Jump to content

Конфликты клиентских адресов в ipoe.

Roxxor
 Share

Recommended Posts

Roxxor

Roxxor

Posted
Posted (edited)

Схема ipoe такая: SE100 -> DGS 3627/3650 -> DES 3526/3550 -> клиенты. Включена Options82.

На ДГСах поднят L3, то есть они являются шлюзом для клиентов. ДЕСы работают в качестве L2. У клиентов на винде иногда возникают конфликты ip-адреса. В логах винды пишется, что конфликтует с МАКом, который принадлежит самому клиенту. Клиентов очень много (тысячи).

В логах DHCP-сервера в момент этого "конфликта" пишется, что клиент сам отключает сессию каждые 2 секунды. Со стороны клиента помогает ipconfig /release, ipconfig /renew, но нужно решение со стороны сервера.

DHCP-snooping не поднят по причине того, что через этот же ДГС проходят и другие соединения, например, l2tp, vpn.

Подскажите, пожалуйста, как это вылечить. По поиску не находится инфы по этому вопросу. Замена железа на киски отпадает.

Edited by Roxxor
Roxxor

Roxxor

Posted
  • Author
Posted

Видимо кто то ставит себе мак соседа...

Нет, это было бы слишком просто.

Я написал, что в винде в логах пишется, что конфликт происходит с собственным маком.

ilili

ilili

Posted
Posted

MAC-spoofing называется эта зараза. Только он порой себе берет МАК адрес SVI, вот тогда начинается свистопляска ))

Ivan_83

Ivan_83

Posted
Posted

Видимо кто то ставит себе мак соседа...

Нет, это было бы слишком просто.

Я написал, что в винде в логах пишется, что конфликт происходит с собственным маком.

Если думаете что это заговор :) - ставьте хаб и ноут с фрёй/линухом, там tcpdump на арп трафик, либо миррорьте порт себе и делайте у себя.

Ещё вариант с петлями в сети, глючными девайсами, и глючной виндой.

 

 

Roxxor

Roxxor

Posted
  • Author
Posted

MAC-spoofing называется эта зараза. Только он порой себе берет МАК адрес SVI, вот тогда начинается свистопляска ))

Если был бы arp-spoofing, то вообще ничего работало бы. В новых прошивках DGS от этого избавились.

Roxxor

Roxxor

Posted
  • Author
Posted

А проблема случайно не в allow_zeroip на ДЕСах? Подскажите, пожалуйста, кто с этим имел дело без теорикрафта. Такая мысль возникла из-за того, что вышеописанная проблема возникает только на Win 7 и Win Vista.

NiTr0

NiTr0

Posted
Posted

DHCP-snooping не поднят по причине того, что через этот же ДГС проходят и другие соединения, например, l2tp, vpn.

А каким образом одно на другое может влиять-то?

Roxxor

Roxxor

Posted
  • Author
Posted

А каким образом одно на другое может влиять-то?

При включении "enable address_binding dhcp_snooping" блокируется весь клиентский трафик на 3526. Типы подключений там разные- и dhcp, и статические ип. Если dhcp работает нормально при включении снупинга, то статики перестают работать.

s.lobanov

s.lobanov

Posted
Posted

Схема ipoe такая: SE100 -> DGS 3627/3650 -> DES 3526/3550 -> клиенты. Включена Options82.

На ДГСах поднят L3

 

Хотите стабильную работающую сеть - терминируйте абонентов на брасе, а не на low-cost L3-свитчах, при этом все абоненты должны быть изолированы на L2 и сильно сегментированы.

Roxxor

Roxxor

Posted
  • Author
Posted
Хотите стабильную работающую сеть - терминируйте абонентов на брасе, а не на low-cost L3-свитчах
В теории да. На практике- если сделать так, как вы предлагаете, то весь трафик пойдет через SE100, а в сети очень много пирингов, соответственно, вся нагрузка пойдет на брас.

И топик не о том "как сделать стабильно работующую сеть", а о странных конфликтах в винде. Вполне возможно, что кто-то уже сталкивался с этим.

 

при этом все абоненты должны быть изолированы на L2 и сильно сегментированы.
Так и есть. Где-то влан на дом, где-то влан на каждого абонента.
s.lobanov

s.lobanov

Posted
Posted

Roxxor

Конфликты не странные. Например, была целая партия материнских плат с чипом nvidia с одинаковым мак-адресом. если у вас нет изоляции портов, может быть и такое, что мак абонента пришёл другому абоненту, там попал в петлю, вернулся на ваш свитч и первому абоненту. да всё что угодно может быть в подобных сетях.

Roxxor

Roxxor

Posted
  • Author
Posted (edited)
Roxxor

Конфликты не странные. Например, была целая партия материнских плат с чипом nvidia с одинаковым мак-адресом. если у вас нет изоляции портов, может быть и такое, что мак абонента пришёл другому абоненту, там попал в петлю, вернулся на ваш свитч и первому абоненту. да всё что угодно может быть в подобных сетях.

Как это происходит с клиентской стороны:

Клиент получил ип по dhcp, работает нормально день, неделю. В какой-то прекрасный момент (судя по времени- даже не в момент обновления лизы) винда выдает- обнаружен конфликт ip-адреса, бла-бла. В логах винды пишется, что конфликт с маком, который принадлежит этому же клиенту. Несколько раз /release /renew помогает, но это не панацея, нужно решение со стороны DES'ов/DGS'ов.

В логах dhcp-сервера пишется, что клиент отключился от сервера и опять НОРМАЛЬНО получил dhcp-ответ, то бишь ип, маску, шлюз, роуты и т.д. И такое происходит раз в 2 секунды (винда разрывает dhcp) в течении времени обновления лизы, потом цепляется все нормально, но у клиента все это время связь не работает.

Это происходит только на Win 7 и Win Vista, и то- не на каждом компе.

Edited by Roxxor
Roxxor

Roxxor

Posted
  • Author
Posted (edited)

на DES 3526/3550 loopback detect не срабатывает в этот момент?

Хм, похоже "loopback detect" вообще не включен. 

DES-3526:admin#show config current_config inc "loopback"
Command: show config current_config include "loopback"

No filter matched result !

DES-3526:admin#

Спасибо за подсказку.

 

edit: Сейчас проверил ДЕСы у клиентов, которых были конфликты- loopback detect включен. И дело не в нем: если бы блокировался порт/влан, то клиент не смог бы получить адрес после /release /renew.

Edited by Roxxor
Tsvetkov

Tsvetkov

Posted
Posted

На microsoft зарегистрирован свой диапозон МАС адресов - http://www.coffer.com/mac_find .

[ИМХО]

если сетевая заводиться с дровами от MS -

то обычно ставиться мак от MS - а может от сетевой

а может глючить

 

1. Проверить кол-во маков на порту и кому принадлежат.

2. Проверить дрова на сетевуху в винде.

[/ИМХО]

Roxxor

Roxxor

Posted
  • Author
Posted

На microsoft зарегистрирован свой диапозон МАС адресов - http://www.coffer.com/mac_find .

[ИМХО]

если сетевая заводиться с дровами от MS -

то обычно ставиться мак от MS - а может от сетевой

а может глючить

 

1. Проверить кол-во маков на порту и кому принадлежат.

2. Проверить дрова на сетевуху в винде.

[/ИМХО]

Прочитайте, пожалуйста, пост №13. Вся система работает нормально, но иногда бывают вышеописанные конфликты, от которых надо избавиться. У всех клиентов разные сетевухи и что-то делать на стороне клиентов- не вариант совсем. Максимум можно- это что-то прописать в реестр, то бишь выложить в общий доступ .reg файл с каким-то фиксом.

Tsvetkov

Tsvetkov

Posted
Posted

Вот как-раз с вин Висты пошло, что пробиваешь МАК адрес по http://www.coffer.com/mac_find

пишет, что принадлежит MS, а материнка реально от Asus с набортовой сетью.

И есно тот Мак, что лерниться на порту от MS, не совпадает с наклейкой МАКа на мамке.

Какой мак выберет винда ? - незнамо.

Roxxor

Roxxor

Posted
  • Author
Posted

Вот как-раз с вин Висты пошло, что пробиваешь МАК адрес по http://www.coffer.com/mac_find

пишет, что принадлежит MS, а материнка реально от Asus с набортовой сетью.

И есно тот Мак, что лерниться на порту от MS, не совпадает с наклейкой МАКа на мамке.

Какой мак выберет винда ? - незнамо.

Win 7 64-bit:

Search results for "00-1A-4D-59-F1-8C"
Prefix 	Vendor
001A4D 	GIGA-BYTE TECHNOLOGY CO.,LTD.

C:\Windows\system32>ipconfig /all

Настройка протокола IP для Windows

  Имя компьютера  . . . . . . . . . : Work
  Основной DNS-суффикс  . . . . . . :
  Тип узла. . . . . . . . . . . . . : Гибридный
  IP-маршрутизация включена . . . . : Нет
  WINS-прокси включен . . . . . . . : Нет
  Порядок просмотра суффиксов DNS . : ***.com

Ethernet adapter LAN:

  DNS-суффикс подключения . . . . . : ***.com
  Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168B/8111B Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
  Физический адрес. . . . . . . . . : 00-1A-4D-59-F1-8C
  DHCP включен. . . . . . . . . . . : Да
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : ***.1**.*8.*(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.224
  Аренда получена. . . . . . . . . . : 29 марта 2012 г. 17:26:07
  Срок аренды истекает. . . . . . . . . . : 29 марта 2012 г. 17:58:20
  Основной шлюз. . . . . . . . . : ***.1**.*8.30
  DHCP-сервер. . . . . . . . . . . : ***.***.***.***
  DNS-серверы. . . . . . . . . . . : ***.***.***.***
  NetBios через TCP/IP. . . . . . . . : Отключен

Все нормально здесь.

Повторюсь: что-то менять у клиентов- не вариант, нужно решение на стороне сервера. Пока рассматриваю опцию: 

config address_binding ip_mac ports 1-24 state enable allow_zeroip enable forward_dhcppkt enable

, буду тестить.

 

А точка доступа у абонента не стоит?

У нас были клиенты которые конфликтовали со своей же точкой доступа.

Абонентов тысячи. Возможно, что и на всяких DIR'ах были такие проблемы, не припомню уже.

Факт в том, что проблема имеет место быть и надо ее пофиксить.

Roxxor

Roxxor

Posted
  • Author
Posted

на сколько помню для Realtek RTL8168B/8111B Family PCI-E нет встроенных драйверов в винду

И все же, винда при установке сама поставила эти дрова. Вопрос не в этом.

passer

passer

Posted
Posted

Вопрос в том как сделать что у вас все работало. Для начала собрать информацию о проблеме. Извините, но информации именно по проблеме вы дали крайне мало.

 

Конфликтуют маки, отлично, включите mac_notification и соберите маки. А сколько у вас маков бывает в одном vlan'е? Вопрос к тому, что бывали и китайские сетевушки, у которых во всей партии один мак и материнки из сервиса, которым залили образ биоса программатором и стало в сети 2-3 материнки с одним маком. Иначе говоря, анамнез не ясен, анализы не сданы, но "доктор, помогите".

 

 

Roxxor

Roxxor

Posted
  • Author
Posted (edited)

Вопрос в том как сделать что у вас все работало. Для начала собрать информацию о проблеме. Извините, но информации именно по проблеме вы дали крайне мало.

 

Конфликтуют маки, отлично, включите mac_notification и соберите маки. А сколько у вас маков бывает в одном vlan'е? Вопрос к тому, что бывали и китайские сетевушки, у которых во всей партии один мак и материнки из сервиса, которым залили образ биоса программатором и стало в сети 2-3 материнки с одним маком. Иначе говоря, анамнез не ясен, анализы не сданы, но "доктор, помогите".

МАКов во влане в районе 50-ти (для примера. Есть больше, есть меньше).

Спрашивайте, что не понятно. Внимательно прочитайте тему, в ней достаточно информации.

Насчет mac_notification- спасибо, соберу.

Edited by Roxxor

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.