Подскажите, плз, как отключить рассылку таких сообщений:
From device DGS-3200-16 10.26.1.116
29 Nov 2011 14:03:01

SNMP Authentication Fail
Invalid community: public, IP: 10.26.10.12, MAC: can't resolve!

10.26.10.12 - комп обычного юзера


Device Type DGS-3200-16 Gigabit Ethernet Switch
Firmware Version 2.00.B017
Hardware Version A1
Boot PROM Version 1.00.B005

Нужно не отключать вывод сообщения, а выносить управление коммутатором в отдельный влан, чтобы обычные пользователи физически не могли получить доступ к его управлению.

Денис, уверен, вы и сами понимаете, что это баг. Буду признателен, если в одной из следующих версий прошивки его поправят.

Почему Вы решили что это баг? У Вас клиенты пытаются получить к коммутатору доступ по SNMP!

это баг потому, что клиенты никакого доступа получить на самом деле не пытаются. в данный момент не могу отсниффить что вызывает такое сообщение. попробую завтра разобраться и сообщу.

Видимо, вы звонили пользователю с этим ip адресом и интересовались, пытается ли он взломать коммутатор? Он ответил, что не пытается, и вы решили, что коммутатор сам придумывает попытки взлома.
Слушайте, что сыпется от клиента на этом порту в момент возникновения логов.

Нет, Артем, Вы ошиблись.

Вот, что происходит на самом деле. Юзер устанавливал драйвера сетевого принтера с фирменного диска. В момент поиска принтеров в сети инсталлер посылает следующий snmp-запрос:

На что свич тут же реагирует:

Т.к. я и раньше наблюдал такую реакцию свича, подозреваю, что не только этот конкретный инсталлер такие запросы посылает.

Что скажете?

Скажу то, что ранее уже озвучил мой коллега - выносите управление в отдельный vlan, чтобы пакеты от пользователей не попадали на управляющий интерфейс коммутатора. Устройство ведет себя корректно - броадкаст предназначен всем устройствам в сети, и коммутатор, получив его, естественно, реагирует.

Все верно, только реакция, на мой взгляд, неадекватна. Если кто-то через телнет или веб пароли подбирать начнет, свич почему-то ничего никому не сообщит, а вот на безобидный snmp-get - ругается. Ну, не сконфигурирована коммьюнити паблик - и хорошо, чего письма-то слать. Я понимаю, еще snmp-set бы был..

Вынести свичи в отдельный влан сейчас возможности нет.

Выносить управление в отдельный vlan надо в том числе и для того, чтобы у пользователей в принципе не было возможности

Стройте сеть правильно - и проблемы не будет.

Сервера тоже в отдельный влан выносить? Или драйвера принтеров на них не устанавливать?


Я вам про "фому", а вы мне про "ерему". Еще раз: свич ведет себя некорректно, т.к. сообщает о проблеме в одном случае (незначительном) и не сообщает в другом (который может оказаться гораздо более серьезным). Если вы считаете, что подбор реквизитов для доступа к свичу может быть проблемой (что, в некоторых случаях безусловно так), пусть свич сообщает о любом подборе, а не только на snmp-get. Тогда это будет фича. А пока что - баг.
Кроме того, "MAC: can't resolve!" - чего это "can't resolve"? Он что, не знает с какого мака запрос пришел? Но это так, риторический вопрос.

Поведение коммутатора вам объяснили. Менять его не будут.
Закрыто.