[m9ic]

День добрый, с неделю назад появилась такая проблема у некоторых абонентов:

1. Абонент включает свой комп/роутер

2. Комп запрашивает адрес

3. snr-2950 на доступе вставляет opt.82 и все это транзитом через 2970 бродкастом уходит на циску

4. Циска релеит на dhcp сервер

5. dhcp сервер отвечает положительно

6. Но циска почему-то не делает привязку

3750#show ip dhcp binding 77.35.х.х
% Adddress 77.35.х.х is not in the database.

И маршрут соответственно тоже не добавляет

7. На доступе при этом все хорошо, абонент получает адрес. Только ничего не работает, маршрута то нет. :)

switch#show ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:7

MAC                 IP address          Interface           Vlan ID   Flag
----------------------------------------------------------------------------
00-1d-60-78-5a-00   77.35.x.x        Ethernet1/1         731       DL

 

Лечится передергиванием сетевого подключения, ну или шнурка, в общем всем, что заставляет устройство опять попросить адрес.

Работает, как правило, до тех пор, пока устройство не выключат, на время превышающее время аренды (был час, сделал два)

 

 

Кусочки конфига 3750:

#sh ver

WS-C3750G-24TS     12.2(55)SE12          C3750-IPSERVICESK9-M

ip dhcp relay information policy keep
no ip dhcp relay information check
ip dhcp relay information trust-all

 

interface Vlan731
 ip unnumbered Loopback2
 ip helper-address 172.16.0.10

 

Помогите, люди добрые.

 

[dmvy]

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/50sg/configuration/guide/Wrapper-46SG/unnumber.html

Workarounds:

–For a layer 3 interface (SVI), enter shut then no shut.

–To enable IP unnumbered to use static routes, enter the ip dhcp route static command.

[m9ic]

2 часа назад, dmvy сказал:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/50sg/configuration/guide/Wrapper-46SG/unnumber.html

Workarounds:

–For a layer 3 interface (SVI), enter shut then no shut.

–To enable IP unnumbered to use static routes, enter the ip dhcp route static command.

Не совсем понятно, в смысле совсем не понятно :)

выключить/включить лупбек и прописать ip dhcp route static?

Эта команда даже в конфиге не отображается, но у меня и так все маршруты с флагом S.

 

 

Вспомнил прошлогодний похожий случай, но я тогда разбираться не стал, сменил абонентский влан и все заработало как прежде. Завтра попробую с проблемными абонами.

Есть какие-то мысли, что это может быть? tcam/cpu/память, все в норме

[m9ic]

В общем, что получается

Как оказалось 100% проблемных клиентов это windows 7.

Около минуты клиент работает, потом отваливается. В первый раз этого не заметил, ибо комп был дохленький.

 

На dhcp сервере в этот момент такая картина:

 

DHCPREQUEST for 77.35.х.91 from 00:0f:02:68:61:88 via 77.35.х.1
DHCPACK on 77.35.х.91 to 00:0f:02:68:61:88 (userPC) via 77.35.x.1

В это время маршрут на циске уже есть и все работает

 

На доступе появляется привязка с флагом DOL

flag: D - Dynamic ; U - already upload server ; 
S - static binding info from shell; R - static  binding info from server; 
O - dhcp ack has option82; X - notify dot1x ok; 
L - notify driver ok; E - notify dot1x error
P - binding protect;
--------------------------------------------------------
DHCP Snooping Binding built at THU MAR 22 11:24:20 2018
  Time Stamp: 7845818
  Ref Count: 1
  VID 763, Port: Ethernet1/7
  Client MAC: 00-0f-02-68-61-88
  Client IP: 77.35.x.91 255.255.255.0
  Gateway: 77.35.x.1
  Lease: 3600(s)
  Flag: DOL
Expired Binding: 0
Request Binding: 0

Дальше на dhcp сервер, уже мимо релея прилетает вот такая шляпа

 

data: leased_address: not available
agent.circuit-id bin8=86 108 97 110 55 51 55 47 69 116 104 101 114 110 101 116 49 47 49
agent.remote-id txt=172.16.200.27
agent.remote-id bin8=49 55 50 46 49 54 46 50 48 48 46 50 55
dhcpd: data: leased_address: not available
last message repeated 6 times
dhcpd: DHCPINFORM from 77.35.x.91 via Leth1
dhcpd: DHCPACK to 77.35.x.91

77.35.x.1.67 > 172.16.0.10.67: [udp sum ok]  (request) hops:1 xid:0xa71e8ca8 flags:0x8000 C:77.35.x.91 G:77.35.x.1 ether 00:0f:02:68:61:88 vend-rfc1048
DHCP:INFORM CID:[ether]00:0f:02:68:61:88 HN:"userPC" VC:"MSFT 5.0" PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T121+T249+VO+T252 
ACKT:1.19.86.108.97.110.56.48.48.47.69.116.104.101.114.110.101.116.49.47.51.2.13.49.55.50.46.49.54.46.50.48.48.46.53.52 (ttl 255, id 50022, len 358)

 

После чего маршрут с циски пропадает, а на доступе флаг меняется на DL.

 

И даже когда дергаешь подключение и все вроде начинает работать, на доступе и на циске постоянно идут несостыковки по времени аренды, т.е. на циске маршрут может кончиться раньше, чем лиза на доступе.

 

 

Решительно не понимаю, почему так происходит, ну т.е. я нашел упоминание, что это скорей всего wpad долбит dhcp, но куда и почему пропадает маршрут не ясно.

 

 

[zhenya`]

isc dhcpd ? покажите кусок конфига

[m9ic]

53 минуты назад, zhenya` сказал:

isc dhcpd ? покажите кусок конфига

Да вроде isc 3.0.1, мож пропатченный какой, из состава Carbon Billing 4.

ddns-update-style none;
default-lease-time 3600;
max-lease-time 7200;
authoritative;
log-facility local7;
option ms-classless-static-routes code 249 = array of integer 8;
option rfc3442-classless-static-routes code 121 = array of integer 8;
log ( info, "" );

 
if exists agent.circuit-id {
log ( info, concat( "PARS_SNR2950:: Lease for ", binary-to-ascii(10, 8, ".", leased-address),
" SWIP=", option agent.remote-id,
" VLAN=", substring( option agent.circuit-id, 4, 3),
" PORT=", substring( option agent.circuit-id, 18, 2)
));
    }

shared-network ISC {

subnet 172.16.0.10 netmask 255.255.255.255
{
 option subnet-mask 255.255.255.255;
 option domain-name-servers 172.16.0.11,172.16.0.12;
}
# end subnet 172.16.0.10 netmask 255.255.255.255

subnet 77.35.x.0 netmask 255.255.255.0
{
 option routers 77.35.x.1;
 option subnet-mask 255.255.255.0;
 option domain-name-servers 172.16.0.11,172.16.0.12;
}
# end subnet 77.35.x.0 netmask 255.255.255.0



class "match_vlan_731_port_7_ip_172_16_100_62_ip"{
    match if ((substring( option agent.circuit-id, 4, 3) = "731") and (substring( option agent.circuit-id, 18, 2) = "7") and (option agent.remote-id = "172.16.100.62"));
  }

  pool{
    range 77.35.x.86;
    allow members of "match_vlan_731_port_7_ip_172_16_100_62_ip";
  }

 

[Butch3r]

Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

[dmvy]

3 часа назад, Butch3r сказал:

Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

действительно proxy arp нужно включить на cisco. или local proxy arp. не помню что точно

[m9ic]

Дописал в конфиг isc

option wpad code 252 = text; 
option wpad "\n";

DHCP Inform перестали прилетать. Сейчас поубираю статические маршруты до проблемных клиентов, завтра с утра посмотрим как оно.

 

5 часов назад, Butch3r сказал:

Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

Если не стрельнет,завтра буду пробовать.

2 часа назад, dmvy сказал:

действительно proxy arp нужно включить на cisco. или local proxy arp. не помню что точно

да proxy arp и так вроде по умолчанию включен

[m9ic]

Ну я не знаю...

 

Тушу порт клиента, очищаю привязку на доступе, удаляю маршрут в ядре, имитирую, так сказать, длительное выключение компа.

Включаю порт - всё збс, абонент получает адрес, циска создает маршрут.

Вечером абонент выключает комп, а с утра опять борода, минуту работаем и приехали.

 

Вот у человека проблема 1 в 1, он её решил переходом на isc, но у меня и так isc :)))

 

 

 

[m9ic]

Почему 3750 вообще выводит записи в show ip dhcp binding? Они там конечно с типом "Relay", но должны по идее отображаться лизы, выданные самой циской.

Рядом 3550 стоит, на ней этот список пустой, отображаются только маршруты через sh ip route dhcp. И никаких проблем с ней нет :)

 Конфиги отличаются одной строчкой

ip dhcp relay information option

На 3750 такой настройки нет.

 

[myth]

Не в авасте дело?

[m9ic]

3 часа назад, myth сказал:

Не в авасте дело?

У двух абонентов, у которых был лично, был аваст, да. У остальных по телефону не спрашивал.

Я вообще как-то быстро переключился на поиск проблемы у себя. Попробую отработать ноутбук у клиента на часок :))) и потестировать в спокойной обстановке.

 

 

[myth]

Тут где-то была информация о том, что аваст ломает дхцп клиент 

 

 

[infery]

Была похожая проблема. На мой взгляд, от клиентской железки никак не зависит, в моем случае были убики в роли клиентов. Проблему отсутствия маршрутов решил включением poll-инга на unnumbered интерфейсах (ip unnumbered lo0 poll). Маршруты, конечно, не появились, но хоть интернет у абонентов появился. Потом все устаканилось, прошло много времени, уже работает без поллинга. Причину выловить не удалось.

К слову, в роли DHCP-сервера был микрот.

Edited March 24, 2018 by infery

[m9ic]

Четырежды*ляцкая ярость!

Да, это аваст. Помогает добавление статического arp'а, ну или удаление аваста :))

Всем большое спасибо за участие.

И эт, а кто-нибудь может вообще объяснить механику этого процесса?

[myth]

Фаерволом что-то блокируется лишнее

[NikAlexAn]

В 24.03.2018 в 11:58, m9ic сказал:

Четырежды*ляцкая ярость!

Да, это аваст. Помогает добавление статического arp'а, ну или удаление аваста :))

Всем большое спасибо за участие.

И эт, а кто-нибудь может вообще объяснить механику этого процесса?

В этот раз у аваста какой то хитрый алгоритм определения лишнего - то режет то пропускает.

Установите на тестовую машинку аваст да погоняйте если интересно.