Можно по подробнее? Сейчас включение привязки означает парсинг arp пакетов центральным процессором, как я понимаю, что вполне приемлемо для коммутатора (2 уровня), IMHO. Т.к. он все равно парсит ethernet заголовки, отсеять arp сильно не затруднит. И arp ходит в сети относительно редко.
Какое ACL будет создаваться? Меня беспокоит, не захотите ли вы парсить ip заголовки всех ip пакетов для пущей секьюрити. А хватит ли мощи? Все таки это работа роутеров, которые подороже и проц там наверное по мощнее.

_________________
Olleg

Олег, под словом "железно" я вообще-то имел ввиду "надежно", а не то, как обрабатывает свич пакеты - ASIC или CPU
Вся ресурсоемкая обработка - IP-MAC или ACL делается при помощи встроенного функционала ASIC

_________________
С уважением, Карагезов Владислав

Новая прошивка, 3.06
Известны ip и port к которому его надо привязать.
Если я правильно понял, чтобы привязать абонента на порту нужно выполнить следующие действия:
1. В таблице "Port Security" выставить, например DeleteOnReset, число mac 1 для port.
2. В таблице "Port Configuration" убрать Learn у port.
3. Посмотреть mac в таблице "Monitoring/MAC Address", на port'у он будет один.
4. В таблице "IP-MAC Binding Table" прописать ip, mac, port.
5. В таблице " IP-MAC Binding Port" прописать enable у port.

Хотя ранее в форуме говорилось, что с новой прошивкой все будет объединено в одну опцию. Или я что-то неправильно делаю

_________________
Olleg

если нужно привязать ip к порту - то достаточно добавить запись в таблицу IP-MAC-Port Binding , разве нет?

_________________
С уважением, Карагезов Владислав

хотелось бы узнать, как будут выглядеть настройки свича если адрес РС получает от DHCP сервера? т.е. при включении компьютера у него нет адреса, и свичу будет посылаться 0.0.0.0 с валидным МАСом, как быть? делать 2 записи на один МАС вида

create address_binding ip_mac ipaddress 0.0.0.0 mac_address 00-00-00-00-00-04
create address_binding ip_mac ipaddress 1.1.1.1 mac_address 00-00-00-00-00-04

так? или как?

Не нужно. Запрос от DHCP-клиента идет бродкастом. И свитч его пропускает не фильтруя.

Здравствуйте
Уважаемая техподдержка помогите пожалуйста. Никак не получается воспользоваться функцией IP-MAC-PORT bind. Проводил опыты такого рода.
Есть абонент на 7 порту с ip:10.0.7.100 mac:00:02:12:77:25:91 к примеру. Прописываю ему на порт
1. create address_binding ip_mac ipaddress 1.2.3.4 mac_address 00-01-02-03-04-05 ports 7
2.config address_binding ip_mac ports 7 state enable
3.config port_security ports 7 admin_state enable max_learning_addr 1 lock_address_mode Permanent
4.config ports 7 speed 10_half flow_control enable learning disable state enable

Вроде как ничего не забыл. Это я так понял по предшевствующим постам.
Ну, сижу пингую абонента. Пинг не выключаю, порт не закрывается. Я так понимаю, он уже должен был закрыться. Вообщем минут 10 прошло, я уже пару раз перечитал посты, потом решил человеку поставить на порту автоопределение, выставил ему speed auto и свершилось чудо, порт заблокировался. Я переключился обратно на 10_half - порт в блоке. Ну думаю повезло, наверное глюки. Сделал delete address-binding blocked all
, очистилась таблица блокировок, секунд 10-15 адрес не пинговался, а потом опять пошел пинг. Опять не включается блокировка. Я переключился на speed auto, но блокировка опять не включилась. Каким то способом я ее заставил все таки сработать забыл уже, то ли clear arptable толи clear fdb port 7. Решил заново попробовать на другом абоненте, результат такой же. Правда заблокировать второй раз вообще не получилось.
Расскажите как правильно все таки работает привязка?
Прилагаю show switch
----Device Type : DES-3526 Fast-Ethernet Switch
Combo Port Type : 1000Base-SX (DEM-311GT) + 1000Base-SX (DEM-311GT)
MAC Address : 00-13-46-65-7A-41
IP Address : 172.16.0.107 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.0
Default Gateway : 172.16.0.1
Boot PROM Version : Build 3.00.005
Firmware Version : Build 3.06-B20
Hardware Version : 1A1
----------------------

Перешлите пожалуйста конфиг-файл коммутатора на почту

Все решается с помошью ACL.

Вот пример настройки коммутатора 3526..
Дано:
1) Магистральный порт: 1 (желательно использовать 25
2) Должны распределить всех клиентов так чтоб получилось не более 200 правил на каждую группу портов

# ACL

#Block DHCP (боремся против диких DHCP)
create access_profile ip udp src_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 1 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 2-26 deny


#Good Host (разрешаем сервера для которых доступ есть всегда и независимо от мака и ип у клиента)

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 217.76.182.3 port 1-26 permit
config access_profile profile_id 10 add access_id 27 ip destination_ip 217.76.183.9 port 1-26 permit
config access_profile profile_id 10 add access_id 53 ip destination_ip 217.76.183.34 port 1-26 permit
config access_profile profile_id 10 add access_id 79 ip destination_ip 10.0.0.1 port 1-26 permit
config access_profile profile_id 10 add access_id 105 ip destination_ip 10.0.0.2 port 1-26 permit
config access_profile profile_id 10 add access_id 131 ip destination_ip 217.76.183.36 port 1-26 permit
config access_profile profile_id 10 add access_id 157 ip destination_ip 82.193.158.131 port 1-26 permit
config access_profile profile_id 10 add access_id 183 ip destination_ip 82.193.158.149 port 1-26 permit


#Client Good Balance & Good MAC-IP (Разрешаемм работу тех кому можно работать, порядок я тут нарушил но это неважно принцип понятен)
# Привязываем 10.1.21.5 0040F48CD880 9
# Привязываем 10.1.21.6 0013205071B1 18
# Привязываем 10.1.21.13 000FEA714281 13
# Привязываем 10.1.21.15 0011D8FA4847 13
# Привязываем 10.1.21.16 00E04C00874C 13
# Привязываем 10.1.21.11 0040F489B41F 13

create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 25
config access_profile profile_id 25 add access_id 1 packet_content_mask offset_0-15 0x0 0x0040 0xF489B41F 0x0 offset_16-31 0x0 0x0 0x0 0xA01 offset_32-47 0x150B0000 0x0 0x0 0x0 port 13 permit
config access_profile profile_id 25 add access_id 2 packet_content_mask offset_0-15 0x0 0x000F 0xEA714281 0x0 offset_16-31 0x0 0x0 0x0 0xA01 offset_32-47 0x150D0000 0x0 0x0 0x0 port 13 permit
config access_profile profile_id 25 add access_id 3 packet_content_mask offset_0-15 0x0 0x0011 0xD8FA4847 0x0 offset_16-31 0x0 0x0 0x0 0xA01 offset_32-47 0x150F0000 0x0 0x0 0x0 port 13 permit
config access_profile profile_id 25 add access_id 4 packet_content_mask offset_0-15 0x0 0x00E0 0x4C00874C 0x0 offset_16-31 0x0 0x0 0x0 0xA01 offset_32-47 0x15100000 0x0 0x0 0x0 port 13 permit
config access_profile profile_id 25 add access_id 5 packet_content_mask offset_0-15 0x0 0x0013 0x205071B1 0x0 offset_16-31 0x0 0x0 0x0 0xA01 offset_32-47 0x15060000 0x0 0x0 0x0 port 18 permit
config access_profile profile_id 25 add access_id 6 packet_content_mask offset_0-15 0x0 0x0040 0xF48CD880 0x0 offset_16-31 0x0 0x0 0x0 0xA01 offset_32-47 0x15050000 0x0 0x0 0x0 port 9 permit


#Deny All (Блокируем все на портах 2-26)
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 30
config access_profile profile_id 30 add access_id 1 packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 port 2-26 deny

респект! давно хотел увидеть пример ACL с packet_content_mask, а самому копаться руки не доходили +)

единственное, чего не могу понять - почему IP-MAC binding проверяет только arp-пакеты, если нет никакой сложности проверять весь проходящий IP/ARP трафик? Если бы они проверки замедляли скорость коммутации пакетов - я бы понял, но были фразы, что ACL на скорость вообще никак не влияют...
Либо это было сделано для того, чтобы позволить работать другим протоколам вроде IPX?

Magnum72, не было проблем с производительностью при такой организации ACL?

Автоматизировать генерацию ACL в таком виде не сложнее, чем генерацию IP-MAC binding настроек. Но ведь с коммутаторами иногда и люди работают +)

Почту не отправил. Уже разобрался. Как я понял, порт закроется только в том случае, если машина пошлет арп запрос. В противном случае никаких изменений на порту не произойдет. Те, если прописать мак адреса статикой,
порт никогда теоретически не закроется. Вообщем дело случая.

Большое спасибо автору Magnum72 за приведенные примеры. Наверное прийдется пользоваться ACL. Только стоит тогда вопрос, исправят ли в следующей прошивке http://www.dlink.ru/phorum/viewtopic.ph ... highlight=

Мы сейчас как раз работаем над этой проблемой

2D-Link
Планируется ли доработать механизм IP-MAC Binding в DES-3526, чтобы он блокировал трафик основываясь не только на ARP - запросах, а на основе IP-заголовка пакета? А то весь смысл данной функции пропадает :(

см. выше ответ Ивана

_________________
С уважением, Карагезов Владислав

2Vladislav Karagezov

Спасибо!

Если эта функция будет реализована как надо, возьмем еще пяток 3526