[John_obn]

Добрый день.

Установили коммутатор SNR-S2965-48T вместо двух DLink DES-3200-28.

SoftWare Version 7.0.3.5(R0241.0092)

Есть порт:

Interface Ethernet1/0/34
description Wifi-UniFi
storm-control broadcast 16
storm-control multicast 16
storm-control unicast 16
switchport mode hybrid
switchport hybrid allowed vlan 11;404 tag
switchport hybrid allowed vlan 403 untag
switchport hybrid native vlan 403

Настройка DHCP Snooping:

ip dhcp snooping enable
ip dhcp snooping vlan 11
ip dhcp snooping information option reply keep
ip dhcp snooping binding enable
!
ip dhcp snooping information enable
ip dhcp snooping information option subscriber-id format hex

Uplink:

Interface Ethernet1/0/52
description Uplink-Cat65-Brit-Gi2/2
mls qos trust dscp
mls qos queue algorithm sp
switchport mode trunk
switchport trunk allowed vlan 1;11;20;47;63;257;400;403-404 
ip dhcp snooping trust

В 11 vlan на 34 порту появляется клиент и делает DHCP запрос, коммутатор вставляет опцию 82 верно, что видно на сервере. Сервер шлет ответ, но он будто не доходит до клиента, т.к. клиент остается без IP. Более того, в show ip dhcp snooping binding all и show ip dhcp snooping int eth 1/0/34 видно, что ответ от DHCP до коммутатора дошел и всю инфу по выданному адресу видно. Параллельно в 11 vlan есть второй DHCP сервер (да, знаю, что неправильно, но с DLink такого не было), который на этот же запрос от клиента шлет:

14:19:43.044440 90:e2:ba:2c:a0:e9 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 345: (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 331)
   172.16.111.1.67 > 255.255.255.255.68: [udp sum ok] BOOTP/DHCP, Reply, length 303, xid 0xc3c7c6ae, secs 8, Flags [broadcast] (0x8000)
  Server-IP 172.16.111.1
  Client-Ethernet-Address 18:34:51:d3:74:06
  Vendor-rfc1048 Extensions
    Magic Cookie 0x63825363
    DHCP-Message Option 53, length 1: NACK
    Server-ID Option 54, length 4: 172.16.111.1
    MSG Option 56, length 31: "requested address not available"
    Agent-Information Option 82, length 18: 
      Circuit-ID SubOption 1, length 8: ^@^F^@^K^A^@^@"
      Remote-ID SubOption 2, length 6: M-xM-pM-^B^Q0M-^X
    END Option 255, length 0

Т.е. S2965 видит два ответа, один из которых NACK и в итоге ответ клиенту не уходит. Мне кажется это не совсем верное поведение. Как это можно обойти?

[John_obn]

Удалось победить, перейдя от dhcp snooping к dhcp relay на этом коммутаторе. Но все же хочется услышать рецепты обхода и нормально ли поведение, описанное в первом посте.

[Mikhail Burnin]

Добрый день,

не совсем понятна Ваша схема сети, у вас 1 DHCP сервер в 11 vlan а второй в vlan управления ?

DHCP пакеты должны юнискастом релеится на DHCP сервер ?

[John_obn]

Mikhail Burnin, добрый день.

2 DHCP сервера в 11 vlan. DHCP пакеты должны бродкастом доходить до сервера с навешанной коммутатором опцией 82. Далее один из DHCP серверов отвечает NACK, другой выдает IP. У меня проблема в том, что из-за отправки одним из DHCP серверов ответа NACK, валидный ответ от второго DHCP сервера не долетает до клиента.

[John_obn]

Чтобы не поднимать новую тему, спрошу здесь: что делает опция ip dhcp broadcast suppress ? Блокирует от клиентов broadcast dhcp запросы, но при этом если работает relay - то relay'ит их? Если так , то не очень это удобно делать глобально, т.к. могут быть разные конфигурации работы DHCP с разными vlan. Было бы неплохо эту опцию делать per-port+per-vlan.

[John_obn]

Все же ip dhcp broadcast suppress глобально - зло. Feature request - сделайте, пожалуйста, возможную настройку per-vlan per-port

[John_obn]

Mikhail Burnin, сообщите, планируется ли такое в следующих прошивках.