Перейти к содержимому
Калькуляторы

Cisco 3750 dhcp relay не добавляет маршрут

День добрый, с неделю назад появилась такая проблема у некоторых абонентов:

1. Абонент включает свой комп/роутер

2. Комп запрашивает адрес

3. snr-2950 на доступе вставляет opt.82 и все это транзитом через 2970 бродкастом уходит на циску

4. Циска релеит на dhcp сервер

5. dhcp сервер отвечает положительно

6. Но циска почему-то не делает привязку

3750#show ip dhcp binding 77.35.х.х
% Adddress 77.35.х.х is not in the database.

И маршрут соответственно тоже не добавляет

7. На доступе при этом все хорошо, абонент получает адрес. Только ничего не работает, маршрута то нет. :)

switch#show ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:7

MAC                 IP address          Interface           Vlan ID   Flag
----------------------------------------------------------------------------
00-1d-60-78-5a-00   77.35.x.x        Ethernet1/1         731       DL

 

Лечится передергиванием сетевого подключения, ну или шнурка, в общем всем, что заставляет устройство опять попросить адрес.

Работает, как правило, до тех пор, пока устройство не выключат, на время превышающее время аренды (был час, сделал два)

 

 

Кусочки конфига 3750:

#sh ver

WS-C3750G-24TS     12.2(55)SE12          C3750-IPSERVICESK9-M

ip dhcp relay information policy keep
no ip dhcp relay information check
ip dhcp relay information trust-all

 

interface Vlan731
 ip unnumbered Loopback2
 ip helper-address 172.16.0.10

 

Помогите, люди добрые.

 

2018-03-19_10-54-03.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/50sg/configuration/guide/Wrapper-46SG/unnumber.html

Workarounds:

blank.gifFor a layer 3 interface (SVI), enter shut then no shut.

blank.gifTo enable IP unnumbered to use static routes, enter the ip dhcp route static command.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, dmvy сказал:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/50sg/configuration/guide/Wrapper-46SG/unnumber.html

Workarounds:

blank.gifFor a layer 3 interface (SVI), enter shut then no shut.

blank.gifTo enable IP unnumbered to use static routes, enter the ip dhcp route static command.

Не совсем понятно, в смысле совсем не понятно :)

выключить/включить лупбек и прописать ip dhcp route static?

Эта команда даже в конфиге не отображается, но у меня и так все маршруты с флагом S.

 

 

Вспомнил прошлогодний похожий случай, но я тогда разбираться не стал, сменил абонентский влан и все заработало как прежде. Завтра попробую с проблемными абонами.

Есть какие-то мысли, что это может быть? tcam/cpu/память, все в норме

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем, что получается

Как оказалось 100% проблемных клиентов это windows 7.

Около минуты клиент работает, потом отваливается. В первый раз этого не заметил, ибо комп был дохленький.

 

На dhcp сервере в этот момент такая картина:

 

DHCPREQUEST for 77.35.х.91 from 00:0f:02:68:61:88 via 77.35.х.1
DHCPACK on 77.35.х.91 to 00:0f:02:68:61:88 (userPC) via 77.35.x.1

В это время маршрут на циске уже есть и все работает

 

На доступе появляется привязка с флагом DOL

flag: D - Dynamic ; U - already upload server ; 
S - static binding info from shell; R - static  binding info from server; 
O - dhcp ack has option82; X - notify dot1x ok; 
L - notify driver ok; E - notify dot1x error
P - binding protect;
--------------------------------------------------------
DHCP Snooping Binding built at THU MAR 22 11:24:20 2018
  Time Stamp: 7845818
  Ref Count: 1
  VID 763, Port: Ethernet1/7
  Client MAC: 00-0f-02-68-61-88
  Client IP: 77.35.x.91 255.255.255.0
  Gateway: 77.35.x.1
  Lease: 3600(s)
  Flag: DOL
Expired Binding: 0
Request Binding: 0

Дальше на dhcp сервер, уже мимо релея прилетает вот такая шляпа

 

data: leased_address: not available
agent.circuit-id bin8=86 108 97 110 55 51 55 47 69 116 104 101 114 110 101 116 49 47 49
agent.remote-id txt=172.16.200.27
agent.remote-id bin8=49 55 50 46 49 54 46 50 48 48 46 50 55
dhcpd: data: leased_address: not available
last message repeated 6 times
dhcpd: DHCPINFORM from 77.35.x.91 via Leth1
dhcpd: DHCPACK to 77.35.x.91
77.35.x.1.67 > 172.16.0.10.67: [udp sum ok]  (request) hops:1 xid:0xa71e8ca8 flags:0x8000 C:77.35.x.91 G:77.35.x.1 ether 00:0f:02:68:61:88 vend-rfc1048
DHCP:INFORM CID:[ether]00:0f:02:68:61:88 HN:"userPC" VC:"MSFT 5.0" PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T121+T249+VO+T252 
ACKT:1.19.86.108.97.110.56.48.48.47.69.116.104.101.114.110.101.116.49.47.51.2.13.49.55.50.46.49.54.46.50.48.48.46.53.52 (ttl 255, id 50022, len 358)

 

После чего маршрут с циски пропадает, а на доступе флаг меняется на DL.

 

И даже когда дергаешь подключение и все вроде начинает работать, на доступе и на циске постоянно идут несостыковки по времени аренды, т.е. на циске маршрут может кончиться раньше, чем лиза на доступе.

 

 

Решительно не понимаю, почему так происходит, ну т.е. я нашел упоминание, что это скорей всего wpad долбит dhcp, но куда и почему пропадает маршрут не ясно.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
53 минуты назад, zhenya` сказал:

isc dhcpd ? покажите кусок конфига

Да вроде isc 3.0.1, мож пропатченный какой, из состава Carbon Billing 4.

ddns-update-style none;
default-lease-time 3600;
max-lease-time 7200;
authoritative;
log-facility local7;
option ms-classless-static-routes code 249 = array of integer 8;
option rfc3442-classless-static-routes code 121 = array of integer 8;
log ( info, "" );

 
if exists agent.circuit-id {
log ( info, concat( "PARS_SNR2950:: Lease for ", binary-to-ascii(10, 8, ".", leased-address),
" SWIP=", option agent.remote-id,
" VLAN=", substring( option agent.circuit-id, 4, 3),
" PORT=", substring( option agent.circuit-id, 18, 2)
));
    }

shared-network ISC {

subnet 172.16.0.10 netmask 255.255.255.255
{
 option subnet-mask 255.255.255.255;
 option domain-name-servers 172.16.0.11,172.16.0.12;
}
# end subnet 172.16.0.10 netmask 255.255.255.255

subnet 77.35.x.0 netmask 255.255.255.0
{
 option routers 77.35.x.1;
 option subnet-mask 255.255.255.0;
 option domain-name-servers 172.16.0.11,172.16.0.12;
}
# end subnet 77.35.x.0 netmask 255.255.255.0



class "match_vlan_731_port_7_ip_172_16_100_62_ip"{
    match if ((substring( option agent.circuit-id, 4, 3) = "731") and (substring( option agent.circuit-id, 18, 2) = "7") and (option agent.remote-id = "172.16.100.62"));
  }

  pool{
    range 77.35.x.86;
    allow members of "match_vlan_731_port_7_ip_172_16_100_62_ip";
  }

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Butch3r сказал:

Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

действительно proxy arp нужно включить на cisco. или local proxy arp. не помню что точно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дописал в конфиг isc

option wpad code 252 = text; 
option wpad "\n";

DHCP Inform перестали прилетать. Сейчас поубираю статические маршруты до проблемных клиентов, завтра с утра посмотрим как оно.

 

5 часов назад, Butch3r сказал:

Попробуйте у проблемного абонента прописать статическую ARP запись с мак адресом его шлюза

Если не стрельнет,завтра буду пробовать.

2 часа назад, dmvy сказал:

действительно proxy arp нужно включить на cisco. или local proxy arp. не помню что точно

да proxy arp и так вроде по умолчанию включен

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну я не знаю...

 

Тушу порт клиента, очищаю привязку на доступе, удаляю маршрут в ядре, имитирую, так сказать, длительное выключение компа.

Включаю порт - всё збс, абонент получает адрес, циска создает маршрут.

Вечером абонент выключает комп, а с утра опять борода, минуту работаем и приехали.

 

Вот у человека проблема 1 в 1, он её решил переходом на isc, но у меня и так isc :)))

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему 3750 вообще выводит записи в show ip dhcp binding? Они там конечно с типом "Relay", но должны по идее отображаться лизы, выданные самой циской.

Рядом 3550 стоит, на ней этот список пустой, отображаются только маршруты через sh ip route dhcp. И никаких проблем с ней нет :)

 Конфиги отличаются одной строчкой

ip dhcp relay information option

На 3750 такой настройки нет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, myth сказал:

Не в авасте дело?

У двух абонентов, у которых был лично, был аваст, да. У остальных по телефону не спрашивал.

Я вообще как-то быстро переключился на поиск проблемы у себя. Попробую отработать ноутбук у клиента на часок :))) и потестировать в спокойной обстановке.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут где-то была информация о том, что аваст ломает дхцп клиент 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Была похожая проблема. На мой взгляд, от клиентской железки никак не зависит, в моем случае были убики в роли клиентов. Проблему отсутствия маршрутов решил включением poll-инга на unnumbered интерфейсах (ip unnumbered lo0 poll). Маршруты, конечно, не появились, но хоть интернет у абонентов появился. Потом все устаканилось, прошло много времени, уже работает без поллинга. Причину выловить не удалось.

К слову, в роли DHCP-сервера был микрот.

Изменено пользователем infery

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Четырежды*ляцкая ярость!

Да, это аваст. Помогает добавление статического arp'а, ну или удаление аваста :))

Всем большое спасибо за участие.

И эт, а кто-нибудь может вообще объяснить механику этого процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 24.03.2018 в 11:58, m9ic сказал:

Четырежды*ляцкая ярость!

Да, это аваст. Помогает добавление статического arp'а, ну или удаление аваста :))

Всем большое спасибо за участие.

И эт, а кто-нибудь может вообще объяснить механику этого процесса?

В этот раз у аваста какой то хитрый алгоритм определения лишнего - то режет то пропускает.

Установите на тестовую машинку аваст да погоняйте если интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас