[zorn]

Тестируем 3 свитча SNR-S2940-8G-v2,SNR-S2960-24G и SNR-S2960-48G

DHCP relay

...
ip forward-protocol udp bootps
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp broadcast suppress
ip dhcp relay share-vlan 1 sub-vlan 1001
...
interface Vlan1
ip helper-address x.x.x.x
...

При такой конфигурации на SNR-S2940-8G-v2 и SNR-S2960-24G все нормально работает.

Однако на SNR-S2960-48G запросы уходят, ответы приходят на свитч, но не отдаются клиенту. (видно по debug ip dhcp relay packet - они одинаковые для всех свитчей).

Чтобы заработало нужно дополнительно добавить

...
ip dhcp snooping enable
ip dhcp snooping binding enable
!
ip dhcp snooping information enable
...
Interface Ethernet0/0/49 #uplink
ip dhcp snooping trust
...

DHCP snooping впринципе не нужен. Что то подобное делается выше по цепочке.

Впринципе добавление его в конфиг не мешает, но все равно очень похоже на баг.

[Sergey Simonenko]

Подтверждаем проблему, вся информация передана в R&D, ожидаем исправлений.

[lumenok]

А вот у нас 2960 никак пока не заработал

SNR-S2960-24G(config)#sho running-config interface vlan 1
!
interface Vlan1
ip address 10.95.13.17 255.255.0.0
 !forward protocol udp 67(active)!
ip helper-address 10.0.0.100
!
SNR-S2960-24G(config)#sho running-config | include dhcp
service dhcp
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp broadcast suppress
ip dhcp relay share-vlan 1 sub-vlan 1012-1013
ip dhcp snooping enable
ip dhcp snooping binding enable
ip dhcp snooping information enable
ip dhcp snooping trust
ip dhcp snooping trust
ip dhcp snooping trust
ip dhcp snooping trust
SNR-S2960-24G(config)#
!
SNR-S2960-24G(config)#sho running-config | include udp
ip forward-protocol udp bootps

[Олег Кривицкий]

У меня на SNR-S2960-48G настроил dhcp snooping по мануалу, работает без проблем ...

[lumenok]

Да я видимо поторопился с выводами, где-то у нас по сети теряется dhcp, думаем что на des-3528

[zorn]

А пинг со свитча до 10.0.0.100 доходит хоть ?

А то они у вас в разных подсетях.

[lumenok]

Конечно доходит.

[in7rude]

А дальше по трассе до DHCP-сервера от SNR везде трасты на интерфейсах прописаны?

[lumenok]

А дальше стоят длинки и все там разрешено, самое интересное что теряется где-то пакет DHCPOFFER

witch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013
Apr 10 12:16:22 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:22 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd:  Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013
Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd:  Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013
Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd:  Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013
Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd:  Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013
Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17
Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17

 

То есть по логу видно что сервер ответил,

debug c коммутатора

pr 10 12:14:52 2013 DHCPR PACKET: build circuit id with vid <1>, portname <Ethernet1/3>
Apr 10 12:14:52 2013 DHCPR PACKET: rcvd request packet, length <326>,  making our circuit-id <00:06:03:F5:01:00:00:03>, our remote-id <00:03:0F:25:FB:E0>
Apr 10 12:14:52 2013 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 30-85-a9-6f-63-02 on interface Vlan1.

DHCPR: option 82 found in this request packet, policy 'replace' taken for it, replaced with ours
Apr 10 12:14:52 2013 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:03:F5:01:00:00:03 remote-id 00:03:0F:25:FB:E0) into this request packet(type:3), new packet length 314
Apr 10 12:14:52 2013 DHCPR PACKET: unicasting BOOTP-REQUEST from client 30-85-a9-6f-63-02 to server/relay 10.0.0.100
Apr 10 12:15:00 2013 DHCPR PACKET: build circuit id with vid <1>, portname <Ethernet1/3>
Apr 10 12:15:00 2013 DHCPR PACKET: rcvd request packet, length <326>,  making our circuit-id <00:06:03:F5:01:00:00:03>, our remote-id <00:03:0F:25:FB:E0>
Apr 10 12:15:00 2013 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 30-85-a9-6f-63-02 on interface Vlan1.

[lumenok]

Заработало вот так:

SNR-S2960-24G#sho running-config | include dhcp
service dhcp
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp broadcast suppress
ip dhcp relay share-vlan 1 sub-vlan 1012-1013
SNR-S2960-24G#sho running-config | include helper
ip helper-address 10.0.0.100
SNR-S2960-24G#sho running-config | include udp
ip forward-protocol udp bootps

[GFORGX]

Вышло исправление для S2960-48G, можно на support@nag.ru запросить.

[VVSina]

хех, родили патчик, спустя 9 месяцев... наводит на мысли

[mirk]

Всем привет

 

Как и все здесь присутствующие пытаемся настроить DHCP relay

коммутатор у нас правда SNR-S2960-24G, а не 48G но думаю это не страшно.

SoftWare Version 7.0.3.1(R0002.0033)

 

Настроили мы как рекомендуют на форуме

 

interface Vlan21
ip address 10.255.28.245 255.255.255.0
!
interface Vlan1001
ip address 192.168.28.245 255.255.255.0
!

SNR-S2960-24G#sho running-config | include dhcp
service dhcp
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp broadcast suppress
ip dhcp relay share-vlan 1001 sub-vlan 21
SNR-S2960-24G#sho running-config | include helper
ip helper-address 10.10.0.120
SNR-S2960-24G#sho running-config | include udp
ip forward-protocol udp bootps

 

вот только проблема что на DHCP сервер запросы приходят с SRC IP 10.255.28.245, а нужно чтобы с 192.168.28.245 Создаётся впечатление что

ip dhcp relay share-vlan 1001 sub-vlan 21

вообще не работает.

 

Если убрать IP с Vlan21 то запросы до 10.10.0.120 не доходят вовсе. Хотя по мануалу всё должно работать.

 

Может кто подскажет в чём беда.

[VVSina]

1001 это я так понимаю managment

21 с хомяками.

 

1. зачем ифейс в влане с хомяками?

2. ip helper-address 10.10.0.120 на каком ифейсе прописан?

3. наршрут туда-сюда до 10.10.0.120 верен?

 

имхо запросы приходят не с того ифейса от того что:

1. ip helper-address прописан не в том ифейсе

2. маршрут через Vlan21 прямее

[redbaronred]

От имени mirk.

service dhcp

!

ip forward-protocol udp bootps

ip dhcp relay information option

ip dhcp broadcast suppress

ip dhcp relay share-vlan 1001 sub-vlan 21

!

interface Vlan21

ip address 10.255.28.245 255.255.255.0

!

interface Vlan1001

ip address 192.168.28.245 255.255.255.0

!forward protocol udp 67(active)!

ip helper-address 10.10.0.120

!

ip default-gateway 192.168.28.1

Vlan21 - хомяки, Vlan1001 - managment

1. Интерфейс в Vlan21 сделан для экстренного доступа к свичу через access порты пользователей (в обычной ситуации для него даже нет шлюза).

2. Ответ выше в конфигурации.

3. Маршрут до 10.10.0.120 верен, пингуется.

Пробовали убирать интерфейс 10.255.28.245 - не помогает. Пакеты на DHCP-сервер не приходят.

Изменено 28 февраля, 2014 пользователем redbaronred

[VVSina]

я где-то писал ip default-gateway это не из той оперы

надо ip route

и чтобы пинги ходили без int vl 21

[lumenok]

Говорите 7.0.3.1(R0002.0033)

На данной прошивке нам помогло:

SNR-S2940-8G-v2(config)#sho running-config | include cpu
mac-address-learning cpu-control

[redbaronred]

Извините, не понял последнее сообщение VVSina. Убрал интерфейс с Vlan21. Пробовал включать-выключать mac-address-learning cpu-control - не помогает (кстати, что эта команда делает? Этой команды нет в документации). На всякий случай привожу настройки пользовательского порта 1 и Uplink-порта 28. Может быть здесь есть подводные камни. Если у кого-то работает DHCP - напишите пожалуйста пример рабочих настроек.

Interface Ethernet1/1

switchport access vlan 21

switchport association multicast-vlan 101

loopback-detection specified-vlan 1-4094

loopback-detection control shutdown

!

Interface Ethernet1/28

switchport mode hybrid

switchport hybrid allowed vlan 101;1001 tag

switchport hybrid allowed vlan 21 untag

switchport hybrid native vlan 21

[VVSina]

!
service dhcp
!
ip forward-protocol udp bootps
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp relay share-vlan 7 sub-vlan 60
!
ip dhcp snooping enable
ip dhcp snooping binding enable
!
vlan 1;7;60
!
vlan 100
multicast-vlan
multicast-vlan association 60
!
!
Interface Ethernet1/1
description [flat 8]
switchport access vlan 60
!
Interface Ethernet1/9
switchport mode trunk
switchport trunk allowed vlan 7;38;100
ip dhcp snooping trust
!
interface Vlan7
ip address 192.168.x.y 255.255.255.0
 !forward protocol udp 67(active)!
ip helper-address 192.168.x.z
!

 

Но у меня helper в той же сети.

В Вашем случае надо сказать коммутатору

ip route 10.10.0.120/32 192.168.28.1

ну или какая там у вас правильная маска.

Изменено 1 марта, 2014 пользователем VVSina

[mirk]

Настроил по рекомендациям VVSina не помогло.

На DHCP сервер ничего не приходит пока нет интерфейса + ip helper addres на vlan 21

А если сделать

interface Vlan21
  ip address 10.255.28.245 255.255.255.0
  ip helper-address 10.10.0.120

то приходят пакеты с адресом 10.255.28.245

18:24:58.979988 IP 10.255.28.245.67 > 10.10.0.120.67: BOOTP/DHCP, Request from 00:04:61:аа:2d:3b, length 316

 

вот сам конфиг

SNR-S2960-24G#sh ru
!
!
service dhcp
!
ip forward-protocol udp bootps
ip dhcp relay information option
ip dhcp relay information option subscriber-id format hex
ip dhcp broadcast suppress
ip dhcp relay share-vlan 1001 sub-vlan 21
!
ip dhcp snooping enable
ip dhcp snooping binding enable
!
!
!
!
vlan 21
name v_client
!
vlan 1001
name v_mng_01
!
vlan 100
name v100
multicast-vlan
multicast-vlan mode dynamic
!

Interface Ethernet1/1
switchport access vlan 21
switchport association multicast-vlan 100
loopback-detection specified-vlan 1-4094
loopback-detection control shutdown
!
....

Interface Ethernet1/28
switchport mode trunk
switchport trunk allowed vlan 21;100;1001
ip dhcp snooping trust
!
interface Vlan21
!
interface Vlan1001
ip address 192.168.28.245 255.255.255.0
 !forward protocol udp 67(active)!
ip helper-address 10.10.0.120
!
ip igmp snooping
ip igmp snooping vlan 100
ip igmp snooping vlan 100 l2-general-querier
!
ip route 10.10.0.120/32 192.168.28.1
ip default-gateway 192.168.28.1
!

[VVSina]

А на маршрутизаторе что видно? именно в влан 1001

на других коммутаторах в сети как?

шлюз - что? кошка линукс?

если кошка то конфиг в студию,

если линукс то смотрите tcpdump в 1001 влане

Изменено 4 марта, 2014 пользователем VVSina

[mirk]

В итоге всё заработало но пришлось убрать интерфейс на клиентском vlan

 

no interface Vlan21

[VVSina]

Как и предполагалось. У Вас проблемы с маршрутами.

[skinner]

ибо это секурити дыра иметь интерфейс в пользовательском влане

[man781]

Дано: свич SNR 2990

Прошива самая свежая (июнь 2016)

В типовой схеме, которая работает много лет на других свичах других вендоров, на 2990 - не работает релей.

Перепробовал всё, что тут нарыл на форуме.

 

В итоге всё заработало но пришлось убрать интерфейс на клиентском vlan

Тоже убрал интерфейс на юзерском влан - сразу полетели DHCP запросы.

 

Как и предполагалось. У Вас проблемы с маршрутами.

 

С роутингом все в порядке. Дело не в этом.

**********************************************

Все бы хорошо, но есть важный нюанс - мне нужны эти L3 фейсы в юзерских влан - именно на этих свчиах агрегации, именно в этом месте - ибо тут терминируются юзерские вланы и дальше уже идет роутинг.

 

ибо это секурити дыра иметь интерфейс в пользовательском влане

Нет никакой дыры - есть ACL и прочие фишки, чтобы защитить свич/сеть/юзеров от самих же юзеров.

 

А тут такая борода.

 

Кто что посоветует?