kid79 Опубликовано 7 сентября, 2020 · Жалоба Всем добрый день.т.к видимо в старые темы никто не заглядывает открою новую. проблема в следущем, есть dhcp сервер, и есть коммутатор с настроенным ip unnambred vlan per user, решили расширить функционал влан на свич, но почему то абоненты на стенде не подключаются. вот конфиг подсети с dhcp сервера ( подсеть влан на свич) Скрытый текст class "inv_sw_192.168.27.2" { match if ( binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2" ); } pool { range 192.168.27.2; allow members of "inv_sw_192.168.27.2"; } e8:cc:18:ce:dc:0-mac коммутатора (dlink-3200) подключенного в циску. конфиг с циски ip dhcp relay information policy keep ip dhcp relay information trust-all ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000 ip dhcp snooping information option format remote-id hostname no ip dhcp snooping verify mac-address no ip dhcp snooping verify no-relay-agent-address ip dhcp snooping interface Loopback5 ip address 192.168.27.1 255.255.255.0 no ip redirects no ip unreachables interface GigabitEthernet1/27 TEST switchport trunk allowed vlan 100,4001 switchport mode trunk 4001-абон влан на доступе. в логах dhcp сервера вижу dhcpd: DHCPDISCOVER from 64:ee:b7:14:0a:1e via 192.168.27.1: network PHOTON: no free leases что я не так делаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 8 сентября, 2020 · Жалоба Если абонентский влан 4001, то почему он не включен в ip dhcp snooping vlan ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 9 сентября, 2020 · Жалоба а разве не свич доступа должен добавлять опцию ? хотя я пробовал и в снупинг добавлял 4001 влан сейчас на доступ на тест поставил dlink des-3200 2 vlan 100-managment 4001 abon Command: show dhcp_local_relay DHCP/BOOTP Local Relay Status : Enabled DHCP/BOOTP Local Relay VID List : 4001 DHCP Relay Agent Information Option 82 Circuit ID : Default DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00 и policy keep на всех портах show dhcp_local_relay option_82 ports 2 Port Option 82 Policy ---- --------- 2 keep Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 сентября, 2020 · Жалоба На порту доступа keep? Дампы сделайте на дхцп. И приложите pcap Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikan Опубликовано 9 сентября, 2020 · Жалоба ip dhcp snooping 4001 и на транковых портах сыски прописать ip dhcp snooping trust Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 10 сентября, 2020 · Жалоба прикрепляю схему подключения и дамп с абон свича поты аплинк и абон порт Все порты на циске с ip unnambered в trust show ip dhcp relay information trusted-sources All interfaces are trusted source of relay agent information option насколько я понимаю до релея запрос рассылается бродкастом, а дальше до dhcp сервера уже юникастом идет? дальше делаю дамп на самом дхцп сервере 176.111.xxx.1.67 > 172.10.0.2.67: BOOTP/DHCP, Request from 64:ee:b7:14:0a:1e, length 552, hops 1, xid 0x75f5588d, Flags [none] Gateway-IP 176.111.xxx.1 Client-Ethernet-Address 64:ee:b7:14:0a:1e Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Client-ID Option 61, length 7: ether 64:ee:b7:14:0a:1e Vendor-Class Option 60, length 8: "MSFT 5.0" Requested-IP Option 50, length 4: 192.168.27.2 Parameter-Request Option 55, length 12: Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name BR, Static-Route, YD, YS NTP, Netbios-Name-Server, Classless-Static-Route-Microsoft, Classless-Static-Route Agent-Information Option 82, length 29: Circuit-ID SubOption 1, length 6: ^@^D^OM-!^@^B Remote-ID SubOption 2, length 19: ^A^QE8-CC-18-CE-DC-00 с учетом того что опцию должен добавлять абон свич а циска только релеить попробовал настроить абон свич вот так vlan MNG управления vlan 4001 абон Command: show dhcp_local_relay DHCP/BOOTP Local Relay Status : Enabled DHCP/BOOTP Local Relay VID List : 4001 DHCP Relay Agent Information Option 82 Circuit ID : Default DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00 show dhcp_local_relay option_82 ports 1-26 Port Option 82 Policy ---- --------- 1 keep 2 keep на всех портах Policy keep на циске тоже поменял конфигурацию ip dhcp relay information policy keep ip dhcp relay information trust-all ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000 ip dhcp snooping information option format remote-id hostname ip dhcp snooping interface Loopback10 description users gateway ip address 192.168.27.1 255.255.255.0 secondary ip address 176.111.xxx.1 255.255.255.0 no ip redirects no ip unreachables interface Vlan4001 ip unnumbered Loopback10 ip helper-address 172.10.0.2 ip route 0.0.0.0 0.0.0.0 10.255.255.5 порт в сторону абон свича interface GigabitEthernet1/27 switchport trunk allowed vlan 100,4001 switchport mode trunk конфиг дхцп сервера authoritative; ddns-update-style none; log-facility local7; always-broadcast on; if exists agent.circuit-id { log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address), " MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)), " port ",binary-to-ascii(10,16, "",substring(option agent.circuit-id, 4, 2)), " VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2)) )); } shared-network PHOTON { subnet 172.10.0.0 netmask 255.255.255.240 { } subnet 192.168.27.0 netmask 255.255.255.0 { option domain-name-servers 176.111.248.126, 8.8.8.8; option subnet-mask 255.255.255.0; option routers 192.168.27.1; max-lease-time 1296000; default-lease-time 604800; include "/etc/dhcp/192.168.27.0.conf"; } конфиг зоны cat /etc/dhcp/192.168.27.0.conf class "inv_sw_192.168.27.2" { match if ( binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2" ); } pool { range 192.168.27.2; allow members of "inv_sw_192.168.27.2"; DLINK-3p.pcap Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 10 сентября, 2020 · Жалоба 21 час назад, kid79 сказал: а разве не свич доступа должен добавлять опцию ? Какое оборудование настроите - то и будет добавлять. У меня БРАС добавляет, например. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 10 сентября, 2020 · Жалоба У ТС-а длинк добавляет локал-релеем. Вот только он упорно не желает на циске включить на абонентском влане дхцп-снупинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 10 сентября, 2020 (изменено) · Жалоба включил я на 4001 влане снупинг, ip dhcp snooping vlan 1-701,703-904,906-907,909-1000,1006-2000,2002-3000,4001 теперь до дхцп дисковеры не приходят когда включаю на циске абон влан в снупинг в статистеке наблюдаю show ip dhcp snooping statistics detail Packets Processed by DHCP Snooping = 28 Packets Dropped Because IDB not known = 0 Queue full = 0 Interface is in errdisabled = 0 Rate limit exceeded = 0 Received on untrusted ports = 0 Nonzero giaddr = 4 по nonzero гуглится вот этот пост https://community.cisco.com/t5/routing/dhcp-snooping-issue/td-p/3056005 , пробовал, включал. Изменено 10 сентября, 2020 пользователем kid79 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 10 сентября, 2020 · Жалоба 4 часа назад, kid79 сказал: Все порты на циске с ip unnambered в trust Траст даётся тем портам, на которых НЕ НАДО дропать ОТВЕТЫ дхцп-сервера. На интерфейсе циски с адресом 10.255.255.6 сделан траст? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 10 сентября, 2020 · Жалоба 3 минуты назад, nemo_lynx сказал: Траст даётся тем портам, на которых НЕ НАДО дропать ОТВЕТЫ дхцп-сервера. На интерфейсе циски с адресом 10.255.255.6 сделан траст? нет, нету interface Vlan2001 ip address 10.255.255.6 255.255.255.252 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 10 сентября, 2020 · Жалоба Это убрать: ip dhcp snooping information option format remote-id hostname А вот такое добавить: ip dhcp snooping information option allow-untrusted Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 10 сентября, 2020 · Жалоба 5 минут назад, nemo_lynx сказал: Это убрать: ip dhcp snooping information option format remote-id hostname А вот такое добавить: ip dhcp snooping information option allow-untrusted если так делаю то у меня сразу перестают работать абоненты с влан на абонента они тоже по опции работают но с самой циски class "class_192.168.5.110" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1044" тут только не номер порта а влан and substring(option agent.remote-id, 2, extract-int(substring(option agent.remote-id, 1, 1), 8)) = "c3550_2" ); Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 10 сентября, 2020 (изменено) · Жалоба Да, тогда не надо. Тогда может проще настроить нормальный релей на длинке, а на циске на влане 4001 отключить релей и снупинг? Вот неплохой пример настройки релея на циске http://kukachik.blogspot.com/2009/06/dhcp-snooping.html Изменено 10 сентября, 2020 пользователем nemo_lynx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 10 сентября, 2020 · Жалоба можно было бы, но у меня много коммутаторов хуавей 2300 п там нет релеев, только снупинг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 10 сентября, 2020 · Жалоба за ссылку спасибо, почитаю попробую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 10 сентября, 2020 · Жалоба 56 минут назад, nemo_lynx сказал: Да, тогда не надо. Тогда может проще настроить нормальный релей на длинке, а на циске на влане 4001 отключить релей и снупинг? Вот неплохой пример настройки релея на циске http://kukachik.blogspot.com/2009/06/dhcp-snooping.html Тогда циска не будет рисовать статики ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...