D-Link • Просмотр темы - DES-3526, IMPB, unauthenticated IP-MAC address

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3526, IMPB, unauthenticated IP-MAC address

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 12 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Sergey Trunov

Заголовок сообщения: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 10:54

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

Добрый день.

Вот такая ситуация:

Код:

Command: show switch

Device Type       : DES-3526 Fast-Ethernet Switch
Boot PROM Version : Build 5.00.009
Firmware Version  : Build 6.20.B20
Hardware Version  : A4G

Command: show address_binding

ACL_mode          : Enabled
Trap/Log          : Enabled
DHCP_Snoop        : Disabled
ARP Inspection    : Enabled

Command: show address_binding ports

Port  State     Zero IP    DHCP Packet  Stop Learning
                                        Threshold/Mode
----  --------  ---------  -----------  -----------------
7     Loose     Not Allow  Not Forward  no_limit/Normal
14    Loose     Not Allow  Not Forward  no_limit/Normal

Command: show address_binding ip_mac all

IP Address      MAC Address       Ports                          Status   Mode
--------------- ----------------- ------------------------------ -------- ----
98.140.5.27     FC-75-16-48-5C-C5 14                             Inactive ARP
98.140.5.136    00-14-85-10-1A-50 7                              Inactive ARP


Command: show log

Index  Time                 Log Text
-----  -------------------  ----------------------------------------------------
1746   2014/07/31 14:43:42  Unauthenticated IP-MAC address and discarded by ip m
                            ac port binding (IP: 98.140.5.27, MAC: FC-75-16-48-5
                            C-C5, port: 14)
1745   2014/07/31 14:43:28  Unauthenticated IP-MAC address and discarded by ip m
                            ac port binding (IP: 98.140.5.136, MAC: 00-14-85-10-
                            1A-50, port: 7)

Command: show address_binding blocked

 VID  VLAN Name                        MAC Address       Port Type
 ---- -------------------------------- ----------------- ---- ---------------
 19   south2                           FC-75-16-48-5C-C5 14   BlockByAddrBind
 19   south2                           00-14-85-10-1A-50 7    BlockByAddrBind

Почему блочатся маки?

Вернуться наверх

terrible

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 12:14

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Включен режим ACL

Код:

ACL_mode : Enabled

А добавляете связки ARP

Код:

98.140.5.27     FC-75-16-48-5C-C5 14                             Inactive ARP

Либо добавляйте ACL, либо включите режим ARP

ARP Inspection можете выключить, не нужен он

Вернуться наверх

Sergey Trunov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 12:16

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

А что не так работает в таком сочетании? Ведь содержание отправляемого клиентом не меняется.

Код:

ACL_mode          : Enabled
ARP Inspection    : Enabled

В такой комбинации

Код:

create address_binding ip_mac ipaddress 98.140.7.140 mac_address D8-50-E6-F2-54-00 ports 14 mode arp

работать не будет?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 13:19

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Ну если у вас самым первым пакетом будет проходить arp - то будет. В остальных случаях - нет.

Вернуться наверх

Sergey Trunov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 13:25

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

Artem Kolpakov

Артем, я уже понял, что не будет.

А почему? что нет так в первоначальных настройках?

Код:

ACL_mode          : Disabled
ARP Inspection    : Enabled

Command: show address_binding ports

Port  State     Zero IP    DHCP Packet  Stop Learning
                                        Threshold/Mode
----  --------  ---------  -----------  -----------------
7     Loose     Not Allow  Not Forward  no_limit/Normal
14    Loose     Not Allow  Not Forward  no_limit/Normal 

Вот так работает.

Вернуться наверх

Sergey Trunov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 13:31

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

На DES-3526 такой набор команд включит анализ arp-пакета и проверку ip-пакета?

Код:

config address_binding ip_mac ports <ports> state disable
enable address_binding acl_mode
enable address_binding arp_inspection
create address_binding ip_mac ipaddress <ip> mac_address <mac> ports <ports> mode acl
config address_binding ip_mac ports <ports> state enable loose

Вернуться наверх

terrible

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Чт июл 31, 2014 15:23

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

По идее да, но я бы вам советовал уходить от всех возможных программных фич коммутаторов (аля IP-MAC-Binding или ARP-Inspection) и решать задачу контроля IP адресов на уровне структуры сети.

Вернуться наверх

Sergey Trunov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Пт авг 01, 2014 11:12

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

Спасибо за совет. Чуть разверните его, плс. Чем плохи программные фичи, как на уровне структуры сети можно контролировать IP.

Вернуться наверх

mcdemon05

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Пт авг 01, 2014 12:24

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok

Sergey Trunov писал(а):

наверное вам хотят навязать vlan на абонента

ведь если каждый абонент в своем влане, то и подмена никому не навредит)
только вот затратно это все, IMPB использую давно, устраивает

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Вернуться наверх

Sergey Trunov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Пт авг 01, 2014 13:56

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

mcdemon05

Поделитесь опытом, с какими параметрами используете IMPB?

Я сейчас настраиваю:
Mode: ACL (arp_inspection + ip_inspertion)
State: Loose
Zero IP: Not Allow
DHCP Packet: Not Forward

Вернуться наверх

mcdemon05

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Пт авг 01, 2014 14:11

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok

зависит от коммутатора
но всегда:
режим только ARP
zero ip - allow (иначе будут проблемы с dhcp на win vista/7/8)
DHCP - allow

"подрежим" strict кроме 3028 т.к. там нужно использовать loose если не хотите проблем изза коллизий.

Вернуться наверх

Sergey Trunov

Заголовок сообщения: Re: DES-3526, IMPB, unauthenticated IP-MAC address

Добавлено: Пн авг 04, 2014 05:27

Зарегистрирован: Пн мар 03, 2014 16:25
Сообщений: 190
Откуда: Томск

mcdemon05 писал(а):

Спасибо за опыт.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 12 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 19

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения