Jump to content

Блокируются порты клиента на коммутаторе, dhcp_snoop

Megas
 Share

Recommended Posts

Megas

Megas

Posted
Posted

К сожалению создаю кроспостинг с: http://forum.dlink.ru/viewtopic.php?f=2&t=147386&p=783389#p783389

задача зависла в воздухе, её решение требуется уже сейчас, а выехать возможность отсутствует.

 

Собственно, к клиента стоит роутер dlink dir-300 и компьютера, на этих настройках работает нормально ряд других свичей, но вот какие-то траблы полезли с этим клиентом.

Свич DES-3200-10

 

^M
config address_binding ip_mac ports 1 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 1 limit 5^M
config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 2 limit 5^M
config address_binding ip_mac ports 3 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 3 limit 5^M
config address_binding ip_mac ports 4 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 4 limit 5^M
config address_binding ip_mac ports 5 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 5 limit 5^M
config address_binding ip_mac ports 6 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 6 limit 5^M
config address_binding ip_mac ports 7 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 7 limit 5^M
config address_binding ip_mac ports 8 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 8 limit 5^M
config address_binding ip_mac ports 9 state disable allow_zeroip disable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 9 limit 5^M
config address_binding ip_mac ports 10 state disable allow_zeroip disable forward_dhcppkt enable mode arp stop_learning_threshold 500^M
config address_binding dhcp_snoop max_entry ports 10 limit 5^M
enable address_binding dhcp_snoop^M
enable address_binding trap_log
^Mdisable address_binding arp_inspection^M

 

^M
enable dhcp_relay^M
config dhcp_relay hops 4 time 0 ^M
config dhcp_relay option_82 state enable^M
config dhcp_relay option_82 check disable^M
config dhcp_relay option_82 policy keep^M
config dhcp_relay option_82 remote_id default^M
config dhcp_relay add ipif System 192.168.240.1^M
^M
# DHCP_LOCAL_RELAY^M
^M
disable dhcp_local_relay^M
config dhcp_local_relay vlan vlanid 1024 state enable ^M
^M
# NDP^M

 

В логих валит с клиента:

Nov 23 10:58:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:01:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:02:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)


Nov 23 14:04:02 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.186.214, MAC: C8-0A-A9-82-76-D4, Port: 1)

 

Клиент говорит что также включал шнурок в стационарник с Windows 7

 

 

Сеть обычная звезда, пока без кольца.

Отдельный управляющий vlan на все сетевое оборудование.

tartila

tartila

Posted
Posted 

Nov 23 10:58:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:01:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)
Nov 23 11:02:09 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.103, MAC: 00-1D-7D-01-7E-D4, Port: 1)


Nov 23 14:04:02 192.168.240.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.186.214, MAC: C8-0A-A9-82-76-D4, Port: 1)

 

А что Вас смущает? Коммутатор Вас не обманывает... У dir-300 есть такая болезнь - выплевывать LAN в WAN. 169.254.186.214 - это винда не получила IP. :)

Megas

Megas

Posted
  • Author
Posted

Болезни надо лечить, только как...

А вот по поводу винды отдельный вопрос, с чем это может быть связанно?

не ужели кривая система или просто свич запомнил какие-то настройки?

tartila

tartila

Posted
Posted

Болезни надо лечить, только как...

А вот по поводу винды отдельный вопрос, с чем это может быть связанно?

не ужели кривая система или просто свич запомнил какие-то настройки?

 

Ээээ... А винда то получила IP?

Megas

Megas

Posted
  • Author
Posted

В общем обкатка такой работы никчему хорошему не привела, порты клиентов периодами блочатся, все из-за кривости win систем.

одно из решений: http://support.microsoft.com/kb/239924/ru

но это тоже не сильный выход, думается пора переходить на привявку ip+port через acl, может есть у кого-то для примера как набор правил?

Megas

Megas

Posted
  • Author
Posted

Да есть мысль обновлять прошивки на всех коммутаторах, на форуме у них в загашниках лежит 1.5 когда на свичах кажется 1.2

Ivantey

Ivantey

Posted
Posted

С устройств подключенных за этим коммутатором юникастовый dhcp пакет переделывается. Приходится на верхнем коммутаторе ставить keep.

  • 2 months later...
xcme

xcme

Posted
Posted

Тоже грабли:

45547 2012-02-11 16:31:17 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.46.211, MAC: 20-CF-30-C1-6A-8C, Port: 21)

45546 2012-02-11 16:31:15 Port 21 link up, 100Mbps FULL duplex

45545 2012-02-11 16:31:05 Port 21 link down

Линк падает, поднимается и уже через 2 секунды винда пытается выйти в сеть с адреса 169.254.x.y. Решение от микрософт выше по ссылке может спасти от такого?

xcme

xcme

Posted
Posted

На 3200 IMPb v3.8 добавили начиная с прошивки 1.52-B003. Правда там "поломали" dhcp relay :)

 

В чем выражена поломка?

Уникастовый запрос клиента на продление адреса теперь релеится. Коммутатор перехватывает все транзитные пакеты и отправляет их от себя. Клиенты, как следствие, получают NACK.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.