Catalyst 4948e, IP unnumbered, Dhcp Snooping и проблема (с частью клиентов)

[sirmax]

Доброго времени суток!

В общем после какого-то длительного времени вылезла проблема следующего плана.

* Симптомы: некоторые клиенты не получают адрес от DHCP сервера
никакой системы не обнаружено - они могут быть в любом месте сети

* Предварительный диагноз: клиентские устройства шлют неверный запрос DHCP  который каталист не хочет пересылать дальше

Вот пример запроса который не работает (немного сокращен)

 

Dynamic Host Configuration Protocol (Discover)
    Message type: Boot Request (1)
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: Routerbo_7c:a6:5c (d4:ca:6d:7c:a6:5c)
    Client hardware address padding: 00000000000000000000
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (55) Parameter Request List
        Length: 8
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (121) Classless Static Route
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (33) Static Route
        Parameter Request List Item: (6) Domain Name Server
        Parameter Request List Item: (42) Network Time Protocol Servers
        Parameter Request List Item: (138) CAPWAP Access Controllers
        Parameter Request List Item: (43) Vendor-Specific Information
    Option: (12) Host Name
        Length: 19
        Host Name: RB4011iGS+5HacQ2HnD
    Option: (61) Client identifier
        Length: 7
        Hardware type: Ethernet (0x01)
        Client MAC address: Routerbo_7c:a6:5c (d4:ca:6d:7c:a6:5c)
    Option: (82) Agent Information Option
        Length: 18
        Option 82 Suboption: (1) Agent Circuit ID
            Length: 6
            Agent Circuit ID: 00040d160102
        Option 82 Suboption: (2) Agent Remote ID
            Length: 8
            Agent Remote ID: 0006cc37abe957ac

Тут меня смущает (и скорее всего не без оснований) вот эта часть
 

    Option: (61) Client identifier
        Length: 7
        Hardware type: Ethernet (0x01)

В то же время рабочий запрос (с того же порта с того же влана и того же свитча) но другого роутера (микрот)

 

    Option: (61) Client identifier
        Length: 7
        Hardware type: Ethernet (0x01)
        Client MAC address: Routerbo_7c:a6:5c (d4:ca:6d:7c:a6:5c)

Другими словами первое подозрение падает на клиентский роутер (и это блин OpenWRT!)


Но, мне кажется что я далеко не первый (мягко говоря) кто использует ip unnumbered + ip dhcp dnopping  на таком железе

Отсюда вопрос - что я сделал не правильно?

Свитч такой:
 

show ver
Cisco IOS Software, Catalyst 4500 L3 Switch  Software (cat4500e-ENTSERVICESK9-M), Version 15.2(4)E, RELEASE SOFTWARE (fc2)

ROM: 12.2(44r)SG11
c4948E uptime is 10 weeks, 1 day, 4 hours, 13 minutes
System returned to ROM by power-on

cisco WS-C4948E (MPC8548) processor (revision 8) with 1048576K bytes of memory.
Processor board ID CAT1635S1PE
MPC8548 CPU at 1GHz, Cisco Catalyst 4948E
Last reset from PowerUp
371 Virtual Ethernet interfaces
48 Gigabit Ethernet interfaces
4 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

Схема сети (упрощенно)


 

[Свитч с  dhcp snopping + address binding ] Vlan 10 --------------> [агрегация]---> [cat 4948e] --->[Router]-->мир
                                                                                        |
[Свитч с  БЕЗ!!!          address binding ] Vlan 20, 21 .. 44 ----> [агрегация]---------+

Если словами :

Большая часть сети это свитчи с dhcp snooping / address binding и там на них включен этот функционал, на каталисте он нужен только что бы добавлять маршруты, схема влан на дом

меньшая часть - это свичи с вланами но без dhcp snopping,  тут влан-на-порт, и "привязка" происходит уже на самом каталиста


Конфигурация (значимая часть) отдельный VRF  что бы проще было видеть запросы так как они идут через отдельный интерфейс

 

vrf definition Testing
 description Testing
 rd 65532:3000
 route-target export 65532:3000
 route-target import 65532:1000
 route-target import 65532:2000
 !
 address-family ipv4
  import map IMPORT-TO-VRF-TESTING
  export map EXPORT-FROM-VRF-TESTING
 exit-address-family

 

ip dhcp smart-relay
ip dhcp relay information policy keep
no ip dhcp relay information check
ip dhcp relay information trust-all
ip dhcp snooping vlan <список вланов в примере влан 3350>
ip dhcp snooping information option allow-untrusted
no ip dhcp snooping verify mac-address
ip dhcp snooping

 

interface Loopback102
 description --==Loopback for IpUnnumbered Testing==--
 vrf forwarding Testing
 ip dhcp relay information trusted
 ip address 192.168.144.1 255.255.255.255
 no ip redirects
 ip local-proxy-arp
 ip route-cache same-interface
end

!
vlan 3350
 name testing
!

interface Vlan3350
 description name Testing
 vrf forwarding Testing
 ip dhcp relay information trusted
 ip dhcp relay information policy-action keep
 ip unnumbered Loopback102 poll
 ip helper-address 172.31.100.22
 no ip redirects
 ip local-proxy-arp
 ip route-cache same-interface

Адреса выдаются из множества разных сетей (не только  ip address 192.168.144.1 255.255.255.255 )
VRF нужны для того что бы клиентов которые работают на скорости порта НЕ гонять через шейпер
(шейпятся только вланы которые нужно шейпить  при этом все клиенты получают адреса из одного пула и тот кого нужно шейпть/ тот кого не нужно могут иметь соседние адреса)

Любые мысли приветствуются - а то я уже голову сломал (