Jump to content
Калькуляторы

Блокируются порты клиента на коммутаторе, dhcp_snoop порт клиента попадает в блокировку

К сожалению создаю кроспостинг с: http://forum.dlink.ru/viewtopic.php?f=2&t=147386&p=783389#p783389

задача зависла в воздухе, её решение требуется уже сейчас, а выехать возможность отсутствует.

 

Собственно, к клиента стоит роутер dlink dir-300 и компьютера, на этих настройках работает нормально ряд других свичей, но вот какие-то траблы полезли с этим клиентом.

Свич DES-3200-10

 

^M
config address_binding ip_mac ports 1 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 1 limit 5^M
config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 2 limit 5^M
config address_binding ip_mac ports 3 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 3 limit 5^M
config address_binding ip_mac ports 4 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 4 limit 5^M
config address_binding ip_mac ports 5 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 5 limit 5^M
config address_binding ip_mac ports 6 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 6 limit 5^M
config address_binding ip_mac ports 7 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 7 limit 5^M
config address_binding ip_mac ports 8 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 8 limit 5^M
config address_binding ip_mac ports 9 state disable allow_zeroip disable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 9 limit 5^M
config address_binding ip_mac ports 10 state disable allow_zeroip disable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 10 limit 5^M
enable address_binding dhcp_snoop^M
enable address_binding trap_log
^Mdisable address_binding arp_inspection^M

 

^M
enable dhcp_relay^M
config dhcp_relay hops 4 time 0 ^M
config dhcp_relay option_82 state enable^M
config dhcp_relay option_82 check disable^M
config dhcp_relay option_82 policy keep^M
config dhcp_relay option_82 remote_id default^M
config dhcp_relay add ipif System 192.168.240.1^M
^M
# DHCP_LOCAL_RELAY^M
^M
disable dhcp_local_relay^M
config dhcp_local_relay vlan vlanid 1024 state enable ^M
^M
# NDP^M

 

В логих валит с клиента:

Nov 23 10:58:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:01:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:02:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)

Nov 23 14:04:02 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.186.214, MAC: C8-0A-A9-82-76-D4, Port: 1)

 

Клиент говорит что также включал шнурок в стационарник с Windows 7

 

 

Сеть обычная звезда, пока без кольца.

Отдельный управляющий vlan на все сетевое оборудование.

Share this post


Link to post
Share on other sites

Nov 23 10:58:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:01:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:02:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)

Nov 23 14:04:02 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.186.214, MAC: C8-0A-A9-82-76-D4, Port: 1)

 

А что Вас смущает? Коммутатор Вас не обманывает... У dir-300 есть такая болезнь - выплевывать LAN в WAN. 169.254.186.214 - это винда не получила IP. :)

Share this post


Link to post
Share on other sites

Болезни надо лечить, только как...

А вот по поводу винды отдельный вопрос, с чем это может быть связанно?

не ужели кривая система или просто свич запомнил какие-то настройки?

Share this post


Link to post
Share on other sites

это глюк длинковского роутера, глюк известный, ходите на форум длинка

Share this post


Link to post
Share on other sites

Болезни надо лечить, только как...

А вот по поводу винды отдельный вопрос, с чем это может быть связанно?

не ужели кривая система или просто свич запомнил какие-то настройки?

 

Ээээ... А винда то получила IP?

Share this post


Link to post
Share on other sites

В общем обкатка такой работы никчему хорошему не привела, порты клиентов периодами блочатся, все из-за кривости win систем.

одно из решений: http://support.microsoft.com/kb/239924/ru

но это тоже не сильный выход, думается пора переходить на привявку ip+port через acl, может есть у кого-то для примера как набор правил?

Share this post


Link to post
Share on other sites

Вроде бы в IMPb версии 3.8 невалидные связки не попадают в блок лист, а просто дропаются. Но проверить руки не дошли еще.

Share this post


Link to post
Share on other sites

Да есть мысль обновлять прошивки на всех коммутаторах, на форуме у них в загашниках лежит 1.5 когда на свичах кажется 1.2

Share this post


Link to post
Share on other sites

На 3200 IMPb v3.8 добавили начиная с прошивки 1.52-B003. Правда там "поломали" dhcp relay :)

Edited by xcme

Share this post


Link to post
Share on other sites

можно подробней по поводу:

Правда там "поломали" dhcp relay :)

не хотелось бы наступить на грабли

Share this post


Link to post
Share on other sites

С устройств подключенных за этим коммутатором юникастовый dhcp пакет переделывается. Приходится на верхнем коммутаторе ставить keep.

Share this post


Link to post
Share on other sites

Тоже грабли:

45547 2012-02-11 16:31:17 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.46.211, MAC: 20-CF-30-C1-6A-8C, Port: 21)

45546 2012-02-11 16:31:15 Port 21 link up, 100Mbps FULL duplex

45545 2012-02-11 16:31:05 Port 21 link down

Линк падает, поднимается и уже через 2 секунды винда пытается выйти в сеть с адреса 169.254.x.y. Решение от микрософт выше по ссылке может спасти от такого?

Share this post


Link to post
Share on other sites

На 3200 IMPb v3.8 добавили начиная с прошивки 1.52-B003. Правда там "поломали" dhcp relay :)

 

В чем выражена поломка?

Share this post


Link to post
Share on other sites

На 3200 IMPb v3.8 добавили начиная с прошивки 1.52-B003. Правда там "поломали" dhcp relay :)

 

В чем выражена поломка?

Уникастовый запрос клиента на продление адреса теперь релеится. Коммутатор перехватывает все транзитные пакеты и отправляет их от себя. Клиенты, как следствие, получают NACK.

Share this post


Link to post
Share on other sites
DHCP relay per port на DES-3200 ожидается во второй половине апреля 2012 (прошивка R1.7)

Share this post


Link to post
Share on other sites

Все верно. Только запросили мы этот функционал осенью 2010. :) Другие может и еще раньше...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this