[apb]

Приветствую.

Конфа свитча:
 

SNR-S2985G-48T#show running-config 
!
no service password-encryption
!
hostname SNR-S2985G-48T
sysLocation 4F, Krasnolesya st, 12a, Ekaterinburg, Russia
sysContact support@nag.ru
!
username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
clock timezone ru add 3 0
!
!
ssh-server enable
!
no telnet-server enable
!
snmp-server enable
snmp-server securityip disable
snmp-server community ro 0 public
!
service dhcp
!
ip forward-protocol udp bootps
ip dhcp server relay information enable
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp relay share-vlan 1 sub-vlan 4-5;7-8;10
!
!
ip dhcp snooping enable
!
!
!
!
!
lldp enable
lldp med device type endpoint
!
!
!
!
!
!
!
vlan 1;4-5;7-8;10 
!
Interface Ethernet1/0/1
!
Interface Ethernet1/0/2
!
Interface Ethernet1/0/3
!
Interface Ethernet1/0/4
!
Interface Ethernet1/0/5
!
Interface Ethernet1/0/6
!
Interface Ethernet1/0/7
!
Interface Ethernet1/0/8
!
Interface Ethernet1/0/9
!
Interface Ethernet1/0/10
!
Interface Ethernet1/0/11
!
Interface Ethernet1/0/12
!
Interface Ethernet1/0/13
!         
Interface Ethernet1/0/14
!         
Interface Ethernet1/0/15
!         
Interface Ethernet1/0/16
!         
Interface Ethernet1/0/17
!         
Interface Ethernet1/0/18
!         
Interface Ethernet1/0/19
!         
Interface Ethernet1/0/20
!         
Interface Ethernet1/0/21
!         
Interface Ethernet1/0/22
!         
Interface Ethernet1/0/23
 switchport access vlan 8
!         
Interface Ethernet1/0/24
!         
Interface Ethernet1/0/25
!         
Interface Ethernet1/0/26
!         
Interface Ethernet1/0/27
!         
Interface Ethernet1/0/28
!         
Interface Ethernet1/0/29
!         
Interface Ethernet1/0/30
!         
Interface Ethernet1/0/31
!         
Interface Ethernet1/0/32
!         
Interface Ethernet1/0/33
!         
Interface Ethernet1/0/34
!         
Interface Ethernet1/0/35
!         
Interface Ethernet1/0/36
!         
Interface Ethernet1/0/37
!         
Interface Ethernet1/0/38
!         
Interface Ethernet1/0/39
!         
Interface Ethernet1/0/40
!         
Interface Ethernet1/0/41
!         
Interface Ethernet1/0/42
!         
Interface Ethernet1/0/43
!         
Interface Ethernet1/0/44
!         
Interface Ethernet1/0/45
!         
Interface Ethernet1/0/46
!         
Interface Ethernet1/0/47
!         
Interface Ethernet1/0/48
!         
Interface Ethernet1/0/49
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
!         
Interface Ethernet1/0/50
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
!         
Interface Ethernet1/0/51
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
!         
Interface Ethernet1/0/52
 switchport mode trunk
 switchport trunk allowed vlan 1;4-5;7-8;10 
 ip dhcp snooping trust
!         
interface Vlan1
 ip address 192.168.11.141 255.255.255.0
!         
interface Vlan8
  !forward protocol udp 67(active)!
 ip helper-address 192.168.88.101
!         
ip default-gateway 192.168.11.101
!         
ntp enable
ntp server 192.168.44.198
!         
!         
no login  
!         
!         
captive-portal
!         
end  

При опросе: 

SNR-S2985G-48T(config)#show ip dhcp relay information option 
ip dhcp server relay information option(i.e. option 82) is enabled
ip dhcp relay information option(i.e. option 82) is enabled

Vlan8:
    ip dhcp relay information policy replace
    ip dhcp relay information option subscriber-id standard

 

 

В режиме debug ip dhcp relay packet 

Есть сообщения:

%Jan 01 05:02:21 2006 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 4c-36-4e-ee-c5-c4 on interface Vlan8.

%Jan 01 05:02:21 2006 DHCPR PACKET: inserted an option 82(subscriber-id Vlan8+Ethernet1/0/52 remote-id F8:F0:82:D4:B0:B7) into this request packet(type:1), new packet length 367
%Jan 01 05:02:21 2006 DHCP RELAY: cann't relay BOOTREQUEST message to 192.168.88.101.ERROR: -9

При этом, пинг до 192.168.88.101 проходит.

Wireshark в DHCP запросе не показывает наличие опции 82. При этом, если кленту задать IP из диапазона VLAN 8 какойто IP - сеть видна

Можете что-то порекомендовать, чтобы понять, почему не проходит запрос получения ip?
 

Клиент, что получает IP висит на 23 порту.

 

UpLink на 52 порту.

[Vladimir Efimtsev]

@apb, здравствуйте!

 

На данный момент сложно сказать, в чем именно возникает проблема, потому остается непонятной некоторая информация.

 

Например, мы не знаем версию ПО коммутатора.

 

Также непонятна схема сети: где конкретно DCHP сервер, в каком он VLAN и т.д.

 

+ есть некоторые вопросы к конфигурации:

1) для чего была добавлена строка "ip dhcp server relay information enable"?

2) Вы говорите, что клиент находится за 23 портом, данный порт ассоциирован с VLAN 8. То есть подразумевается, что клиент находится во VLAN 8, а DHCP-сервер, я так понимаю, во VLAN 1.

Это я понимаю из данной конфигурации: "ip dhcp relay share-vlan 1 sub-vlan 4-5;7-8;10"?

Почему тогда у вас helper-address указан во VLAN8: "ip helper-address 192.168.88.101"? При этом у вас на SVI1 не указан "ip helper-address", а указать его нужно именно там.

 

Это лишь, что удалось, заметить на первый взгляд. У нас есть небоьшие статьи в нашей базе знаний:

https://nag.wiki/pages/viewpage.action?pageId=25107720

https://nag.wiki/pages/viewpage.action?pageId=25107767

Если не получится самостоятельно разобраться, то лучше напишите нам на nag.support, прикрепите выводы 'sh ver' + 'sh run', также желательно описать подробно схему сети, где что находится, и в чем именно проблема, будем разбираться там более детально.

[azhur]

А почему на интерфейсе vlan8 нет ip-адреса, только хелпер?

Мне казалось, что без этого не работает, так как адрес интерфейса должен передаваться в составе опции 82, и на его основе dhcp-сервер выбирает пул, из которого предлагать адрес.

[apb]

Цитата

Например, мы не знаем версию ПО коммутатора.

SNR-S2985G-48T#show version 
  SNR-S2985G-48T Device, Compiled on Dec 21 21:08:14 2022
  sysLocation 4F, Krasnolesya st, 12a, Ekaterinburg, Russia
  CPU Mac f8:f0:82:d4:b0:b8
  Vlan MAC f8:f0:82:d4:b0:b7
  SoftWare Version 7.0.3.5(R0241.0565)
  BootRom Version 7.2.63
  HardWare Version 3.0.1
  CPLD Version N/ASNR-S2985G-48T#show version 
  SNR-S2985G-48T Device, Compiled on Dec 21 21:08:14 2022
  sysLocation 4F, Krasnolesya st, 12a, Ekaterinburg, Russia
  SoftWare Version 7.0.3.5(R0241.0565)
  BootRom Version 7.2.63
  HardWare Version 3.0.1
  CPLD Version N/A
  Serial No.:SW002420N614000833
  Copyright (C) 2022 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 0 days, 13 hours, 30 minutes
  Serial No.:SW002420N614000833
  Copyright (C) 2022 NAG LLC
  All rights reserved

 

 

 

Цитата

Также непонятна схема сети: где конкретно DCHP сервер, в каком он VLAN и т.д.

На ядре (cisco_3750) подняты dhcp для всех диапазонов, где необходим dhcp.

Упомянутая конфа использует два диапазона, из который:
1 - управляющий

8 - клиентский

 

1 не имеет dhcp.

8 имеет dhcp по адресу 88.101

 

С консоли коммутатора 88.101 так и другие хосты в сети "пингуются".
На ПК, подключенном через этот коммут при прописывании фиксированного ip - сеть функционирует корректно. А вот ... получить ip не удается.

 

И в целом пытался найти способ получить option 82.
 

Цитата

1) для чего была добавлена строка "ip dhcp server relay information enable"?

В соответствии с https://nag.wiki/pages/viewpage.action?pageId=49709338

Усановка опции передачи "option 82"

 

Цитата

2) Вы говорите, что клиент находится за 23 портом, данный порт ассоциирован с VLAN 8. То есть подразумевается, что клиент находится во VLAN 8, а DHCP-сервер, я так понимаю, во VLAN 1.

Предполагал, что широковещательный запрос уходит с устройства по vlan1
но формулируя ответ на поставленный вопрос - как то всё не складно получается. Предполагал, что клиент до получения IP передаст широковещательный запрос посредством управляющей сети и источником для сети и получатеем ответа начального будет ip коммутатра, котоый и передаст клиенту ответ на запрос на оснвании hw-адреса, зарегистрированного у себя.

 

Цитата

Почему тогда у вас helper-address указан во VLAN8: "ip helper-address 192.168.88.101"? При этом у вас на SVI1 не указан "ip helper-address", а указать его нужно именно там.

Параметр defaul-gateway не будет "адресом шлюза "по умолчанию" для запросов? 😕 

 

Спасибо

 

Цитата

А почему на интерфейсе vlan8 нет ip-адреса, только хелпер?

А разве надо иметь ip для отправки широковещательных запросов? О_о
Мне же на том этапе надо "крикнуть" в сеть и подождать пока отзавется тот, кто может ответить пакетом с ip ... 

Изменено 22 марта пользователем apb

[azhur]

Повспоминал теорию, вроде бы можно и без IP на клиентском влане (но сам так не делал).

Но тогда надо как минимум SRC-IP для отрелееного пакета явно задать, что-то типа:

ip dhcp relay src-address 192.168.11.141

SNR-ов таких у меня нет, поэтому синтаксис команды писал наугад, нужно уточнить по документации.

IP - с любого интерфейса коммутатора, лишь бы маршрутизация до DHCP-сервера и обратно через него была.

[apb]

Спасибо.

как я понял (на основании приведенных ссылок и ограничения на одновременное использование опций "dhcp relay" и "dhcp spoofing" ) второй приоритетно используется на l2 оборудовании. 

 

ничего сходного (с ip dhcp relay src-address 192.168.11.141) в манах и комментариях к командам на устройстве я не нашел.

Переписывание всего в relay или spoofing тоже не сработало. 

В силу того, что пока ничего в голову не приходит - написал в ТП.

 

Спасибо.

[enginer]

Добрый день. Поймал сообщение в логах :  <warnings> MODULE_L2_DHCPSNOOPING[tNACTask]:DHCP Snooping:Ethernet1/0/5 (07:17:09 )action: blackhole, (07:18:09 )recovery action: 'delete blackhole' Done
blackhole VID:100 MAC 

Проблему уже решили. 

У меня вопрос, не могли бы вы сообщить OID SNMP данного триггера?

Хотелось бы в мониторинг добавить!

[Vladimir Efimtsev]

@enginer, здравствуйте.

OID для отправки SNMP трапов для DHCP Snooping есть в данной ветке: .1.3.6.1.4.1.40418.7.101.104

 

Например, OID, который сигнализирует о том, что DHCP Snooping добавил запись в blackhole: .1.3.6.1.4.1.40418.7.101.104.3

Или что запись оттуда удалена: .1.3.6.1.4.1.40418.7.101.104.4