О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

MES2124P & DHCP snooping

MES, ESR
kt72ru
Сообщения: 21
Зарегистрирован: 03 июл 2015 12:06
Reputation: 0

MES2124P & DHCP snooping

Сообщение kt72ru » 16 июн 2016 18:23

Добрый день,

Схема:
DHCP сервер - роутер и два коммутатора друг за другом.

Код: Выделить всё

DHCP<-->router<-->switch1(gi1/0/27)<-->(gi1/0/28)switch2


На коммутаторах настроен dhcp snooping и arp inspection

Код: Выделить всё

ip dhcp relay enable
ip dhcp information option
ip dhcp snooping
ip dhcp snooping database
ip dhcp snooping vlan 345
ip dhcp snooping vlan 346

ip arp inspection
ip arp inspection vlan 345
ip arp inspection vlan 346
ip source-guard

interface gigabitethernet 1/0/7
 ip source-guard
 switchport mode general
 switchport general allowed vlan add 345 untagged
 description Users
 spanning-tree bpdu filtering
 lldp med enable network-policy
 lldp med network-policy add 1
 voice vlan enable
 switchport general pvid 345

на транковых портах соответственно
interface gigabitethernet 1/0/28
 ip arp inspection trust
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 345-358
exit

Техподдержка подключает телефон+ПК в 1 коммутатор 24 порт. ПК и тел. получают IP, всё работает, все довольны.
Через некоторое время пользователя из 24 порта 1 коммутатора переключают в 7 порт второго коммутатора, а на его место заезжает другой пользователь со своим телефонои и ПК. Казалось бы ничего страшного, получаем заново IP и работаем. Пользователь подключенный в 1 коммутатор IP получил и заработал, а вот переехавший во 2 коммутатор не смог получить.

второй коммутатор:

Код: Выделить всё

16-Jun-2016 16:36:08 :%ARPINSP-I-PCKTLOG: ARP packet dropped from port gi1/0/7 with VLAN tag 346 and reason: packet verification failed
SRC MAC cc:d5:39:d7:be:eb SRC IP 172.16.219.41 DST MAC 00:00:00:00:00:00 DST IP 172.16.218.1


Код: Выделить всё

sh ip dhcp snooping binding | i 1/0/7
78:e3:b5:cb:2b:95  0.0.0.0         71           learned    345  gi1/0/7
cc:d5:39:d7:be:eb  0.0.0.0         82           learned    346  gi1/0/7

не получает пользователь IP. Чистим лизу на DHCP, дергаем порт. Новая лиза появляется, а IP в таблице снупинга нет.
Идем на вышестоящий коммутатор, смотрим 24 порт и видим привязку нашего мака и выданного IP.

Код: Выделить всё

#ip dhcp snooping binding | i gi1/0/24
08:2e:5f:27:00:42  172.16.216.50    691080       learned    345  gi1/0/24
78:e3:b5:cb:2b:95  172.16.216.44    680920       learned    345  gi1/0/24
cc:d5:39:d7:69:6b  172.16.219.38    691080       learned    346  gi1/0/24
cc:d5:39:d7:be:eb  172.16.219.41    691178       learned    346  gi1/0/24

#sh mac address-table | i gi1/0/24
  345      08:2e:5f:27:00:42    gi1/0/24   dynamic
  345      cc:d5:39:d7:69:6b    gi1/0/24   dynamic
  346      cc:d5:39:d7:69:6b    gi1/0/24   dynamic

Принудительно выкл/вкл 24 порт. Ситуация не меняется. Как быть?

Код: Выделить всё

cle ip dhcp snooping database
не вариант, все остальные пользователи заблокируются.

Александр Селезнев
Сообщения: 749
Зарегистрирован: 07 май 2015 10:45
Reputation: 2
Откуда: Элтекс

Re: MES2124P & DHCP snooping

Сообщение Александр Селезнев » 16 июн 2016 20:30

В настройки коммутаторов добавьте команду
ip dhcp snooping information option allowed-untrusted
Селезнев Александр / Eltex / Сервисный центр ШПД https://eltex-co.ru/support/

kt72ru
Сообщения: 21
Зарегистрирован: 03 июл 2015 12:06
Reputation: 0

Re: MES2124P & DHCP snooping

Сообщение kt72ru » 17 июн 2016 11:29

Честно говоря, в моем случае, не понятна логика работы приведенной команды?

Согласно документации "Разрешает принимать DHCP-пакеты с опцией 82 от «ненадежных» портов.", Но у меня порты между коммутаторами и вышестоящим маршрутизатором trusted. Возможно моя ошибка в том что я объявил стыковочный порт между switch1 и switch2 trusted, что не позволило switch1 изучать адреса с этого порта и переписывать таблицу. На оборудовании другого производителя, trusted порт между коммутаторами, это абсолютно рабочий вариант и ничего криминального я тоже в этом не вижу.

Александр Селезнев
Сообщения: 749
Зарегистрирован: 07 май 2015 10:45
Reputation: 2
Откуда: Элтекс

Re: MES2124P & DHCP snooping

Сообщение Александр Селезнев » 17 июн 2016 13:58

В настройки коммутаторов добавьте команду
ip dhcp snooping information option allowed-untrusted

Правда не к месту, не внимательно прочитал первый раз
Селезнев Александр / Eltex / Сервисный центр ШПД https://eltex-co.ru/support/

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: MES2124P & DHCP snooping

Сообщение Евгений Т » 20 июн 2016 10:59

Не следует настраивать ip dhcp snooping trust на портах в сторону нижестойщих коммутаторов. Эта настройка только для портов в сторону сервера.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

cactus
Сообщения: 42
Зарегистрирован: 16 май 2012 13:43
Reputation: 0
Контактная информация:

Re: MES2124P & DHCP snooping

Сообщение cactus » 27 дек 2016 01:37

Да проблема старая, когда мы с ней столкнулись впервые, долго не понимали, ведь дропается пакеты на trusted порту, хотя но я не решусь назвать это багом.

Вот адрес на порту, запомнен, активен, что его по магистрали то пропускать? Там его быть не должно!
Не ясно только почему тихо убиваются пакеты, и почему, trust какой-то и не очень доверенный выходит.

Может добавить опцию отдельную для этого? Ведь изменение порта юзера из порта в порт рядом стоящего коммутатора, частая задача довольно, у операторов. От простой замены коммутатора, lо сгоревшего порта. Не говоря уже про адреса техсапорта выездного, которые своим оборудованием в любой порт могут залезть.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: MES2124P & DHCP snooping

Сообщение Евгений Т » 09 янв 2017 12:43

Вот адрес на порту, запомнен, активен, что его по магистрали то пропускать? Там его быть не должно!
Не ясно только почему тихо убиваются пакеты, и почему, trust какой-то и не очень доверенный выходит.

trusted port - порт в сторону сервера. Данная логика работы предполагает, что таблица dhcp snooping не будет обучаться на этом интерфейсе. Соответственно раз таблица dhcp снупинга не переобучилась при переключении клиента, то запись для старого порта (куда был подключен клиент до переключения) в таблице снупинга сохраняется =>dhcp offer от сервера полетит по старому маршруту.
В будущих версиях ПО будет создана возможность очищать отдельную запись в таблице dhcp snooping
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

DAnEq
Сообщения: 27
Зарегистрирован: 28 фев 2017 17:19
Reputation: 0

Re: MES2124P & DHCP snooping

Сообщение DAnEq » 23 мар 2019 18:06

а что значит вот такое ?
08-Dec-2018 13:57:20 %ARPINSP-I-PCKTLOG: ARP packet dropped from port
ith VLAN tag 500 and reason: packet verification failed
SRC MAC 00:24:54:cf:cb:04 SRC IP 0.0.0.0 DST MAC 00:00:00:00:00:00 DST

Aleksey Shimanov
Сообщения: 62
Зарегистрирован: 03 дек 2018 12:15
Reputation: 0

Re: MES2124P & DHCP snooping

Сообщение Aleksey Shimanov » 25 мар 2019 12:08

Устройство не прошло верификацию, и запрос IP-адреса для него был отвергнут.
Странно, что отображается VLAN и не отображается физ. порт с которого пришел пакет.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 19 гостей