Здравствуйте

Есть сегмент сети L3 DGS-3627G -> L2 DES-3028

В сети есть клиент подключенный к одному из L2 коммутаторов
Периодически у клиента что-то происходит и он начинает что-то слать в сеть.
Если смотреть tcpdump данного сегмента сети то видно следующее

192.168.1.1 - в сети нет таких ip

На L2 свиче на порту клиента возрастает количество пакетов
Unicast RX - порядка 100 пак/сек
Multicast RX - нет
Broadcast RX - порядка 100 пак/сек

На L3 свиче возростает нагрузка CPU с 12% до 17%

Весь сегмент на данном L3 коммутаторе начинает "лагать"

Если выключить а затем включить порт у клиента всё нормализуется.

Подскажите какие настройки нужно сделать на коммутаторах чтоб решить данную проблему
и можно ли при её возникновении получать с коммутатора трапы

отсегментируйте сегмент полностью, изолируйте клиентов друг от друга

up

ограничьте кол-во пакетов в секунду с клиентского порта, особенно броадкастовых.
а с конкретно этим запросом, наверное, ацл-ом придется бороться.
у вас же управление в отдельном вилане?

_________________
не важно, из какого места растут золотые руки

Используйте traffic control

У клиента на порту настроено

это не помогает

помогает только включение биндинга в режиме strict

а что мешает включить биндинг в режиме strict на порту на постоянку?

_________________
не важно, из какого места растут золотые руки

Порт закреплён за клиентом
Вся система привязки портов к клиентам реализована по средствам ACL
(на порту разрешены ip данного клиента с любым маком)

Если делать везде биндинг то для этого нужно всё переделывать + это не удобно для клиентов (при смене mac им придётся изменять связку)

Конечно для одного клиента это не проблема, но никто не знает когда и где в следующий раз может возникнуть данная проблема.
Хотелось бы как нибудь обезопасить сеть от данной напасти в целом.

Для создания автоматических привязок на порту существует dhcp_snooping