Elisium Posted May 11, 2009 Posted May 11, 2009 Добрый день/вечер/ночь ув. форумчане! Бьюсь уже дней пять над нижеследующим вопросом и очень надеюсь, что помогут дельным советом или хотябы отфутболят в нужном направлении. Дано: Cisco 3750G-24ТS (c3750-ipservicesk9-tar.122-50.SE1), Dlink 1228 (DES-1228_A1_1_11_T01) - основа и Dlink 3526 (DES3526_5.01-B52) - про запас ... Схема соединения: *ДХЦП сервак с опт82 (10.1.0.10)* ---> *1й порт (10.1.0.31) Cisco 3750G-24S 3й порт Л2* <--- * Dlink 1228* <--- Ноутбук Конфиг дхцп-сервака не привожу, так как настроен верно и в дебаг-режиме видно ВСЕ запросы, которые к нему попадают. Он прибинден к АДРЕСУ 10.1.0.10 и броадкаст НЕ слушает ... Поднят на виртуалке .. Сокращенный конфиг на циске: ip subnet-zero ! vlan internal allocation policy ascending ! spanning-tree mode pvst spanning-tree etherchannel guard misconfig spanning-tree extend system-id ! ip dhcp snooping vlan 101-110 ip dhcp snooping ! interface GigabitEthernet1/0/1 no switchport ip dhcp relay information trusted ip address 10.1.0.31 255.255.255.0 ! interface GigabitEthernet1/0/3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 101-110 switchport mode trunk ! interface GigabitEthernet1/0/5 switchport access vlan 101 switchport mode access ! interface Vlan101 ip address 10.1.1.100 255.255.255.0 ip helper-address 10.1.0.10 ! ip default-gateway 10.1.0.2 ip classless Включаю дебаг дхцп снуп, дебаг на дхцп серваке и вайршарк на том же интерфейсе же ... Беру ноут, подключаю его к 5му порту - untagged vlan 101 - получаю адрес 10.1.1.101, как и ожидалось ... сюрпризов нет ... Дебаг везде показsвает успешное прохождение запросов в обе стороны и то, что броадкаст ноута преобразуется в уникаст к дхцп серверу ..... Теперь беру вариант номер два: К 3му порту циски - trunk - подсоединяю Длинк 1228 26м портом. Этот порт является tagged для 101го влана на этом Длинке, а ноут воткнут в 1й порт - untagged vlan 101. По моей извращенной теории дхцп запрос с ноута должен через 1228 попадать в 101й влан, подниматься до циски в транковый порт и ТАМ уже отрабатывать дхцп снуп, уникаст запрос и т д ... НО! этого не происходит .. Дебаг вывод на циске молчит, как рыба об лед ... Запрос не пришел ? Не воспринялся циской, как дхцп-запрос ? В чем грабли ??? Вариант номер три! Вместо циски ставлю Длинк 3526, настроеный ТОЖЕ, как и циска, с опт 82 ... к нему подключаю тот же Длинк 1228 и о чудо!!! ноут получает адрес .... Я так понимаю, в циске задействован самый минимум Л2 функционала, тоесть по данной нужной мне функции, как опт 82, ее можно сравнить с Длинком 3526 (передача уникастового запроса С НОМЕРОМ влана) Для начала надо сделать, что бы хоть это работало ... Так вот, внимание!, вопрос)))) Так почему же два Длинка в паре НОРМАЛЬНО отрабатывают такую схему, а Циска + Длинк 1228 - НЕТ ??? Буду признателен за любый пинки в НУЖНОМ направлении ... Вставить ник Quote
skor78 Posted May 12, 2009 Posted May 12, 2009 Вы уверены что 1228 сам не начинает баловаться с ДХЦП? http://www.cisco.com/en/US/docs/switches/l....html#wp1107221 Вставить ник Quote
Дегтярев Илья Posted May 12, 2009 Posted May 12, 2009 что броадкаст ноута преобразуется в уникаст к дхцп серверу DHCP Snooping этого не делает. для это должен быть растроен релей или ip helper. Решите, кто из двух железок будет релеем, а кто просто снупингом. У вас скорее всего обе оказались релеем и циска не стала не броадкастный запрос пересылать. Вставить ник Quote
zoro Posted May 12, 2009 Posted May 12, 2009 А у меня проблема только в DHCP-Server на Cisco... а так побарабану кто что является релеем... ну неполучается и усе... да и у многих тоже неработает... http://forum.nag.ru/forum/index.php?showto...488&hl=Stak http://forum.nag.ru/forum/index.php?showto...hl=16ec.f4e7.4a Вставить ник Quote
Elisium Posted May 12, 2009 Author Posted May 12, 2009 (edited) Вы уверены что 1228 сам не начинает баловаться с ДХЦП? http://www.cisco.com/en/US/docs/switches/l....html#wp1107221 Ну в 1228 нету опт82 ... правда дето краем уха слышал, что ИНОГДА у него бывают глюки именно с дхцп ... НО прошивка на нем самая ни на есть распоследняя ...:( Настраивал от безысходности уже даже по подобной инструкции, только по 3750Ж .... что броадкаст ноута преобразуется в уникаст к дхцп серверу DHCP Snooping этого не делает. для это должен быть растроен релей или ip helper. Решите, кто из двух железок будет релеем, а кто просто снупингом. У вас скорее всего обе оказались релеем и циска не стала не броадкастный запрос пересылать. В 1228 нету вообще никаких (нужных мне сейчас) фичь по работе с ДХЦП ... У вас скорее всего обе оказались релеем и циска не стала не броадкастный запрос пересылать. Так вот же - в 101м влане есть хелпер. И запрос ЧЕРЕЗ 1228 ТОЖЕ приходит со 101го влана ... И если порт поднимать как access (как у меня в примере 5й порт, БЕЗ 1228) то все отлично, а если trunk С 1228 - то тишина ((. В тоже время связка длинков пашет на ура (( ... interface GigabitEthernet1/0/3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 101-110 switchport mode trunk ! interface Vlan101 ip address 10.1.1.100 255.255.255.0 ip helper-address 10.1.0.10 У меня вот теория такая дикая - может циска в ТРАНКОВЫХ вланах не производит ничего ? или это у меня не включено как нибуть ?? :( Изломал себе уже всю голову и интернет ))) П.С. Долго рывшись в инете я так и не нашел ни одного работающего примера именно ТАКОЙ схемы (((( Edited May 12, 2009 by Elisium Вставить ник Quote
skor78 Posted May 12, 2009 Posted May 12, 2009 (edited) Просто увидал в описании коммутатора слово DHCP и решил что оно что-то может. Присмотрелся а это "DHCP-клиент", похоже кроме как для себя получить адрес ничего больше с дхцп не делает. Попробуйте interface GigabitEthernet1/0/3 ip dhcp snooping trust И покажите sh ip dhcp snooping Edited May 12, 2009 by skor78 Вставить ник Quote
Дегтярев Илья Posted May 12, 2009 Posted May 12, 2009 Блин, ночью не заметил. Если у вас на порту с включенным снупингом висит свитч, который уже встявляет опцию, то либо надо ставить порт в trust (тогда запросы с него вообще проверяться не будут) или ip dhcp snooping information option allowed-untrusted в глобальном конфиге. Вставить ник Quote
Elisium Posted May 12, 2009 Author Posted May 12, 2009 Блин, ночью не заметил. Если у вас на порту с включенным снупингом висит свитч, который уже встявляет опцию, то либо надо ставить порт в trust (тогда запросы с него вообще проверяться не будут) или ip dhcp snooping information option allowed-untrusted в глобальном конфиге. Эт я знаю ... 1228 не имеет опт 82, яж выше писал .. он просто прокидывает влан наверх ... эта железка толком больше ниче не умеет ... http://www.thtech.net/article/10 Статья интересная ... и Вы рекомендуете по ней поставить во влан ip dhcp relay information trusted, а Илья глобально ... Хотя сама Циско рекомендует делать траст ТОЛЬКО на порту, на который будет приходить ответ от дхцп сервака ... Прийду домой - попробую, хотя вспоминается, что global trust я уже делал и без толку ... Вставить ник Quote
skor78 Posted May 12, 2009 Posted May 12, 2009 Вроде как trust для relay и для snooping разные вещи делают... Вставить ник Quote
Elisium Posted May 12, 2009 Author Posted May 12, 2009 Вроде как trust для relay и для snooping разные вещи делают... Ой, пардон ... не заметил relay .... Ну, в любом случае, попробую только вечером ... Спасибо за наводку ;-) Вставить ник Quote
Elisium Posted May 12, 2009 Author Posted May 12, 2009 (edited) Вобщем, глухо дело ... Немного изменил цифры, добавил вышеприведенные советы, конфиг вот: ip subnet-zero ip routing ip name-server 10.1.0.2 ip dhcp relay information trust-all ! ! ip dhcp snooping vlan 100-210 ip dhcp snooping information option allow-untrusted ip dhcp snooping ! ! interface GigabitEthernet1/0/1 no switchport ip address 10.1.0.31 255.255.255.0 ip helper-address 10.1.0.10 ip dhcp relay information trusted ! interface GigabitEthernet1/0/2 ! ! interface GigabitEthernet1/0/7 switchport trunk encapsulation dot1q switchport mode trunk ip dhcp snooping trust ip dhcp snooping information option allow-untrusted ! ! interface Vlan1 no ip address shutdown ! interface Vlan202 ip dhcp relay information trusted ip address 10.2.2.202 255.255.255.0 ip helper-address 10.1.0.10 ! В первый порт дхцп 10.1.0.10, в 7й - 26й порт от 1228 ... если на этом порту (26) посмотреть снифером, то видно, что броадкастовые запросы от ноута выходят тэгированные 202м вланом ... Пробовал вместо 1228 включать 3526 - картина таже .. Вывод show ip dhcp snooping: Home#sh ip dh sno Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 100-210 DHCP snooping is operational on following VLANs: none DHCP snooping is configured on the following L3 Interfaces: Insertion of option 82 is enabled circuit-id default format: vlan-mod-port remote-id: 001c.f60a.2c80 (MAC) Option 82 on untrusted port is allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Allow option Rate limit (pps) ----------------------- ------- ------------ ---------------- GigabitEthernet1/0/7 yes yes unlimited Custom circuit-ids: Ничего не помогает ... может, циска НЕ видит эти запросы во вланах в транке ? *** Сам же и отвечу - видит ... донастроил как надо ... Смущает еще вот что - DHCP snooping is operational on following VLANs: none *** с этим разобрался .. ... вот ТОГДА, если через транк посылать дхцп-запрос, то он нормально ретранслируется на дхцп сервер, НО без опт 82 ... *** а вот с этим еще нет, дето не докрутил ... Завтра на свежую голову может еще мысли какие появятся ... п.с. Ведь есть же люди, у которых циска стоит на агрегации, а в нее сходятся вланы от дешевых свичей, которые только и умеют, что Влан сделать ... Как у них это реализовано?? Вроде бы и задача несложная, а спотыкаюсь на каждой ступеньке ... хотя и двигаюсь потихоньку дальше ) Edited May 12, 2009 by Elisium Вставить ник Quote
Stak Posted May 13, 2009 Posted May 13, 2009 Как у них это реализовано??Не адо релей. надо только снупинг. Смотрите тут: http://ciscovod.blogspot.com/2009/02/cisco-isg.html посмотрите на конфиг свича агрегации AGREG-SW. Вставить ник Quote
skor78 Posted May 13, 2009 Posted May 13, 2009 Вот рабочий конфиг с 3550 ... ip dhcp snooping vlan 2000-2099 ip dhcp snooping information option format remote-id hostname ip dhcp snooping ... vlan 2000-2099 ... interface FastEthernet0/1 description Uplink-to-LAN switchport trunk encapsulation dot1q switchport mode trunk ip dhcp snooping trust ! interface FastEthernet0/2 description Clients switchport trunk encapsulation dot1q switchport mode trunk ! ... interface Vlan1 ip address 192.168.3.11 255.255.255.0 ! interface Vlan2000 ip address 10.0.0.1 255.255.255.0 ip helper-address 192.168.3.10 ! ... aggregate1#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 2000-2099 DHCP snooping is operational on following VLANs: 2000-2099 DHCP snooping is configured on the following L3 Interfaces: Insertion of option 82 is enabled circuit-id default format: vlan-mod-port remote-id: aggregate1 (hostname) Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Allow option Rate limit (pps) ----------------------- ------- ------------ ---------------- FastEthernet0/1 yes yes unlimited Custom circuit-ids: aggregate1#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:11:D8:3A:AE:00 10.0.0.254 54 dhcp-snooping 2000 FastEthernet0/2 Total number of bindings: 1 всякие trust`ы надо включать на том порту, который смотрит в сторону дхцп-сервера. на клиентском (транковом) порту никаких трастов на клиентском влан интерфейсе хелпер все вроде ЗЫ: IOS - c3550-ipservicesk9-mz.122-50.SE1 Вставить ник Quote
Elisium Posted May 13, 2009 Author Posted May 13, 2009 Вот рабочий конфиг с 3550 ...всякие trust`ы надо включать на том порту, который смотрит в сторону дхцп-сервера. на клиентском (транковом) порту никаких трастов на клиентском влан интерфейсе хелпер все вроде ЗЫ: IOS - c3550-ipservicesk9-mz.122-50.SE1 вово! Во втором варианте я так и пробовал !!! Правда, везде повпихивал trusted на всяк пожарный ))) Запрос проходил, НО без опт 82 ( ИОС такой же ... п.с. Так как мучаюсь с 3750 по вечерам, может че и нахомутал .... приду с работы домой, попробую еще раз ... п.п.с. А за советы - всем спасибо оч оч большое ))) Не перевелись добрые люди на свете и это не может не радовать ;-) Вставить ник Quote
Elisium Posted May 13, 2009 Author Posted May 13, 2009 (edited) Сервер на чем сделан? isc-dhcp30-server, FreeBSD 7.0 Вроде самое вменяемое решение для опт 82 ... *** Тааакс ... невыдавание опт 82 было следствием вкл trusted на интерфейсе, смотрящем на свич 1228 .. Теперь другой косяк - опт 82 выдается на сервер (discover), сервер правильно отвечает(offer), НО - циска этот пакет обратно не пропускает ... Думаю чего ... п.с. пост потом подправлю ... п.п.с. Поставить интерфейс , смотрящий на дхцп в trusted не могу, он у меня же routed. Edited May 13, 2009 by Elisium Вставить ник Quote
fedusia Posted May 13, 2009 Posted May 13, 2009 была подобная проблема с catalist 3560 и d-link 3024 тагет вланы у них не дружат. Выход: сменить dlink в данном случае. Вставить ник Quote
Elisium Posted May 13, 2009 Author Posted May 13, 2009 (edited) Теперь другой косяк - опт 82 выдается на сервер (discover), сервер правильно отвечает(offer), НО - циска этот пакет обратно не пропускает ...Дожились )) цитирую сам себя ))*** Пакет не принимался обратно, так как не были прописаны маршруты из подсети дхцп сервера в подсеть клиента ... Уже доделал ... Все таки после длинков тяжело, тяжело ... Вообщем - все пока работает "на коленке" так, как мне надо ... Вот немного дорихтую напильником, допишу сюда решение и все ... Как всегда, виной есть незнание другой платформы и ее фишек ... А решение на самом деле тривиальное, как и думал с самого начала, но изза нехватки знаний все чето никак не складывалось ... Апд. *** Дотестил и привел конфиг к приличному виду ... схема влан-на-юзера приблизительно накидана )) Только есть одна непонятка (хотя все работает): В чем разница между командами ip default-gateway 10.1.0.2 (с ней НЕ работает ничего) и с ip route 0.0.0.0 0.0.0.0 10.1.0.2 ( все пашет,как надо) ??? Edited May 13, 2009 by Elisium Вставить ник Quote
Stak Posted May 14, 2009 Posted May 14, 2009 http://www.cisco.com/en/US/tech/tk365/tech...shtml#ipgateway http://www.opennet.ru/openforum/vsluhforumID6/18725.html Вставить ник Quote
Elisium Posted May 14, 2009 Author Posted May 14, 2009 http://www.cisco.com/en/US/tech/tk365/tech...shtml#ipgateway http://www.opennet.ru/openforum/vsluhforumID6/18725.html Оппа!!! Век живи - век учись !! Буду знать ... Первая статья познавательная ... БОЛЬШОЕ спасибо Stak и skor78 за полезные советы !)) п.с. тема плавно перерастает в мое нужное направление - как настроить влан на пользователя )))) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.