Morfz Опубликовано 9 октября, 2018 · Жалоба Доброго времени суток. Помогите разобраться, уже с ума схожу о_О Начал ерундить DHCP, перестал раздавать IP адреса. DHCP на Windows Server 2008 R2. Сеть в основном на коммутаторах Cisco, есть несколько VLANов, в качестве ядра выступает Cisco WS-C3550-48-SMI. Конкретно сейчас интересует, как так получается, что на порту стоит: interface FastEthernet0/19 switchport access vlan 20 switchport mode access spanning-tree portfast но при этом DHCP выдаёт IP из другой подсети и другого VLANa и при этом сеть работает о_О т.е. мой IP адрес 10.172.20.60/24, и всё работает, но если я поставлю IP адрес, например 10.172.22.230/24 то сеть тоже работает. а если IP адрес из VLAN 21, например 10.172.21.230/24, то трафик не ходит, как и должно быть. Физически подключен именно к циске, которая рулит трафиком. Конфиг циски прилагаю: version 12.2 no service pad service timestamps debug datetime service timestamps log datetime no service password-encryption ! hostname * ! enable password * ! no aaa new-model clock timezone YEKT 5 errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause sfp-config-mismatch errdisable recovery cause gbic-invalid errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause storm-control errdisable recovery cause arp-inspection errdisable recovery cause loopback ip subnet-zero ip routing no ip domain-lookup ! vtp domain TUM vtp mode transparent ! ! ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10,20-23,111 ! interface FastEthernet0/1 no switchport ip address 10.172.24.1 255.255.255.0 ! interface FastEthernet0/2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20-23,111 switchport mode trunk ! interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20-23,111 switchport mode trunk ! interface FastEthernet0/4 switchport access vlan 20 switchport mode access spanning-tree portfast ! interface FastEthernet0/5 switchport access vlan 20 switchport mode access spanning-tree portfast ********* interface FastEthernet0/41 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/42 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/43 switchport access vlan 20 switchport mode access spanning-tree portfast ! interface FastEthernet0/44 switchport access vlan 22 switchport mode access spanning-tree portfast ! interface FastEthernet0/45 switchport access vlan 20 switchport mode access spanning-tree portfast ! interface FastEthernet0/46 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20-23,111 switchport mode trunk ! interface FastEthernet0/47 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20-23,111 switchport mode trunk ! interface FastEthernet0/48 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20-23,111 switchport mode trunk ! interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20-23,111 switchport mode trunk ! interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20-23,111 switchport mode trunk ! interface Vlan1 no ip address shutdown ! interface Vlan3 no ip address shutdown ! interface Vlan10 ip address 10.172.10.1 255.255.255.0 ip broadcast-address 10.172.10.255 no ip redirects no ip proxy-arp ! interface Vlan20 ip address 10.172.20.1 255.255.255.0 ip broadcast-address 10.172.20.255 ip helper-address 10.172.23.11 no ip redirects no ip proxy-arp ! interface Vlan21 ip address 10.172.21.1 255.255.255.0 ip broadcast-address 10.172.21.255 ip helper-address 10.172.23.11 no ip redirects no ip proxy-arp ! interface Vlan22 ip address 10.172.22.1 255.255.255.0 ip broadcast-address 10.172.22.255 ip helper-address 10.172.23.11 no ip redirects no ip proxy-arp ! interface Vlan23 ip address 10.172.23.254 255.255.255.0 ip broadcast-address 10.172.23.255 ip helper-address 10.172.23.11 no ip redirects no ip proxy-arp ! interface Vlan111 ip address 10.172.1.1 255.255.255.0 ! ip classless no ip forward-protocol udp tftp no ip forward-protocol udp time no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgm no ip forward-protocol udp tacacs ip route 0.0.0.0 0.0.0.0 10.172.20.14 ip route 10.0.0.0 255.0.0.0 10.172.20.10 ip route 10.172.100.0 255.255.255.0 10.172.20.14 ip http server ! no logging trap ! control-plane ! banner motd ^C * ^C ! line con 0 exec-timeout 0 0 privilege level 15 password * logging synchronous line vty 0 4 exec-timeout 60 0 password * logging synchronous login line vty 5 15 login ! ntp clock-period 17180245 ntp server 10.172.20.14 end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 9 октября, 2018 · Жалоба Как обычно не хватает схемки. Если у вас схема сервер<---->коммутатор1<---->коммутатор2<---->ПК Смотрите на 1 коммутаторе, в каком влане прилетает мак ПК. Или смотрите где светится мак клиента в этом влане. Возможно у вас петля L1 собрана между портами. Или устройство есть которое собирает мост между вланами или прокси арп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morfz Опубликовано 9 октября, 2018 (изменено) · Жалоба Вот типичный пример, клиент МФУ принтер, включаю аппарат, он шлёт запрос: Получает ответ от DHCP сервера с предложением, если я правильно понял, получить IP 10.172.20.59: И вот тут происходит засада, МФУ, почему то, шлёт ответ с предложением присвоить другой IP о_О , конкретно 10.172.22.33: И получает отказ от DHCP... в виде двух DHCP NAK: По факту МФУ подключен в свитч, свитч в порт на циске, на котором весит: switchport access vlan 22 При этом на циске появляются две записи с MACом МФУ: Tum-SwWkg1-05#show arp | inc 0483 Internet 10.172.20.59 0 705a.0f0f.0483 ARPA Vlan20 Internet 10.172.22.33 0 705a.0f0f.0483 ARPA Vlan22 Схема простая, есть циска, которая рулит трафиком, выше её конфигурация, на транках висят остальные циски, особых настроек нет, ACL нет, вся маршрутизация на центральной циске. Сервера, некоторые кабинеты с компьютерами ещё имеют прокладку в виде обычных свичей. С каким то событием всё происходящее связать не могу, вообще не понимаю, что поменялось и что происходит. Изменено 9 октября, 2018 пользователем Morfz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 9 октября, 2018 · Жалоба А по какому признаку DHCP сервер решает из какой подсети выдавать адрес тому или иному устройству? Схему покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 октября, 2018 · Жалоба где-то в обычный свитч воткнули аксес порты разных вланов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morfz Опубликовано 9 октября, 2018 · Жалоба 10 минут назад, NikAlexAn сказал: А по какому признаку DHCP сервер решает из какой подсети выдавать адрес тому или иному устройству? Схему покажите. DHCP сервер находится в VLAN 23, имеет адрес 10.172.23.11 Настроен следующим образом: На циске в конфигурации VLANов указано: ip helper-address 10.172.23.11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morfz Опубликовано 9 октября, 2018 · Жалоба 20 минут назад, zhenya` сказал: где-то в обычный свитч воткнули аксес порты разных вланов. ищем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 9 октября, 2018 · Жалоба Можете пояснить логику работы DHCP в вашей сети? Для чего ip-helper на коммутаторах и что ещё должно быть настроено на сервере чтоб это работало? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 9 октября, 2018 · Жалоба @Morfz sh mac address-table address H.H.H По маку клиента посмотрите. В каком влане светится пк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morfz Опубликовано 9 октября, 2018 (изменено) · Жалоба Проблема прояснилась, дело либо действительно в петле, как писал zhenya`, либо в глючных коммутаторах. У нас два этажа были надстроены в здании и что бы не тянуть кучу проводов до патч-панели в серверной, а у нас всё оборудование в одном месте, с этих этажей кинули три провода, соответственно установили три коммутатора на одном из этажей и там же патч-панель и подключили это дело к цискам. Один был воткнут в циску на порт с VLAN 20, второй на порт с VLAN 22, третий не важно :) И видимо наши ребята, чего то не того натыкали, и получилось то, что получилось. После отключения этих железок, проблемы пропали, провода от компьютеров все выткнули и заново подключили, пока полет нормальный. По факту петлю найти не смогли. Но там мягко говоря бардак с проводами и ребята всё по-быстрому переключали, ибо работа встала у двух этажей. 27 минут назад, pingz сказал: @Morfz sh mac address-table address H.H.H По маку клиента посмотрите. В каком влане светится пк. Сейчас всё как надо показывает. Спасибо. 47 минут назад, NikAlexAn сказал: Можете пояснить логику работы DHCP в вашей сети? Для чего ip-helper на коммутаторах и что ещё должно быть настроено на сервере чтоб это работало? Ну попробую. ip-helper указывает, куда надо пересылать широковещательные запросы DHCP клиента, что позволяет клиентам из разных VLANов общаться с DHCP сервером, так как каждый VLAN, это отдельный широковещательный домен. Что должно быть настроено на сервере ЕЩЁ, кроме самого DHCP сервера, сказать затрудняюсь, так как настраивал этот сервер не я. Если вы чем то можете помочь, просветить, подсказать, буду очень благодарен. Всем спасибо за помощь, сам бы не допер в какую сторону смотреть, где искать. Изменено 9 октября, 2018 пользователем Morfz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 9 октября, 2018 · Жалоба Где то в настройках области или пула должен быть указан адрес DHCP relay agent(адрес интерфейса с ip helper). Судя по приведённым пакетам - должно быть всё прописано. Кстати - корректная схема вам самому сильно облегчит диагностику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 октября, 2018 · Жалоба 3 минуты назад, NikAlexAn сказал: Где то в настройках области или пула должен быть указан адрес DHCP relay agent(адрес интерфейса с ip helper). Судя по приведённым пакетам - должно быть всё прописано. Кстати - корректная схема вам самому сильно облегчит диагностику. вы не правы. дхцп сервер выбирает скоп/пул на основе адреса relay agent. ничего дополнительно прописывать не нужно. Поэтому оно собственно предложило разные адреса. все нормально в дампе за исключением дублей, которые говорят, что пакеты прошли через разные релеи. Что означает то, что внезапно броадкаст пришел в два л3 интерфейса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 9 октября, 2018 · Жалоба 2 часа назад, NikAlexAn сказал: Где то в настройках области или пула должен быть указан адрес DHCP relay agent(адрес интерфейса с ip helper). Судя по приведённым пакетам - должно быть всё прописано. это не нужно прописывать, адрес интерфейса на который пришел дхцп-реквест циской отправляется на дхцп-сервер, из этого тот понимает из какого пула выдавать адрес Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
