[Roxxor]

Схема ipoe такая: SE100 -> DGS 3627/3650 -> DES 3526/3550 -> клиенты. Включена Options82.

На ДГСах поднят L3, то есть они являются шлюзом для клиентов. ДЕСы работают в качестве L2. У клиентов на винде иногда возникают конфликты ip-адреса. В логах винды пишется, что конфликтует с МАКом, который принадлежит самому клиенту. Клиентов очень много (тысячи).

В логах DHCP-сервера в момент этого "конфликта" пишется, что клиент сам отключает сессию каждые 2 секунды. Со стороны клиента помогает ipconfig /release, ipconfig /renew, но нужно решение со стороны сервера.

DHCP-snooping не поднят по причине того, что через этот же ДГС проходят и другие соединения, например, l2tp, vpn.

Подскажите, пожалуйста, как это вылечить. По поиску не находится инфы по этому вопросу. Замена железа на киски отпадает.

Изменено 29 марта, 2012 пользователем Roxxor

[Ivan_83]

Видимо кто то ставит себе мак соседа...

[Roxxor]

Видимо кто то ставит себе мак соседа...

Нет, это было бы слишком просто.

Я написал, что в винде в логах пишется, что конфликт происходит с собственным маком.

[ilili]

MAC-spoofing называется эта зараза. Только он порой себе берет МАК адрес SVI, вот тогда начинается свистопляска ))

[Ivan_83]

Видимо кто то ставит себе мак соседа...

Нет, это было бы слишком просто.

Я написал, что в винде в логах пишется, что конфликт происходит с собственным маком.

Если думаете что это заговор :) - ставьте хаб и ноут с фрёй/линухом, там tcpdump на арп трафик, либо миррорьте порт себе и делайте у себя.

Ещё вариант с петлями в сети, глючными девайсами, и глючной виндой.

 

 

[Roxxor]

MAC-spoofing называется эта зараза. Только он порой себе берет МАК адрес SVI, вот тогда начинается свистопляска ))

Если был бы arp-spoofing, то вообще ничего работало бы. В новых прошивках DGS от этого избавились.

[Roxxor]

А проблема случайно не в allow_zeroip на ДЕСах? Подскажите, пожалуйста, кто с этим имел дело без теорикрафта. Такая мысль возникла из-за того, что вышеописанная проблема возникает только на Win 7 и Win Vista.

[NiTr0]

DHCP-snooping не поднят по причине того, что через этот же ДГС проходят и другие соединения, например, l2tp, vpn.

А каким образом одно на другое может влиять-то?

[Roxxor]

А каким образом одно на другое может влиять-то?

При включении "enable address_binding dhcp_snooping" блокируется весь клиентский трафик на 3526. Типы подключений там разные- и dhcp, и статические ип. Если dhcp работает нормально при включении снупинга, то статики перестают работать.

[s.lobanov]

Схема ipoe такая: SE100 -> DGS 3627/3650 -> DES 3526/3550 -> клиенты. Включена Options82.

На ДГСах поднят L3

 

Хотите стабильную работающую сеть - терминируйте абонентов на брасе, а не на low-cost L3-свитчах, при этом все абоненты должны быть изолированы на L2 и сильно сегментированы.

[Roxxor]

Хотите стабильную работающую сеть - терминируйте абонентов на брасе, а не на low-cost L3-свитчах

В теории да. На практике- если сделать так, как вы предлагаете, то весь трафик пойдет через SE100, а в сети очень много пирингов, соответственно, вся нагрузка пойдет на брас.

И топик не о том "как сделать стабильно работующую сеть", а о странных конфликтах в винде. Вполне возможно, что кто-то уже сталкивался с этим.

 

при этом все абоненты должны быть изолированы на L2 и сильно сегментированы.

Так и есть. Где-то влан на дом, где-то влан на каждого абонента.

[s.lobanov]

Roxxor

Конфликты не странные. Например, была целая партия материнских плат с чипом nvidia с одинаковым мак-адресом. если у вас нет изоляции портов, может быть и такое, что мак абонента пришёл другому абоненту, там попал в петлю, вернулся на ваш свитч и первому абоненту. да всё что угодно может быть в подобных сетях.

[Roxxor]

Roxxor

Конфликты не странные. Например, была целая партия материнских плат с чипом nvidia с одинаковым мак-адресом. если у вас нет изоляции портов, может быть и такое, что мак абонента пришёл другому абоненту, там попал в петлю, вернулся на ваш свитч и первому абоненту. да всё что угодно может быть в подобных сетях.

Как это происходит с клиентской стороны:

Клиент получил ип по dhcp, работает нормально день, неделю. В какой-то прекрасный момент (судя по времени- даже не в момент обновления лизы) винда выдает- обнаружен конфликт ip-адреса, бла-бла. В логах винды пишется, что конфликт с маком, который принадлежит этому же клиенту. Несколько раз /release /renew помогает, но это не панацея, нужно решение со стороны DES'ов/DGS'ов.

В логах dhcp-сервера пишется, что клиент отключился от сервера и опять НОРМАЛЬНО получил dhcp-ответ, то бишь ип, маску, шлюз, роуты и т.д. И такое происходит раз в 2 секунды (винда разрывает dhcp) в течении времени обновления лизы, потом цепляется все нормально, но у клиента все это время связь не работает.

Это происходит только на Win 7 и Win Vista, и то- не на каждом компе.

Изменено 29 марта, 2012 пользователем Roxxor

[ingress]

на DES 3526/3550 loopback detect не срабатывает в этот момент?

[Roxxor]

на DES 3526/3550 loopback detect не срабатывает в этот момент?

Хм, похоже "loopback detect" вообще не включен.

DES-3526:admin#show config current_config inc "loopback"
Command: show config current_config include "loopback"

No filter matched result !

DES-3526:admin#

Спасибо за подсказку.

 

edit: Сейчас проверил ДЕСы у клиентов, которых были конфликты- loopback detect включен. И дело не в нем: если бы блокировался порт/влан, то клиент не смог бы получить адрес после /release /renew.

Изменено 29 марта, 2012 пользователем Roxxor

[Tsvetkov]

На microsoft зарегистрирован свой диапозон МАС адресов - http://www.coffer.com/mac_find .

[ИМХО]

если сетевая заводиться с дровами от MS -

то обычно ставиться мак от MS - а может от сетевой

а может глючить

 

1. Проверить кол-во маков на порту и кому принадлежат.

2. Проверить дрова на сетевуху в винде.

[/ИМХО]

[Roxxor]

На microsoft зарегистрирован свой диапозон МАС адресов - http://www.coffer.com/mac_find .

[ИМХО]

если сетевая заводиться с дровами от MS -

то обычно ставиться мак от MS - а может от сетевой

а может глючить

 

1. Проверить кол-во маков на порту и кому принадлежат.

2. Проверить дрова на сетевуху в винде.

[/ИМХО]

Прочитайте, пожалуйста, пост №13. Вся система работает нормально, но иногда бывают вышеописанные конфликты, от которых надо избавиться. У всех клиентов разные сетевухи и что-то делать на стороне клиентов- не вариант совсем. Максимум можно- это что-то прописать в реестр, то бишь выложить в общий доступ .reg файл с каким-то фиксом.

[Tsvetkov]

Вот как-раз с вин Висты пошло, что пробиваешь МАК адрес по http://www.coffer.com/mac_find

пишет, что принадлежит MS, а материнка реально от Asus с набортовой сетью.

И есно тот Мак, что лерниться на порту от MS, не совпадает с наклейкой МАКа на мамке.

Какой мак выберет винда ? - незнамо.

[Negator]

А точка доступа у абонента не стоит?

У нас были клиенты которые конфликтовали со своей же точкой доступа.

[Roxxor]

Вот как-раз с вин Висты пошло, что пробиваешь МАК адрес по http://www.coffer.com/mac_find

пишет, что принадлежит MS, а материнка реально от Asus с набортовой сетью.

И есно тот Мак, что лерниться на порту от MS, не совпадает с наклейкой МАКа на мамке.

Какой мак выберет винда ? - незнамо.

Win 7 64-bit:

Search results for "00-1A-4D-59-F1-8C"
Prefix 	Vendor
001A4D 	GIGA-BYTE TECHNOLOGY CO.,LTD.

C:\Windows\system32>ipconfig /all

Настройка протокола IP для Windows

  Имя компьютера  . . . . . . . . . : Work
  Основной DNS-суффикс  . . . . . . :
  Тип узла. . . . . . . . . . . . . : Гибридный
  IP-маршрутизация включена . . . . : Нет
  WINS-прокси включен . . . . . . . : Нет
  Порядок просмотра суффиксов DNS . : ***.com

Ethernet adapter LAN:

  DNS-суффикс подключения . . . . . : ***.com
  Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168B/8111B Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
  Физический адрес. . . . . . . . . : 00-1A-4D-59-F1-8C
  DHCP включен. . . . . . . . . . . : Да
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : ***.1**.*8.*(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.224
  Аренда получена. . . . . . . . . . : 29 марта 2012 г. 17:26:07
  Срок аренды истекает. . . . . . . . . . : 29 марта 2012 г. 17:58:20
  Основной шлюз. . . . . . . . . : ***.1**.*8.30
  DHCP-сервер. . . . . . . . . . . : ***.***.***.***
  DNS-серверы. . . . . . . . . . . : ***.***.***.***
  NetBios через TCP/IP. . . . . . . . : Отключен

Все нормально здесь.

Повторюсь: что-то менять у клиентов- не вариант, нужно решение на стороне сервера. Пока рассматриваю опцию:

config address_binding ip_mac ports 1-24 state enable allow_zeroip enable forward_dhcppkt enable

, буду тестить.

 

А точка доступа у абонента не стоит?

У нас были клиенты которые конфликтовали со своей же точкой доступа.

Абонентов тысячи. Возможно, что и на всяких DIR'ах были такие проблемы, не припомню уже.

Факт в том, что проблема имеет место быть и надо ее пофиксить.

[Tsvetkov]

на сколько помню для Realtek RTL8168B/8111B Family PCI-E нет встроенных драйверов в винду

[Roxxor]

на сколько помню для Realtek RTL8168B/8111B Family PCI-E нет встроенных драйверов в винду

И все же, винда при установке сама поставила эти дрова. Вопрос не в этом.

[passer]

Вопрос в том как сделать что у вас все работало. Для начала собрать информацию о проблеме. Извините, но информации именно по проблеме вы дали крайне мало.

 

Конфликтуют маки, отлично, включите mac_notification и соберите маки. А сколько у вас маков бывает в одном vlan'е? Вопрос к тому, что бывали и китайские сетевушки, у которых во всей партии один мак и материнки из сервиса, которым залили образ биоса программатором и стало в сети 2-3 материнки с одним маком. Иначе говоря, анамнез не ясен, анализы не сданы, но "доктор, помогите".

 

 

[Roxxor]

Вопрос в том как сделать что у вас все работало. Для начала собрать информацию о проблеме. Извините, но информации именно по проблеме вы дали крайне мало.

 

Конфликтуют маки, отлично, включите mac_notification и соберите маки. А сколько у вас маков бывает в одном vlan'е? Вопрос к тому, что бывали и китайские сетевушки, у которых во всей партии один мак и материнки из сервиса, которым залили образ биоса программатором и стало в сети 2-3 материнки с одним маком. Иначе говоря, анамнез не ясен, анализы не сданы, но "доктор, помогите".

МАКов во влане в районе 50-ти (для примера. Есть больше, есть меньше).

Спрашивайте, что не понятно. Внимательно прочитайте тему, в ней достаточно информации.

Насчет mac_notification- спасибо, соберу.

Изменено 29 марта, 2012 пользователем Roxxor

[Negator]

выложите лог DHCP