ip arp inspection + MAC в разных vlan = проблема

ip arp inspection + MAC в разных vlan = проблема

ip arp inspection + MAC в разных vlan = проблема
ip arp inspection + MAC в разных vlan = проблема
2024-06-06 10:01:28
Модель: TL-SG3428  
Аппаратная версия: V2
Версия прошивки: 2.0.11 Build 20230602 Rel.76586

Имется TL-SG3428 2.0 (2.0.11 Build 20230602 Rel.76586) с включёными dhcp snooping и ip arp inspection, пару vlan'ов, а так же устройство, которое одним и тем же mac присутствует в разных vlan'ах:

 

sw39#sh mac address-table int gi 1/0/21

                    MAC Address Table                    
------------------------------------------------------------  
MAC                VLAN    Port     Type            Aging    
---                ----    ----     ----            -----    
...
74:ac:b9:96:db:3b  9       Gi1/0/21 dynamic         aging    
74:ac:b9:96:db:3b  10      Gi1/0/21 dynamic         aging    
...
 


Устройство запрашивает ip по dhcp в обоих vlan'ах. Но не смотря на то, что в таблице IMPB коммутатор хранит vlan, в любой момент времени в IMPB отображается только одна связка ip-mac-port-vlan:

 

sw39#sh ip source binding
U Host                 IP-Addr         MAC-Addr          VID  Port      ACL    SOURCE          LEASE
- ----                 -------         --------          ---  ----      ---    ------          -----
...
1 ---                  10.11.5.59      74:ac:b9:96:db:3b 10   Gi1/0/21  Both   Snooping        00:04:29
...

sw39#sh ip source binding
U Host                 IP-Addr         MAC-Addr          VID  Port      ACL    SOURCE          LEASE
- ----                 -------         --------          ---  ----      ---    ------          -----
...
1 ---                  192.168.9.74    74:ac:b9:96:db:3b 9    Gi1/0/21  Both   Snooping        00:07:15
...
 



В логах видно как происходит замена записи в IMPB:

07:00:18 sw39 62315 Delete IMPB entry --- 10.11.5.59 74-ac-b9-96-db-3b vlan 10 Gi1/0/21 protect type Both from DHCP Snooping OK.
07:00:18 sw39 62314 Add IMPB entry --- 10.11.5.59 74-ac-b9-96-db-3b vlan 10 Gi1/0/21 protect type Both by DHCP Snooping OK.
07:02:45 sw39 62315 Delete IMPB entry --- 10.11.5.59 74-ac-b9-96-db-3b vlan 10 Gi1/0/21 protect type Both from DHCP Snooping OK.
07:02:45 sw39 62314 Add IMPB entry --- 192.168.9.74 74-ac-b9-96-db-3b vlan 9 Gi1/0/21 protect type Both by DHCP Snooping OK.
07:06:32 sw39 62315 Delete IMPB entry --- 192.168.9.74 74-ac-b9-96-db-3b vlan 9 Gi1/0/21 protect type Both from DHCP Snooping OK.
07:06:32 sw39 62314 Add IMPB entry --- 192.168.9.74 74-ac-b9-96-db-3b vlan 9 Gi1/0/21 protect type Both by DHCP Snooping OK.


В результате наблюдаем проблему с доступностью одного из ip, так как его arp блокируются коммутатором:

07:04:47 sw39 32233 Dropped ARP reply PKT SMAC 74:ac:b9:96:db:3b DMAC 1e:fb:fe:85:c4:5d SDMAC 74:ac:b9:96:db:3b SDIP 10.11.5.59 TMAC 1e:fb:fe:85:c4:5d TIP 10.11.0.254 on Gi1/0/21 in vlan 10, due to - IMPB MATCH FAILURE.
07:05:17 sw39 32233 Dropped ARP reply PKT SMAC 74:ac:b9:96:db:3b DMAC 1e:fb:fe:85:c4:5d SDMAC 74:ac:b9:96:db:3b SDIP 10.11.5.59 TMAC 1e:fb:fe:85:c4:5d TIP 10.11.0.254 on Gi1/0/21 in vlan 10, due to - IMPB MATCH FAILURE.

Кто-то сталкивался с такой проблемой, знает решение?

 

  0      
  0      
#1
Опции
6 Ответить
Re:ip arp inspection + MAC в разных vlan = проблема
2024-06-07 07:16:11

Проблема воспроизводится на следующих коммутаторах:

TL-SG3452X 1.0 (1.0.6 Build 20230702 Rel.70603)
TL-SG3428 2.0 (2.0.11 Build 20230602 Rel.76586)
TL-SG3210 3.0 (3.0.8 Build 20230602 Rel.73473)
SG2218 1.20 (1.20.0 Build 20230818 Rel.72032)

  0  
  0  
#2
Опции
Re:ip arp inspection + MAC в разных vlan = проблема
2024-06-07 09:32:11

  @sla0nru 

Добрый день.
Уточните, о каком устройстве идет речь в данном примере?
И опишите более подробно о том, как запрашивается один мак в разных вланах ?

  0  
  0  
#3
Опции
Re:ip arp inspection + MAC в разных vlan = проблема
2024-06-07 10:06:35 - last edited 2024-06-07 12:40:21

  @Ame_ru 

 

Конкретно 74:ac:b9:96:db:3b в данном примере - это точка доступа ubiquiti с гостевым wifi в отдельном vlan'е. Особенность этих точек такова, что за какой-то набодностью они обращаются к dhcp и в гостевом vlan тоже, что на коммутаторах tp-link приводит к периодической недоступности основного управляющего ip и разрыву связи точки с контроллером unifi.


Сегодня утром я воспроизводил проблему более контролируемым образом с использованием PC под управлением linux и нескольких моделей коммутаторов tp-link, что оказались под рукой. Поднял в linux'е на интерфейсе два vlan и попеременно запрашивал ip по dhcp то на одном, то на другом. Каждый раз при этом запись в IMPB для mac была только одна. Обращение к dhcp в одном vlan'е замещало запись в IMPB от другого vlan'а. Таком образом, получается, что механизм IMPB игнорирует значение VID и оперирует только MAC и PORT. Не совсем то, что написано в User Guide 1910013560 REV5.0.0: "... IPv4 IMPB (IP-MAC-Port Binding) is used to bind the IP address, MAC address, VLAN ID and the connected port number of the specified host. ..."

Могу предоставить подробную методику тестирования и конфигурацию коммутаторов.
 

  0  
  0  
#4
Опции
Re:ip arp inspection + MAC в разных vlan = проблема
2024-06-07 12:48:30

Проблема не в самом IMPB, а в том как с ним работает dhcp snooping. Это dhcp snooping игнорирует VID и производит замену записи в IMPB на основании лишь IP-MAC-Port. Статически добавленные записи IP-MAC-VID-Port сосуществуют и обеспечивают работу должным образом.

 

TL-SG3210#sh ip so binding                                                     
U Host                 IP-Addr         MAC-Addr          VID  Port      ACL    SOURCE          LEASE
- ----                 -------         --------          ---  ----      ---    ------          -----
1 test7                10.4.7.73       ac:1f:6b:e1:b7:ed 7    Gi1/0/7   Both   Manual          
1 test9                192.168.9.180   ac:1f:6b:e1:b7:ed 9    Gi1/0/7   Both   Manual          

Notice:
1.Here, 'ARP-D' for 'ARP-Detection',and'IP-V-S' for 'IP-Verify-Source'.

 

 

  0  
  0  
#5
Опции
Re:ip arp inspection + MAC в разных vlan = проблема
2024-07-03 14:17:20

  @sla0nru Мы пообщались с разработчиками, и они считают это слишком специфичным сценариев. Это больше похоже на порт в режиме аплинка/даунлинка на котором обычно не рекомендуют включать dhcp snooping. Мы ещё продолждаем с ними общение, поэтому есть несколько вопросов:

1. Вот есть у вас гостевая сеть. Для чего вы включаете в этом влане arp inspection/source guard? Это ведь гостевая сеть у вас. Там можно изоляцию клиентов на уровне unifi включить и т.д. Как авторизация клиентов устроена? Расскажите тут поподробнее.

2. Зачем вам dhcp snooping в управляющем влане? В этом влане есть клиенты другие, кроме точек доступа? Если есть, то может быть выделить отдельный менеджмент влан под точки?

3. Есть понимание, для чего unifi в гостевом влане запрашивает IP? Насколько это нормально? Точка является каким-то прокси? С нашей стороны кажется, что это на баг похоже.

  0  
  0  
#6
Опции
Re:ip arp inspection + MAC в разных vlan = проблема
2024-07-08 06:14:08

  @Mitya спасибо за отклик.

1. Используются точки доступа трёх брэндов и вникать во все нюансы каждого не хотелось. Изолировать клиентов в гостевой сети наверное желательно, а в не гостевой, вроде бы и не нужно, а все ли точки умеют избирательно включать изоляцию на отдельных сетях и насколько корректно это делают - нужно разбираться. Проще было задействовать возможности коммутаторов.
2. Отдельный management vlan мы используем не везде. В данном случае его нет. Точка своим управляющим интерфейсом находится в локальной сети вместе с пользователями рабочего wifi, и теми, что подключены проводами. Эта сеть требует защиты.
3. У нас используются AP-AC-Lite и AP-AC-LR - обе модели обращаются к dhcp и в основном и в гостевом vlan. Какой в этом смысл непонятно, как используется полученный адрес в гостевом vlan не изучал. В интерфейсе контроллера на этот счёт не нашёл никаких настроек.

Возможно сценарий экзотический, однако, некорректным его назвать нельзя. К слову, пока мы использовали cisco sf300 и sf350 проблем с такой конфигурацией не возникало. Как быть с unifi и на какой из сетей отключать dhcp snooping я решу. И буду надеяться, что данную проблему в работе dhcp snoopping tp-linlk'ов когда-нибудь устранят, потому что это точно баг.

  0  
  0  
#7
Опции