC-адреса. Порт 25 - аплинк, 1-24 порты абонентские. Имеем такую настройку:
Цитата:
disable address_binding dhcp_snoop
create address_binding ip_mac ipaddr 10.10.10.10 mac_address 00-01-54-0E-3E-45 ports 1
create address_binding ip_mac ipaddr 110.10.10.11 mac_address 00-24-78-84-78-0C ports 2
enable address_binding trap_log
enable address_binding arp_inspection
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 1-24 mode acl stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-26 limit 5
config address_binding ip_mac ports 25-26 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 25-26 mode arp stop_learning_threshold 500

На свичах DES-3200-26 была прошивка Firmware: Build 1.33.B006. Всё работало нормально. Залили Firmware: Build 1.52.B009. После такого апгрейда некоторые абоненты продолжают работать нормально, но на некоторых вылез косяк - IP адрес абонент получает, соответственно в логах IP-MAC Binding не ругается, но порт трафик не пропускает. Восстанавливаем работоспособность таких абонентов удалением привязки IP-MAC и забиванием ее заново.
После перепрошивки на Firmware: Build 1.52.B009 секция ADDRBIND конфига стала выглядеть вот так:
Цитата:
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 1-24 mode acl stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-26 limit 5
config address_binding ip_mac ports 25-26 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 25-26 mode arp stop_learning_threshold 500
disable address_binding dhcp_snoop
create address_binding ip_mac ipaddr 10.10.10.10 mac_address 00-01-54-0E-3E-45 ports 1
create address_binding ip_mac ipaddr 110.10.10.11 mac_address 00-24-78-84-78-0C ports 2
enable address_binding trap_log

В конфиге с Firmware: Build 1.52.B009 пропала строчка enable address_binding arp_inspection, т.к. такую команду свитч уже не понимает.
Помогите, плиз, подправить конфиг так, чтобы всё работало без проблем.
Вернуться наверх
 Профиль  
 
InventoR
СообщениеДобавлено: Пт дек 02, 2011 11:01 
Не в сети

Зарегистрирован: Ср дек 12, 2007 16:44
Сообщений: 108
Моя проблема в том что:

Код:
lease 192.168.21.17 {
  starts 5 2011/12/02 07:28:12;
  ends 5 2011/12/02 13:28:12;
  binding state active;
  next binding state free;
  hardware ethernet 00:30:67:54:1e:d1;
  uid "\001\0000gT\036\321";
  option agent.circuit-id 0:4:3:fd:0:7;
  option agent.remote-id 0:6:f0:7d:68:a3:9:ac;
}
lease 192.168.21.17 {
  starts 5 2011/12/02 07:28:23;
  ends 5 2011/12/02 13:28:23;
  binding state active;
  next binding state free;
  hardware ethernet 00:30:67:54:1e:d1;
  uid "\001\0000gT\036\321";
  option agent.circuit-id 0:4:3:fd:0:7;
  option agent.remote-id 0:6:f0:7d:68:a3:9:ac;
}


И не пойму, какого это проиходит, почему клиент 2 раза, а то и больше присылает запрос на выдачу адреса и делается запись о выдаче лизы, и как вижу и понимаю предыдущая лиза еще работает. От сюда и возникает блокировка порта клиента, ведь лиза выдана, счетчик тикает, и тут клиент через 1сек или 10 минут присылает повторный запрос на выдачу лизы. Как это так? может у кого будут какие мысли? такая ситуация происходит примерно с половиной клиентов, а вторая половина работает абсолютно нормально.
Вернуться наверх
 Профиль  
 
xcme
СообщениеДобавлено: Сб фев 11, 2012 12:21 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
Имеем DES-3200-28 FW 1.60.B008. Включен IMPB + DHCP Snooping.
Код:
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 1-28 mode acl stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-24 limit 8
config address_binding dhcp_snoop max_entry ports 25-28 limit no_limit
enable address_binding dhcp_snoop
enable address_binding trap_log

В целом все хорошо, но, как обычно, не без странностей.
Такое впечатление, что функционал периодически блокирует некоторых абонентов, ничего при этом не сообщая в лог. Валидная связка при этом в памяти есть.
Выключил IMPB на порту такого абонента - он мгновенно запинговался, все ок. После этого заметил одну особенность: на маршрутизаторе в arp-таблице записи все абонентов живут свой срок, затем устаревают, обновляются заново и так по кругу, а у этого age почти всегда равен 0, иногда 1 или 2 минуты. Получается что абонент сам обновляет запись на маршрутизаторе, отсылая arp-пакеты, за которые коммутатор блокирует его, если включен IMPB? Нормальное ли это поведение и кто виноват? Послушать трафик абонента возможности нет - он очень далеко и подключен через транзитного оператора.

p.s. На стенде воспроизводил ситуацию с arp-флудом - действительно, коммутатор блокирует arp-флуд, но сеть при этом доступна. Т.е. воспроизвести целиком не удалось.

_________________
D-Link Switches: Tips & Tricks
Вернуться наверх
 Профиль  
 
xcme
СообщениеДобавлено: Сб фев 11, 2012 18:34 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
Нет, все же все плохо. :twisted: IPMB необъяснимым образом блокирует трафик у некоторых абонентов.
Как написано выше:
Код:
...некоторые абоненты продолжают работать нормально, но на некоторых вылез косяк - IP адрес абонент получает, соответственно в логах IP-MAC Binding не ругается, но порт трафик не пропускает.

Выключаешь IMPB на порту - все начинает работать.
Чувствую, что придется отказываться от этого функционала. Нормально он работает только на стенде :|

_________________
D-Link Switches: Tips & Tricks
Вернуться наверх
 Профиль  
 
InventoR
СообщениеДобавлено: Сб фев 11, 2012 22:03 
Не в сети

Зарегистрирован: Ср дек 12, 2007 16:44
Сообщений: 108
давно пора, acl на порт решает все.
Вернуться наверх
 Профиль  
 
xcme
СообщениеДобавлено: Вс фев 12, 2012 15:59 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
InventoR писал(а):
И не пойму, какого это проиходит, почему клиент 2 раза, а то и больше присылает запрос на выдачу адреса и делается запись о выдаче лизы, и как вижу и понимаю предыдущая лиза еще работает.Отсюда и возникает блокировка порта клиента, ведь лиза выдана, счетчик тикает, и тут клиент через 1сек или 10 минут присылает повторный запрос на выдачу лизы. Как это так? может у кого будут какие мысли? такая ситуация происходит примерно с половиной клиентов, а вторая половина работает абсолютно нормально.

Можно поподробнее прокомментировать выделенный кусок? В момент отправки запроса связка IP+MAC+Port временно удаляется с коммутатора и отсюда имеем кратковременный дроп пакетов от пользователя?

InventoR писал(а):
давно пора, acl на порт решает все.

Мы выделяем на порт пул адресов, потому не хватит никаких ацл для блокировки левых arp и прочего. К тому же конфиг получится не унифицированным.

_________________
D-Link Switches: Tips & Tricks
Вернуться наверх
 Профиль  
 
xcme
СообщениеДобавлено: Пн фев 13, 2012 15:29 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
up

_________________
D-Link Switches: Tips & Tricks
Вернуться наверх
 Профиль  
 
xcme
СообщениеДобавлено: Вт фев 14, 2012 11:10 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
Ув. техподдержка, будут какие-нибудь комментарии, рекомендации, исправления прошивок может?
Функционал нужный, а использовать нельзя.

_________________
D-Link Switches: Tips & Tricks
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт фев 14, 2012 11:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
xcme
У клиентов роутеры или компьютеры?
Вернуться наверх
 Профиль  
 
xcme
СообщениеДобавлено: Вт фев 14, 2012 11:59 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
Из тех что разбирали - у всех компьютеры с Windows 7 (у некоторых 6.1.7601 Сервис пак 1 сборка 7601, других не опрашивали). Уж не знаю ОС ли причастна или она просто сейчас самая популярная...

Симптомы тоже непонятны: блокируется трафик с порта то на 2-5 секунд, то на 20-30 секунд, то на иные промежутки времени. Валидная связка при этом есть. Мак в таблице коммутации и в arp-таблице маршрутизатора есть. Выключаешь IMPB - все начинает работать.

_________________
D-Link Switches: Tips & Tricks


Последний раз редактировалось xcme Вт фев 14, 2012 12:23, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт фев 14, 2012 12:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Проблемные клиенты не замечены во flood_fdb?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 4
  [ Сообщений: 51 ]  На страницу 1, 2, 3, 4  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 10

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB