MAC anti-spoofing в DSL-коммутаторах

Почему на DSL-коммутаторе происходит автоматическое отключение абонентских портов (состояние порта - Disable), после чего приходиться включать их вручную?

Подобная ситуация может быть связана с работой функции MAC anti-spoofing в xDSL-коммутаторе.

В настоящее время функция MAC anti-spoofing реализована в DSL-коммутаторах серии IES-1248-xx начиная с версии микропрограммы V3.52 и в DSL-коммутаторах IES-5000/5005/6000 начиная с версии микропрограммы V3.90 (из комплекта микропрограмм R5.0). По умолчанию эта функция включена.

При использовании функции MAC anti-spoofing порт DSL переходит в состояние Disable, если на линейной карте обнаружено дублирование MAC-записей или перемещение MAC-адреса между портами (DSL или Ethernet).

Проверьте, пожалуйста, включена ли функция MAC anti-spoofing в вашей конфигурации DSLAM’a. Сделать это можно с помощью следующей команды:

switch mac antispoofing show

Для отключения функции MAC anti-spoofing выполните команду:

switch mac antispoofing disable

Для сохранения настроек в коммутаторе выполните команду config save

Также DSLAM отключает ADSL-порт и при возникновении конфликта IP-адресов в сети (например, на компьютере, подключенном через модем, устанавливается IP-адрес, дублирующий один из IP-адресов, установленных на компьютере, подключенном на Uplink’е). После чего приходится включать порт вручную.

Это происходит потому, что операционная система Windows изменяет MAC-адрес источника для информирования двух сторон о конфликте IP-адресов, и в результате на коммутаторе срабатывает также функция MAC anti-spoofing.

Поясним, как это происходит, на следующем примере:

ПК1(IP1, MAC1)--(Uplink)IES-1248-51A(DSL port)--P660(Bridge Mode)--ПК2(IP2, MAC2)

Если вручную установить IP-адрес на ПК2 (IP2=IP1), то коммутатор IES-1248 автоматически отключит порт DSL (установит статус порта Disabled). При этом MAC-адреса ПК1 и ПК2 разные, а IP-адреса одинаковые.

При изменении IP-адреса в Windows операционная система отправит ARP-запрос, чтобы убедиться, что IP-адрес не конфликтует с уже существующим IP-адресом на другом компьютере.

ПК1 (IP1, MAC1 Enet port)<-->ПК2 (DSL port IP2, MAC2)

1. Сначала, когда изменяем IP-адрес ПК2 на IP1, ПК2 посылает ARP-запрос (с MAC2 Broadcast) на ПК1

2. Затем ПК1отправляет ARP-ответ (с MAC1 Unicast) на ПК2. Таким образом, ПК2 узнаёт о конфликте, и затем появляется в ОС окно с предупреждением.

3. Далее ПК2 посылает ARP-запрос(с MAC1 Broadcast) на ПК1. Теперь ПК1 узнаёт о конфликте тоже, и затем появляется окно в ОС с предупреждением.

На шаге 3 MAC1 уже присутствует в DSLAM на Ethernet-порту, но такой же MAC-адрес появился на порту DSL.  Далее DSLAM обнаруживает дублирование MAC-адресов и срабатывает функция MAC anti-spoofing.

Примечание:

Для включения функции MAC anti-spoofing выполните команду:

switch mac antispoofing enable

В контроллере MSC1000G, начиная с микропрограммы версии 3.90, включить функцию MAC anti-spoofing можно с помощью команды:

acl antimacspoof enable

KB-1755

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев