Jump to content
Калькуляторы

Cisco VLAN

Доброго времени суток. Помогите разобраться, уже с ума схожу о_О Начал ерундить DHCP, перестал раздавать IP адреса. DHCP на Windows Server 2008 R2. Сеть в основном на коммутаторах Cisco, есть несколько VLANов, в качестве ядра выступает Cisco WS-C3550-48-SMI. Конкретно сейчас интересует, как так получается, что на порту стоит:

interface FastEthernet0/19
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast

но при этом DHCP выдаёт IP из другой подсети и другого VLANa и при этом сеть работает о_О т.е. мой IP адрес 10.172.20.60/24, и всё работает, но если я поставлю IP адрес, например 10.172.22.230/24 то сеть тоже работает. а если IP адрес из VLAN 21, например 10.172.21.230/24, то трафик не ходит, как и должно быть. Физически подключен именно к циске, которая рулит трафиком.

Конфиг циски прилагаю:

version 12.2
no service pad
service timestamps debug datetime
service timestamps log datetime
no service password-encryption
!
hostname *
!
enable password *
!
no aaa new-model
clock timezone YEKT 5
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
ip subnet-zero
ip routing
no ip domain-lookup
!
vtp domain TUM
vtp mode transparent
!
!
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10,20-23,111
!
interface FastEthernet0/1
 no switchport
 ip address 10.172.24.1 255.255.255.0
!
interface FastEthernet0/2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20-23,111
 switchport mode trunk
!
interface FastEthernet0/3
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20-23,111
 switchport mode trunk
!
interface FastEthernet0/4
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/5
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
*********
interface FastEthernet0/41
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/42
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/43
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/44
 switchport access vlan 22
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/45
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/46
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20-23,111
 switchport mode trunk
!
interface FastEthernet0/47
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20-23,111
 switchport mode trunk
!
interface FastEthernet0/48
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20-23,111
 switchport mode trunk
!
interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20-23,111
 switchport mode trunk
!
interface GigabitEthernet0/2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20-23,111
 switchport mode trunk
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan3
 no ip address
 shutdown
!
interface Vlan10
 ip address 10.172.10.1 255.255.255.0
 ip broadcast-address 10.172.10.255
 no ip redirects
 no ip proxy-arp
!
interface Vlan20
 ip address 10.172.20.1 255.255.255.0
 ip broadcast-address 10.172.20.255
 ip helper-address 10.172.23.11
 no ip redirects
 no ip proxy-arp
!
interface Vlan21
 ip address 10.172.21.1 255.255.255.0
 ip broadcast-address 10.172.21.255
 ip helper-address 10.172.23.11
 no ip redirects
 no ip proxy-arp
!
interface Vlan22
 ip address 10.172.22.1 255.255.255.0
 ip broadcast-address 10.172.22.255
 ip helper-address 10.172.23.11
 no ip redirects
 no ip proxy-arp
!
interface Vlan23
 ip address 10.172.23.254 255.255.255.0
 ip broadcast-address 10.172.23.255
 ip helper-address 10.172.23.11
 no ip redirects
 no ip proxy-arp
!
interface Vlan111
 ip address 10.172.1.1 255.255.255.0
!
ip classless
no ip forward-protocol udp tftp
no ip forward-protocol udp time
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp tacacs
ip route 0.0.0.0 0.0.0.0 10.172.20.14
ip route 10.0.0.0 255.0.0.0 10.172.20.10
ip route 10.172.100.0 255.255.255.0 10.172.20.14
ip http server
!
no logging trap
!
control-plane
!
banner motd ^C
               *   ^C
!
line con 0
 exec-timeout 0 0
 privilege level 15
 password *
 logging synchronous
line vty 0 4
 exec-timeout 60 0
 password *
 logging synchronous
 login
line vty 5 15
 login
!
ntp clock-period 17180245
ntp server 10.172.20.14
end

 

Share this post


Link to post
Share on other sites

Как обычно не хватает схемки.

 

Если у вас схема сервер<---->коммутатор1<---->коммутатор2<---->ПК 

Смотрите на 1 коммутаторе, в каком влане прилетает мак ПК. Или смотрите где светится мак клиента в этом влане. 

 

Возможно у вас петля L1 собрана между портами. 

Или устройство есть которое собирает мост между вланами или прокси арп. 

 

Share this post


Link to post
Share on other sites

Вот типичный пример, клиент МФУ принтер, включаю аппарат, он шлёт запрос:

d11339e3608e250b0c38f5401fbdaf86.png

Получает ответ от DHCP сервера с предложением, если я правильно понял, получить IP 10.172.20.59:

89074a2266223e7be7818efd28921d7c.png

И вот тут происходит засада, МФУ, почему то, шлёт ответ с предложением присвоить другой IP о_О , конкретно 10.172.22.33:

1289e16b377ad7489c3799bb5650a501.png

И получает отказ от DHCP... в виде двух DHCP NAK:

92b43d15eee4ff2032a4fb0cea10e782.png

b31293a8e775b35ecb999c58232207d9.png

По факту МФУ подключен в свитч, свитч в порт на циске, на котором весит:

switchport access vlan 22

При этом на циске появляются две записи с MACом МФУ:

Tum-SwWkg1-05#show arp | inc 0483
Internet  10.172.20.59            0   705a.0f0f.0483  ARPA   Vlan20
Internet  10.172.22.33            0   705a.0f0f.0483  ARPA   Vlan22

Схема простая, есть циска, которая рулит трафиком, выше её конфигурация, на транках висят остальные циски, особых настроек нет, ACL нет, вся маршрутизация на центральной циске. Сервера, некоторые кабинеты с компьютерами ещё имеют прокладку в виде обычных свичей. С каким то событием всё происходящее связать не могу, вообще не понимаю, что поменялось и что происходит.

Edited by Morfz

Share this post


Link to post
Share on other sites

А по какому признаку DHCP сервер решает из какой подсети выдавать адрес тому или иному устройству?

 

Схему покажите.

Share this post


Link to post
Share on other sites

где-то в обычный свитч воткнули аксес порты разных вланов.

Share this post


Link to post
Share on other sites
10 минут назад, NikAlexAn сказал:

А по какому признаку DHCP сервер решает из какой подсети выдавать адрес тому или иному устройству?

 

Схему покажите.

DHCP сервер находится в VLAN 23, имеет адрес 10.172.23.11

Настроен следующим образом:

f94455816cd6f27bd10ffeb7c635f95f.png

На циске в конфигурации VLANов указано:

ip helper-address 10.172.23.11

Share this post


Link to post
Share on other sites
20 минут назад, zhenya` сказал:

где-то в обычный свитч воткнули аксес порты разных вланов.

ищем :)

Share this post


Link to post
Share on other sites

Можете пояснить логику работы DHCP в вашей сети?

Для чего ip-helper на коммутаторах и что ещё должно быть настроено на сервере чтоб это работало?

Share this post


Link to post
Share on other sites

@Morfz sh mac address-table address H.H.H
 

По маку клиента посмотрите. В каком влане светится пк. 

Share this post


Link to post
Share on other sites

Проблема прояснилась, дело либо действительно в петле, как писал zhenya`либо в глючных коммутаторах. У нас два этажа были надстроены в здании и что бы не тянуть кучу проводов до патч-панели в серверной, а у нас всё оборудование в одном месте, с этих этажей кинули три провода, соответственно установили три коммутатора на одном из этажей и там же патч-панель и подключили это дело к цискам. Один был воткнут в циску на порт с VLAN 20, второй на порт с VLAN 22, третий не важно :) И видимо наши ребята, чего то не того натыкали, и получилось то, что получилось. После отключения этих железок, проблемы пропали, провода от компьютеров все выткнули и заново подключили, пока полет нормальный. По факту петлю найти не смогли. Но там мягко говоря бардак с проводами и ребята всё по-быстрому переключали, ибо работа встала у двух этажей.

27 минут назад, pingz сказал:

@Morfz sh mac address-table address H.H.H
 

По маку клиента посмотрите. В каком влане светится пк. 

Сейчас всё как надо показывает. Спасибо.

47 минут назад, NikAlexAn сказал:

Можете пояснить логику работы DHCP в вашей сети?

Для чего ip-helper на коммутаторах и что ещё должно быть настроено на сервере чтоб это работало?

Ну попробую. ip-helper указывает, куда надо пересылать широковещательные запросы DHCP клиента, что позволяет клиентам из разных VLANов общаться с DHCP сервером, так как каждый VLAN, это отдельный широковещательный домен. Что должно быть настроено на сервере ЕЩЁ, кроме самого DHCP сервера, сказать затрудняюсь, так как настраивал этот сервер не я. Если вы чем то можете помочь, просветить, подсказать, буду очень благодарен.

Всем спасибо за помощь, сам бы не допер в какую сторону смотреть, где искать.

Edited by Morfz

Share this post


Link to post
Share on other sites

Где то в настройках области или пула должен быть указан адрес DHCP relay agent(адрес интерфейса с ip helper).

Судя по приведённым пакетам - должно быть всё прописано.

 

Кстати - корректная схема вам самому сильно облегчит диагностику.

Share this post


Link to post
Share on other sites
3 минуты назад, NikAlexAn сказал:

Где то в настройках области или пула должен быть указан адрес DHCP relay agent(адрес интерфейса с ip helper).

Судя по приведённым пакетам - должно быть всё прописано.

 

Кстати - корректная схема вам самому сильно облегчит диагностику.

вы не правы. дхцп сервер выбирает скоп/пул на основе адреса relay agent. ничего дополнительно прописывать не нужно. Поэтому оно собственно предложило разные адреса.

 

все нормально в дампе за исключением дублей, которые говорят, что пакеты прошли через разные релеи. Что означает то, что внезапно броадкаст пришел в два л3 интерфейса.

Share this post


Link to post
Share on other sites
2 часа назад, NikAlexAn сказал:

Где то в настройках области или пула должен быть указан адрес DHCP relay agent(адрес интерфейса с ip helper).

Судя по приведённым пакетам - должно быть всё прописано.

это не нужно прописывать, адрес интерфейса на который пришел дхцп-реквест циской отправляется на дхцп-сервер, из этого тот понимает из какого пула выдавать адрес

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this