MES1124 DHCP

[alexmasz]

Добрый день!

Из последних пяти свичей один не "пропускает" DHCP-пакеты:

Код: Выделить всё

show version
SW version    1.1.38 ( date  28-Apr-2015 time  13:30:21 )
Boot version    0.0.0.3 ( date  23-Feb-2011 time  17:40:14 )
HW version    01.03


Свичи присутствуют как с SW-ver. 1.1.38 так и с 1.1.22, - конфиг одинаковый, полет нормальный.

[Евгений Т]

Отправьте конфигурацию на почту
3200@eltex.org
Подробно опишите схему проверки. Есть ли еще коммутатор с такой же версией и таким же конфигом? Или на других версия 1.1.22?
Также коммутатор пришел с версией 1.1.38 или вы его вручную обновляли?

[Голубцов Дмитрий]

DHCP snooping включен?
ip dhcp snooping trust не забыли?

[alexmasz]

Конфиг без snmp-server и username

Код: Выделить всё

ip dhcp relay enable
ip dhcp information option
ip dhcp snooping
ip dhcp snooping vlan 999
ip dhcp snooping vlan 1007
ip dhcp snooping vlan 1014
ip dhcp snooping vlan 1015
ip dhcp snooping vlan 1016
ip dhcp snooping vlan 1017
ip dhcp snooping vlan 1018
ip dhcp snooping vlan 1019
ip dhcp snooping vlan 1020
ip dhcp snooping vlan 1021
ip dhcp snooping vlan 1022
ip dhcp snooping vlan 1023
ip dhcp snooping vlan 1024
ip dhcp snooping vlan 1025
ip dhcp snooping vlan 1026
ip dhcp snooping vlan 1027
ip dhcp snooping vlan 1028
ip dhcp snooping vlan 1029
ip dhcp snooping vlan 1030                                   
ip dhcp snooping vlan 1031
!
vlan database
 vlan 246,999,1007,1014-1031
exit
!
loopback-detection enable
!
hostname 246-32
!
no ip http server
!
interface fastethernet 1/0/1
 ip dhcp relay enable
 loopback-detection enable
 switchport access vlan 1017
 switchport forbidden default-vlan
 ip dhcp information option format-type circuit-id Vlan1017+Ethernet1/1
 ip dhcp information option format-type remote-id 246-32
exit
!
interface fastethernet 1/0/2
 ip dhcp relay enable
 loopback-detection enable
 switchport access vlan 1017
 switchport forbidden default-vlan
 ip dhcp information option format-type circuit-id Vlan1017+Ethernet1/2
 ip dhcp information option format-type remote-id 246-32
exit
!
interface fastethernet 1/0/24
 loopback-detection enable
 switchport access vlan 1007
 switchport forbidden default-vlan
 ip dhcp information option format-type circuit-id Vlan1007+Ethernet1/24
 ip dhcp information option format-type remote-id 246-32
exit
!
interface gigabitethernet 1/0/1
 ip dhcp snooping trust                                       
 switchport mode trunk
 switchport trunk allowed vlan add 246,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface gigabitethernet 1/0/2
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 246,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface gigabitethernet 1/0/3
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 246,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface gigabitethernet 1/0/4
 ip dhcp snooping trust
 switchport mode trunk                                       
 switchport trunk allowed vlan add 246,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface vlan 246
 ip address 192.168.246.32 255.255.255.0
exit


Через trunk c ip dhcp snooping trust dhcp-пакеты ходят c других свичей, абоненты работают. На самом коммутаторе, получаем такое:
show ip dhcp snooping binding

Код: Выделить всё

Total number of binding: 2

   MAC Address       IP Address    Lease (sec)     Type    VLAN Interface 
------------------ --------------- ------------ ---------- ---- ----------
d4:ca:6d:7d:53:a0  0.0.0.0         93           learned    1007 fa1/0/24   
00:0c:42:8b:73:bf  0.0.0.0         5            learned    1017 fa1/0/2   


tcpdump -nn -s 0 -v port 67 or port 68 ничего не ловит с этого коммутатора (:

Как пример другой коммутатор, в таких же условиях:

Код: Выделить всё

ip dhcp relay enable
ip dhcp information option
ip dhcp information option format-type remote-id 243-13
ip dhcp snooping
ip dhcp snooping vlan 999
ip dhcp snooping vlan 1007
ip dhcp snooping vlan 1014
ip dhcp snooping vlan 1015
ip dhcp snooping vlan 1016
ip dhcp snooping vlan 1017
ip dhcp snooping vlan 1018
ip dhcp snooping vlan 1019
ip dhcp snooping vlan 1020
ip dhcp snooping vlan 1021
ip dhcp snooping vlan 1022
ip dhcp snooping vlan 1023
ip dhcp snooping vlan 1024
ip dhcp snooping vlan 1025
ip dhcp snooping vlan 1026
ip dhcp snooping vlan 1027
ip dhcp snooping vlan 1028
ip dhcp snooping vlan 1029
ip dhcp snooping vlan 1030
ip dhcp snooping vlan 1031                                   
!
vlan database
 vlan 243,999,1007,1014-1031
exit
!
loopback-detection enable
!
hostname 243-13
!
no ip http server
!
interface fastethernet 1/0/1
 ip dhcp relay enable
 loopback-detection enable
 switchport access vlan 1016
 switchport forbidden default-vlan
 ip dhcp information option format-type circuit-id Vlan1016+Ethernet1/1
 ip dhcp information option format-type remote-id 243-13     
exit
!
interface gigabitethernet 1/0/1
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 243,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface gigabitethernet 1/0/2
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 243,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface gigabitethernet 1/0/3
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 243,999,1007,1014-1031
 switchport forbidden default-vlan
exit                                                         
!
interface gigabitethernet 1/0/4
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 243,999,1007,1014-1031
 switchport forbidden default-vlan
exit
!
interface vlan 243
 ip address 192.168.243.13 255.255.255.0
exit


show ip dhcp snooping binding

Код: Выделить всё

Total number of binding: 1

MAC Address       IP Address    Lease (sec)     Type    VLAN Interface 
------------------ --------------- ------------ ---------- ---- ----------
1c:af:f7:1e:62:a5  93.xx.xx.119   26607        learned    1016 fa1/0/1


Ну а вообще пока что по почте с поддержкой общаемся. Соберу на столе с обнуление конфига.
До этого собирался, есть один момент что в vlan 1(default) все работает!

[alexmasz]

И еще - оба коммутатора стоят между других свичей(на некоторых ветка присутсвует гирдянда), схема:

[ isc-dhcp-server ] ----- [ switch ] ----- [ mes1124 ] ----- [ switch ]

[Александр Селезнев]

При вашей настройке DHCP запросы идут в uplink в vlan 1017(к примеру с порта 1). Дальше надо смотреть кто в этом vlane ответил на этот запрос.

[Vans]

А как сделать так, чтоб они не ходили, т.е. чтоб свич убивал оригинальный широковещательный запрос клиента?

[Александр Селезнев]

Опишите подробней, что имели в виду. Наличие двух запросов в оригинальном vlan и vlan, в который происходит relay?

[Vans]

Имеем цепочку свитчей. На каждом два влана, клиентский (один и тот же на всех свичах), и управляющий.
Получается такая ситуация:
1. Клиент отправляет широковещательный DHCP запрос.
2. Свитч, в который воткнут клиент его релеит на сервер. Здесь вроде все нормально.
3. Оригинальный запрос летит по влану дальше, попадая по очереди на остальные свитчи в этой цепочке.
4. Каждый свитч релеит опять этот запрос на сервер.

Нужно сделать, чтоб свитч, который релеит запрос клиента, убивал оригинальный запрос клиента.
Т.е. так как у длинка. Цель то в общем заменить длинки на элтексы.

[Александр Селезнев]

Vans, это баг, поправим в следующих версиях ПО

[Vans]

Очень надеюсь, что это произойдет достаточно быстро....

[Vans]

Нет ли движений по этому багу? Он становится все более критичным для нас.

[Александр Селезнев]

Задача на проработку стоит. Точные сроки исправления пока сказать не могу, ориентировочно октябрь

[Indigo]

Если это поможет скорейшему выходу исправления, тоже подпишусь под этим багом. Пока работаем "как есть", но количество DHCP-запросов к серверу умножается на количество коммутаторов, которые релеят такие запросы в пользовательском ВЛАНе. Само-DDoS получается.