DES-3028. В последнее время появилась проблема с которой раньше не сталкивались. У абонента перестает учиться мак на порту, пакеты не ходят. Если выполнить отчистку ARP таблицы, мак на порту появляется. Но после потери линка (перезагрузки ПК, ручном выкл\вкл порта) - история повторяется. При этом абонент получает настройки от DHCP сервера. Реализован DHCP Snooping и в таблице DHCP Snooping Entries появляется запись ip-mac auto. Но на порту мак не светится. Есть подозрения, что такие случаи стали появляться после реализации Multicast ISM VLAN. Это можно как то побороть, вылечить?

show flood_fdb
Value VLAN ID MAC Address Time Stamp
------ ------- ------------------- ----------
2431 7 00-12-12-8E-92-B1 * 1127892
2431 121 74-D4-35-0A-96-35 1127892
4427 121 00-1B-FC-9E-13-FA * 1127061 Проблемный мак.
4427 851 68-B5-99-66-86-ED 1127061 ISM vlan. Мак с другого свитча.

Согласно приведенной табличке MAC как раз в таблице коммутации (*).
Если выключить dhcp snooping то все нормально?

MAC пропадает при отсутствии трафика после истечения времени fdb aging time. По умолчанию это 300 секунд. Трафик отсутствует, скорее всего, из-за некорректной блокировки. То есть это следствие, а не причина. А блокировка глючит из-за конфликта маков (возможно).

Я от этих умных фич в свое время отказался как раз из-за непонятного поведения.

_________________
D-Link Switches: Tips & Tricks

Если выключить dhcp snooping то проблема остается. В MAC Block List записей нет.

1. версия по 3028
2. если в момент, когда нет мака, несколько раз запустить show flood и посмотреть - растет ли timestamp. Если растет и в нём этот мак - это активная коллизия. Нужно менять абоненту мак или vlan.
Мультикаст может на это влиять, так как по моей практике самые страшные коллизии как раз связанны с мультикастом.

Здесь подразумевается выключить IP-MAC-Port Binding для этого порта (или глобально)?


Согласен. Когда была большая гирлянда в одном сегмента, там приходилось вещать мультикаст в абонентском влан, чтобы чужие маки ISM Vlan с собой не притаскивал.
Так жилось намного лучше.

_________________
D-Link Switches: Tips & Tricks

Получил от нашего саппорта обновленные данные, если убираем IP-MAC-Port Binding с проблемного порта, то абонент работает, однако на порту мак не видно. Если делаем статическую запись ip-mac проблема опять себя проявляет.

FW Build 2.94.B07

История с заменой мака или влана имеет место быть. Ребята с саппорта говорят, что такое помогает, но решение из области граблей. Может есть какое то другое?

Ну тогда это подтверждает мое предположение: появляется конфликт hash и затем блокировка. Мака не видно иногда из-за конфликта, а иногда из-за остановившегося в результате блокировки трафика.

Решения проблемы, насколько мне известно, нет. Но пути выхода есть:
1. Можно уменьшить число маков на устройстве за счет перевода мультикаста в абонентский влан и отключение изучения маков на аплинке одновременно с включением сегментации трафика. В результате на коммутаторе будет не более 25 маков, это позволит выиграть время для перехода на 100% звезду.
2. Использовать PCF ACL вместо IMPB. Эта штука работает безупречно и решает, по сути, ту же задачу. Но мультикаст все равно потребуется убрать в абонентский, в случае большой цепочки.

Несколько лет назад эти проблемы (и с IMPB/DHCP Snooping и с ISM Vlan) решали как раз такими способами. Сейчас звездочка и PCF ACL и с 3028 проблем вообще никаких.

_________________
D-Link Switches: Tips & Tricks

Спасибо, что поделились опытом, попробуем внедрить эти решения в нашу сеть.