apb Опубликовано 21 марта · Жалоба Приветствую. Конфа свитча: SNR-S2985G-48T#show running-config ! no service password-encryption ! hostname SNR-S2985G-48T sysLocation 4F, Krasnolesya st, 12a, Ekaterinburg, Russia sysContact support@nag.ru ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! clock timezone ru add 3 0 ! ! ssh-server enable ! no telnet-server enable ! snmp-server enable snmp-server securityip disable snmp-server community ro 0 public ! service dhcp ! ip forward-protocol udp bootps ip dhcp server relay information enable ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp relay share-vlan 1 sub-vlan 4-5;7-8;10 ! ! ip dhcp snooping enable ! ! ! ! ! lldp enable lldp med device type endpoint ! ! ! ! ! ! ! vlan 1;4-5;7-8;10 ! Interface Ethernet1/0/1 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 switchport access vlan 8 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 switchport mode trunk switchport trunk allowed vlan 1;4-5;7-8;10 ! Interface Ethernet1/0/50 switchport mode trunk switchport trunk allowed vlan 1;4-5;7-8;10 ! Interface Ethernet1/0/51 switchport mode trunk switchport trunk allowed vlan 1;4-5;7-8;10 ! Interface Ethernet1/0/52 switchport mode trunk switchport trunk allowed vlan 1;4-5;7-8;10 ip dhcp snooping trust ! interface Vlan1 ip address 192.168.11.141 255.255.255.0 ! interface Vlan8 !forward protocol udp 67(active)! ip helper-address 192.168.88.101 ! ip default-gateway 192.168.11.101 ! ntp enable ntp server 192.168.44.198 ! ! no login ! ! captive-portal ! end При опросе: SNR-S2985G-48T(config)#show ip dhcp relay information option ip dhcp server relay information option(i.e. option 82) is enabled ip dhcp relay information option(i.e. option 82) is enabled Vlan8: ip dhcp relay information policy replace ip dhcp relay information option subscriber-id standard В режиме debug ip dhcp relay packet Есть сообщения: %Jan 01 05:02:21 2006 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 4c-36-4e-ee-c5-c4 on interface Vlan8. %Jan 01 05:02:21 2006 DHCPR PACKET: inserted an option 82(subscriber-id Vlan8+Ethernet1/0/52 remote-id F8:F0:82:D4:B0:B7) into this request packet(type:1), new packet length 367 %Jan 01 05:02:21 2006 DHCP RELAY: cann't relay BOOTREQUEST message to 192.168.88.101.ERROR: -9 При этом, пинг до 192.168.88.101 проходит. Wireshark в DHCP запросе не показывает наличие опции 82. При этом, если кленту задать IP из диапазона VLAN 8 какойто IP - сеть видна Можете что-то порекомендовать, чтобы понять, почему не проходит запрос получения ip? Клиент, что получает IP висит на 23 порту. UpLink на 52 порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 22 марта · Жалоба @apb, здравствуйте! На данный момент сложно сказать, в чем именно возникает проблема, потому остается непонятной некоторая информация. Например, мы не знаем версию ПО коммутатора. Также непонятна схема сети: где конкретно DCHP сервер, в каком он VLAN и т.д. + есть некоторые вопросы к конфигурации: 1) для чего была добавлена строка "ip dhcp server relay information enable"? 2) Вы говорите, что клиент находится за 23 портом, данный порт ассоциирован с VLAN 8. То есть подразумевается, что клиент находится во VLAN 8, а DHCP-сервер, я так понимаю, во VLAN 1. Это я понимаю из данной конфигурации: "ip dhcp relay share-vlan 1 sub-vlan 4-5;7-8;10"? Почему тогда у вас helper-address указан во VLAN8: "ip helper-address 192.168.88.101"? При этом у вас на SVI1 не указан "ip helper-address", а указать его нужно именно там. Это лишь, что удалось, заметить на первый взгляд. У нас есть небоьшие статьи в нашей базе знаний: https://nag.wiki/pages/viewpage.action?pageId=25107720 https://nag.wiki/pages/viewpage.action?pageId=25107767 Если не получится самостоятельно разобраться, то лучше напишите нам на nag.support, прикрепите выводы 'sh ver' + 'sh run', также желательно описать подробно схему сети, где что находится, и в чем именно проблема, будем разбираться там более детально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 22 марта · Жалоба А почему на интерфейсе vlan8 нет ip-адреса, только хелпер? Мне казалось, что без этого не работает, так как адрес интерфейса должен передаваться в составе опции 82, и на его основе dhcp-сервер выбирает пул, из которого предлагать адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apb Опубликовано 22 марта (изменено) · Жалоба Цитата Например, мы не знаем версию ПО коммутатора. SNR-S2985G-48T#show version SNR-S2985G-48T Device, Compiled on Dec 21 21:08:14 2022 sysLocation 4F, Krasnolesya st, 12a, Ekaterinburg, Russia CPU Mac f8:f0:82:d4:b0:b8 Vlan MAC f8:f0:82:d4:b0:b7 SoftWare Version 7.0.3.5(R0241.0565) BootRom Version 7.2.63 HardWare Version 3.0.1 CPLD Version N/ASNR-S2985G-48T#show version SNR-S2985G-48T Device, Compiled on Dec 21 21:08:14 2022 sysLocation 4F, Krasnolesya st, 12a, Ekaterinburg, Russia SoftWare Version 7.0.3.5(R0241.0565) BootRom Version 7.2.63 HardWare Version 3.0.1 CPLD Version N/A Serial No.:SW002420N614000833 Copyright (C) 2022 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 13 hours, 30 minutes Serial No.:SW002420N614000833 Copyright (C) 2022 NAG LLC All rights reserved Цитата Также непонятна схема сети: где конкретно DCHP сервер, в каком он VLAN и т.д. На ядре (cisco_3750) подняты dhcp для всех диапазонов, где необходим dhcp. Упомянутая конфа использует два диапазона, из который: 1 - управляющий 8 - клиентский 1 не имеет dhcp. 8 имеет dhcp по адресу 88.101 С консоли коммутатора 88.101 так и другие хосты в сети "пингуются". На ПК, подключенном через этот коммут при прописывании фиксированного ip - сеть функционирует корректно. А вот ... получить ip не удается. И в целом пытался найти способ получить option 82. Цитата 1) для чего была добавлена строка "ip dhcp server relay information enable"? В соответствии с https://nag.wiki/pages/viewpage.action?pageId=49709338 Усановка опции передачи "option 82" Цитата 2) Вы говорите, что клиент находится за 23 портом, данный порт ассоциирован с VLAN 8. То есть подразумевается, что клиент находится во VLAN 8, а DHCP-сервер, я так понимаю, во VLAN 1. Предполагал, что широковещательный запрос уходит с устройства по vlan1 но формулируя ответ на поставленный вопрос - как то всё не складно получается. Предполагал, что клиент до получения IP передаст широковещательный запрос посредством управляющей сети и источником для сети и получатеем ответа начального будет ip коммутатра, котоый и передаст клиенту ответ на запрос на оснвании hw-адреса, зарегистрированного у себя. Цитата Почему тогда у вас helper-address указан во VLAN8: "ip helper-address 192.168.88.101"? При этом у вас на SVI1 не указан "ip helper-address", а указать его нужно именно там. Параметр defaul-gateway не будет "адресом шлюза "по умолчанию" для запросов? 😕 Спасибо Цитата А почему на интерфейсе vlan8 нет ip-адреса, только хелпер? А разве надо иметь ip для отправки широковещательных запросов? О_о Мне же на том этапе надо "крикнуть" в сеть и подождать пока отзавется тот, кто может ответить пакетом с ip ... Изменено 22 марта пользователем apb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 22 марта · Жалоба Повспоминал теорию, вроде бы можно и без IP на клиентском влане (но сам так не делал). Но тогда надо как минимум SRC-IP для отрелееного пакета явно задать, что-то типа: ip dhcp relay src-address 192.168.11.141 SNR-ов таких у меня нет, поэтому синтаксис команды писал наугад, нужно уточнить по документации. IP - с любого интерфейса коммутатора, лишь бы маршрутизация до DHCP-сервера и обратно через него была. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apb Опубликовано 22 марта · Жалоба Спасибо. как я понял (на основании приведенных ссылок и ограничения на одновременное использование опций "dhcp relay" и "dhcp spoofing" ) второй приоритетно используется на l2 оборудовании. ничего сходного (с ip dhcp relay src-address 192.168.11.141) в манах и комментариях к командам на устройстве я не нашел. Переписывание всего в relay или spoofing тоже не сработало. В силу того, что пока ничего в голову не приходит - написал в ТП. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
enginer Опубликовано 27 марта · Жалоба Добрый день. Поймал сообщение в логах : <warnings> MODULE_L2_DHCPSNOOPING[tNACTask]:DHCP Snooping:Ethernet1/0/5 (07:17:09 )action: blackhole, (07:18:09 )recovery action: 'delete blackhole' Done blackhole VID:100 MAC Проблему уже решили. У меня вопрос, не могли бы вы сообщить OID SNMP данного триггера? Хотелось бы в мониторинг добавить! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 27 марта · Жалоба @enginer, здравствуйте. OID для отправки SNMP трапов для DHCP Snooping есть в данной ветке: .1.3.6.1.4.1.40418.7.101.104 Например, OID, который сигнализирует о том, что DHCP Snooping добавил запись в blackhole: .1.3.6.1.4.1.40418.7.101.104.3 Или что запись оттуда удалена: .1.3.6.1.4.1.40418.7.101.104.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...