Элтекс

Добрый день,

Схема:
DHCP сервер - роутер и два коммутатора друг за другом.


На коммутаторах настроен dhcp snooping и arp inspection

Техподдержка подключает телефон+ПК в 1 коммутатор 24 порт. ПК и тел. получают IP, всё работает, все довольны.
Через некоторое время пользователя из 24 порта 1 коммутатора переключают в 7 порт второго коммутатора, а на его место заезжает другой пользователь со своим телефонои и ПК. Казалось бы ничего страшного, получаем заново IP и работаем. Пользователь подключенный в 1 коммутатор IP получил и заработал, а вот переехавший во 2 коммутатор не смог получить.

второй коммутатор:



не получает пользователь IP. Чистим лизу на DHCP, дергаем порт. Новая лиза появляется, а IP в таблице снупинга нет.
Идем на вышестоящий коммутатор, смотрим 24 порт и видим привязку нашего мака и выданного IP.

Принудительно выкл/вкл 24 порт. Ситуация не меняется. Как быть?
не вариант, все остальные пользователи заблокируются.

В настройки коммутаторов добавьте команду
ip dhcp snooping information option allowed-untrusted

Честно говоря, в моем случае, не понятна логика работы приведенной команды?

Согласно документации "Разрешает принимать DHCP-пакеты с опцией 82 от «ненадежных» портов.", Но у меня порты между коммутаторами и вышестоящим маршрутизатором trusted. Возможно моя ошибка в том что я объявил стыковочный порт между switch1 и switch2 trusted, что не позволило switch1 изучать адреса с этого порта и переписывать таблицу. На оборудовании другого производителя, trusted порт между коммутаторами, это абсолютно рабочий вариант и ничего криминального я тоже в этом не вижу.

В настройки коммутаторов добавьте команду
ip dhcp snooping information option allowed-untrusted

Правда не к месту, не внимательно прочитал первый раз

Не следует настраивать ip dhcp snooping trust на портах в сторону нижестойщих коммутаторов. Эта настройка только для портов в сторону сервера.

Да проблема старая, когда мы с ней столкнулись впервые, долго не понимали, ведь дропается пакеты на trusted порту, хотя но я не решусь назвать это багом.

Вот адрес на порту, запомнен, активен, что его по магистрали то пропускать? Там его быть не должно!
Не ясно только почему тихо убиваются пакеты, и почему, trust какой-то и не очень доверенный выходит.

Может добавить опцию отдельную для этого? Ведь изменение порта юзера из порта в порт рядом стоящего коммутатора, частая задача довольно, у операторов. От простой замены коммутатора, lо сгоревшего порта. Не говоря уже про адреса техсапорта выездного, которые своим оборудованием в любой порт могут залезть.

Вот адрес на порту, запомнен, активен, что его по магистрали то пропускать? Там его быть не должно!
Не ясно только почему тихо убиваются пакеты, и почему, trust какой-то и не очень доверенный выходит.

trusted port - порт в сторону сервера. Данная логика работы предполагает, что таблица dhcp snooping не будет обучаться на этом интерфейсе. Соответственно раз таблица dhcp снупинга не переобучилась при переключении клиента, то запись для старого порта (куда был подключен клиент до переключения) в таблице снупинга сохраняется =>dhcp offer от сервера полетит по старому маршруту.
В будущих версиях ПО будет создана возможность очищать отдельную запись в таблице dhcp snooping

а что значит вот такое ?
08-Dec-2018 13:57:20 %ARPINSP-I-PCKTLOG: ARP packet dropped from port
ith VLAN tag 500 and reason: packet verification failed
SRC MAC 00:24:54:cf:cb:04 SRC IP 0.0.0.0 DST MAC 00:00:00:00:00:00 DST

Устройство не прошло верификацию, и запрос IP-адреса для него был отвергнут.
Странно, что отображается VLAN и не отображается физ. порт с которого пришел пакет.