Схема:
DHCP сервер - роутер и два коммутатора друг за другом.
Код: Выделить всё
DHCP<-->router<-->switch1(gi1/0/27)<-->(gi1/0/28)switch2
На коммутаторах настроен dhcp snooping и arp inspection
Код: Выделить всё
ip dhcp relay enable
ip dhcp information option
ip dhcp snooping
ip dhcp snooping database
ip dhcp snooping vlan 345
ip dhcp snooping vlan 346
ip arp inspection
ip arp inspection vlan 345
ip arp inspection vlan 346
ip source-guard
interface gigabitethernet 1/0/7
ip source-guard
switchport mode general
switchport general allowed vlan add 345 untagged
description Users
spanning-tree bpdu filtering
lldp med enable network-policy
lldp med network-policy add 1
voice vlan enable
switchport general pvid 345
на транковых портах соответственно
interface gigabitethernet 1/0/28
ip arp inspection trust
ip dhcp snooping trust
switchport mode trunk
switchport trunk allowed vlan add 345-358
exit
Техподдержка подключает телефон+ПК в 1 коммутатор 24 порт. ПК и тел. получают IP, всё работает, все довольны.
Через некоторое время пользователя из 24 порта 1 коммутатора переключают в 7 порт второго коммутатора, а на его место заезжает другой пользователь со своим телефонои и ПК. Казалось бы ничего страшного, получаем заново IP и работаем. Пользователь подключенный в 1 коммутатор IP получил и заработал, а вот переехавший во 2 коммутатор не смог получить.
второй коммутатор:
Код: Выделить всё
16-Jun-2016 16:36:08 :%ARPINSP-I-PCKTLOG: ARP packet dropped from port gi1/0/7 with VLAN tag 346 and reason: packet verification failed
SRC MAC cc:d5:39:d7:be:eb SRC IP 172.16.219.41 DST MAC 00:00:00:00:00:00 DST IP 172.16.218.1
Код: Выделить всё
sh ip dhcp snooping binding | i 1/0/7
78:e3:b5:cb:2b:95 0.0.0.0 71 learned 345 gi1/0/7
cc:d5:39:d7:be:eb 0.0.0.0 82 learned 346 gi1/0/7
не получает пользователь IP. Чистим лизу на DHCP, дергаем порт. Новая лиза появляется, а IP в таблице снупинга нет.
Идем на вышестоящий коммутатор, смотрим 24 порт и видим привязку нашего мака и выданного IP.
Код: Выделить всё
#ip dhcp snooping binding | i gi1/0/24
08:2e:5f:27:00:42 172.16.216.50 691080 learned 345 gi1/0/24
78:e3:b5:cb:2b:95 172.16.216.44 680920 learned 345 gi1/0/24
cc:d5:39:d7:69:6b 172.16.219.38 691080 learned 346 gi1/0/24
cc:d5:39:d7:be:eb 172.16.219.41 691178 learned 346 gi1/0/24
#sh mac address-table | i gi1/0/24
345 08:2e:5f:27:00:42 gi1/0/24 dynamic
345 cc:d5:39:d7:69:6b gi1/0/24 dynamic
346 cc:d5:39:d7:69:6b gi1/0/24 dynamic
Принудительно выкл/вкл 24 порт. Ситуация не меняется. Как быть?
Код: Выделить всё
cle ip dhcp snooping database