Roxxor Опубликовано 29 марта, 2012 (изменено) · Жалоба Схема ipoe такая: SE100 -> DGS 3627/3650 -> DES 3526/3550 -> клиенты. Включена Options82. На ДГСах поднят L3, то есть они являются шлюзом для клиентов. ДЕСы работают в качестве L2. У клиентов на винде иногда возникают конфликты ip-адреса. В логах винды пишется, что конфликтует с МАКом, который принадлежит самому клиенту. Клиентов очень много (тысячи). В логах DHCP-сервера в момент этого "конфликта" пишется, что клиент сам отключает сессию каждые 2 секунды. Со стороны клиента помогает ipconfig /release, ipconfig /renew, но нужно решение со стороны сервера. DHCP-snooping не поднят по причине того, что через этот же ДГС проходят и другие соединения, например, l2tp, vpn. Подскажите, пожалуйста, как это вылечить. По поиску не находится инфы по этому вопросу. Замена железа на киски отпадает. Изменено 29 марта, 2012 пользователем Roxxor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 марта, 2012 · Жалоба Видимо кто то ставит себе мак соседа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба Видимо кто то ставит себе мак соседа... Нет, это было бы слишком просто. Я написал, что в винде в логах пишется, что конфликт происходит с собственным маком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 29 марта, 2012 · Жалоба MAC-spoofing называется эта зараза. Только он порой себе берет МАК адрес SVI, вот тогда начинается свистопляска )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 марта, 2012 · Жалоба Видимо кто то ставит себе мак соседа... Нет, это было бы слишком просто. Я написал, что в винде в логах пишется, что конфликт происходит с собственным маком. Если думаете что это заговор :) - ставьте хаб и ноут с фрёй/линухом, там tcpdump на арп трафик, либо миррорьте порт себе и делайте у себя. Ещё вариант с петлями в сети, глючными девайсами, и глючной виндой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба MAC-spoofing называется эта зараза. Только он порой себе берет МАК адрес SVI, вот тогда начинается свистопляска )) Если был бы arp-spoofing, то вообще ничего работало бы. В новых прошивках DGS от этого избавились. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба А проблема случайно не в allow_zeroip на ДЕСах? Подскажите, пожалуйста, кто с этим имел дело без теорикрафта. Такая мысль возникла из-за того, что вышеописанная проблема возникает только на Win 7 и Win Vista. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 29 марта, 2012 · Жалоба DHCP-snooping не поднят по причине того, что через этот же ДГС проходят и другие соединения, например, l2tp, vpn. А каким образом одно на другое может влиять-то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба А каким образом одно на другое может влиять-то? При включении "enable address_binding dhcp_snooping" блокируется весь клиентский трафик на 3526. Типы подключений там разные- и dhcp, и статические ип. Если dhcp работает нормально при включении снупинга, то статики перестают работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 марта, 2012 · Жалоба Схема ipoe такая: SE100 -> DGS 3627/3650 -> DES 3526/3550 -> клиенты. Включена Options82. На ДГСах поднят L3 Хотите стабильную работающую сеть - терминируйте абонентов на брасе, а не на low-cost L3-свитчах, при этом все абоненты должны быть изолированы на L2 и сильно сегментированы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба Хотите стабильную работающую сеть - терминируйте абонентов на брасе, а не на low-cost L3-свитчах В теории да. На практике- если сделать так, как вы предлагаете, то весь трафик пойдет через SE100, а в сети очень много пирингов, соответственно, вся нагрузка пойдет на брас.И топик не о том "как сделать стабильно работующую сеть", а о странных конфликтах в винде. Вполне возможно, что кто-то уже сталкивался с этим. при этом все абоненты должны быть изолированы на L2 и сильно сегментированы. Так и есть. Где-то влан на дом, где-то влан на каждого абонента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 марта, 2012 · Жалоба Roxxor Конфликты не странные. Например, была целая партия материнских плат с чипом nvidia с одинаковым мак-адресом. если у вас нет изоляции портов, может быть и такое, что мак абонента пришёл другому абоненту, там попал в петлю, вернулся на ваш свитч и первому абоненту. да всё что угодно может быть в подобных сетях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 (изменено) · Жалоба RoxxorКонфликты не странные. Например, была целая партия материнских плат с чипом nvidia с одинаковым мак-адресом. если у вас нет изоляции портов, может быть и такое, что мак абонента пришёл другому абоненту, там попал в петлю, вернулся на ваш свитч и первому абоненту. да всё что угодно может быть в подобных сетях. Как это происходит с клиентской стороны: Клиент получил ип по dhcp, работает нормально день, неделю. В какой-то прекрасный момент (судя по времени- даже не в момент обновления лизы) винда выдает- обнаружен конфликт ip-адреса, бла-бла. В логах винды пишется, что конфликт с маком, который принадлежит этому же клиенту. Несколько раз /release /renew помогает, но это не панацея, нужно решение со стороны DES'ов/DGS'ов. В логах dhcp-сервера пишется, что клиент отключился от сервера и опять НОРМАЛЬНО получил dhcp-ответ, то бишь ип, маску, шлюз, роуты и т.д. И такое происходит раз в 2 секунды (винда разрывает dhcp) в течении времени обновления лизы, потом цепляется все нормально, но у клиента все это время связь не работает. Это происходит только на Win 7 и Win Vista, и то- не на каждом компе. Изменено 29 марта, 2012 пользователем Roxxor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 29 марта, 2012 · Жалоба на DES 3526/3550 loopback detect не срабатывает в этот момент? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 (изменено) · Жалоба на DES 3526/3550 loopback detect не срабатывает в этот момент? Хм, похоже "loopback detect" вообще не включен. DES-3526:admin#show config current_config inc "loopback" Command: show config current_config include "loopback" No filter matched result ! DES-3526:admin# Спасибо за подсказку. edit: Сейчас проверил ДЕСы у клиентов, которых были конфликты- loopback detect включен. И дело не в нем: если бы блокировался порт/влан, то клиент не смог бы получить адрес после /release /renew. Изменено 29 марта, 2012 пользователем Roxxor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tsvetkov Опубликовано 29 марта, 2012 · Жалоба На microsoft зарегистрирован свой диапозон МАС адресов - http://www.coffer.com/mac_find . [ИМХО] если сетевая заводиться с дровами от MS - то обычно ставиться мак от MS - а может от сетевой а может глючить 1. Проверить кол-во маков на порту и кому принадлежат. 2. Проверить дрова на сетевуху в винде. [/ИМХО] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба На microsoft зарегистрирован свой диапозон МАС адресов - http://www.coffer.com/mac_find . [ИМХО] если сетевая заводиться с дровами от MS - то обычно ставиться мак от MS - а может от сетевой а может глючить 1. Проверить кол-во маков на порту и кому принадлежат. 2. Проверить дрова на сетевуху в винде. [/ИМХО] Прочитайте, пожалуйста, пост №13. Вся система работает нормально, но иногда бывают вышеописанные конфликты, от которых надо избавиться. У всех клиентов разные сетевухи и что-то делать на стороне клиентов- не вариант совсем. Максимум можно- это что-то прописать в реестр, то бишь выложить в общий доступ .reg файл с каким-то фиксом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tsvetkov Опубликовано 29 марта, 2012 · Жалоба Вот как-раз с вин Висты пошло, что пробиваешь МАК адрес по http://www.coffer.com/mac_find пишет, что принадлежит MS, а материнка реально от Asus с набортовой сетью. И есно тот Мак, что лерниться на порту от MS, не совпадает с наклейкой МАКа на мамке. Какой мак выберет винда ? - незнамо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 29 марта, 2012 · Жалоба А точка доступа у абонента не стоит? У нас были клиенты которые конфликтовали со своей же точкой доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба Вот как-раз с вин Висты пошло, что пробиваешь МАК адрес по http://www.coffer.com/mac_find пишет, что принадлежит MS, а материнка реально от Asus с набортовой сетью. И есно тот Мак, что лерниться на порту от MS, не совпадает с наклейкой МАКа на мамке. Какой мак выберет винда ? - незнамо. Win 7 64-bit: Search results for "00-1A-4D-59-F1-8C" Prefix Vendor 001A4D GIGA-BYTE TECHNOLOGY CO.,LTD. C:\Windows\system32>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : Work Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : ***.com Ethernet adapter LAN: DNS-суффикс подключения . . . . . : ***.com Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168B/8111B Family PCI-E Gigabit Ethernet NIC (NDIS 6.20) Физический адрес. . . . . . . . . : 00-1A-4D-59-F1-8C DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : ***.1**.*8.*(Основной) Маска подсети . . . . . . . . . . : 255.255.255.224 Аренда получена. . . . . . . . . . : 29 марта 2012 г. 17:26:07 Срок аренды истекает. . . . . . . . . . : 29 марта 2012 г. 17:58:20 Основной шлюз. . . . . . . . . : ***.1**.*8.30 DHCP-сервер. . . . . . . . . . . : ***.***.***.*** DNS-серверы. . . . . . . . . . . : ***.***.***.*** NetBios через TCP/IP. . . . . . . . : Отключен Все нормально здесь. Повторюсь: что-то менять у клиентов- не вариант, нужно решение на стороне сервера. Пока рассматриваю опцию: config address_binding ip_mac ports 1-24 state enable allow_zeroip enable forward_dhcppkt enable , буду тестить. А точка доступа у абонента не стоит? У нас были клиенты которые конфликтовали со своей же точкой доступа. Абонентов тысячи. Возможно, что и на всяких DIR'ах были такие проблемы, не припомню уже. Факт в том, что проблема имеет место быть и надо ее пофиксить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tsvetkov Опубликовано 29 марта, 2012 · Жалоба на сколько помню для Realtek RTL8168B/8111B Family PCI-E нет встроенных драйверов в винду Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 · Жалоба на сколько помню для Realtek RTL8168B/8111B Family PCI-E нет встроенных драйверов в винду И все же, винда при установке сама поставила эти дрова. Вопрос не в этом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 29 марта, 2012 · Жалоба Вопрос в том как сделать что у вас все работало. Для начала собрать информацию о проблеме. Извините, но информации именно по проблеме вы дали крайне мало. Конфликтуют маки, отлично, включите mac_notification и соберите маки. А сколько у вас маков бывает в одном vlan'е? Вопрос к тому, что бывали и китайские сетевушки, у которых во всей партии один мак и материнки из сервиса, которым залили образ биоса программатором и стало в сети 2-3 материнки с одним маком. Иначе говоря, анамнез не ясен, анализы не сданы, но "доктор, помогите". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roxxor Опубликовано 29 марта, 2012 (изменено) · Жалоба Вопрос в том как сделать что у вас все работало. Для начала собрать информацию о проблеме. Извините, но информации именно по проблеме вы дали крайне мало. Конфликтуют маки, отлично, включите mac_notification и соберите маки. А сколько у вас маков бывает в одном vlan'е? Вопрос к тому, что бывали и китайские сетевушки, у которых во всей партии один мак и материнки из сервиса, которым залили образ биоса программатором и стало в сети 2-3 материнки с одним маком. Иначе говоря, анамнез не ясен, анализы не сданы, но "доктор, помогите". МАКов во влане в районе 50-ти (для примера. Есть больше, есть меньше). Спрашивайте, что не понятно. Внимательно прочитайте тему, в ней достаточно информации. Насчет mac_notification- спасибо, соберу. Изменено 29 марта, 2012 пользователем Roxxor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 29 марта, 2012 · Жалоба выложите лог DHCP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...