zorn Posted March 22, 2013 · Report post Тестируем 3 свитча SNR-S2940-8G-v2,SNR-S2960-24G и SNR-S2960-48G DHCP relay ... ip forward-protocol udp bootps ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1 sub-vlan 1001 ... interface Vlan1 ip helper-address x.x.x.x ... При такой конфигурации на SNR-S2940-8G-v2 и SNR-S2960-24G все нормально работает. Однако на SNR-S2960-48G запросы уходят, ответы приходят на свитч, но не отдаются клиенту. (видно по debug ip dhcp relay packet - они одинаковые для всех свитчей). Чтобы заработало нужно дополнительно добавить ... ip dhcp snooping enable ip dhcp snooping binding enable ! ip dhcp snooping information enable ... Interface Ethernet0/0/49 #uplink ip dhcp snooping trust ... DHCP snooping впринципе не нужен. Что то подобное делается выше по цепочке. Впринципе добавление его в конфиг не мешает, но все равно очень похоже на баг. Share this post Link to post Share on other sites
Sergey Simonenko Posted April 2, 2013 · Report post Подтверждаем проблему, вся информация передана в R&D, ожидаем исправлений. Share this post Link to post Share on other sites
lumenok Posted April 10, 2013 · Report post А вот у нас 2960 никак пока не заработал SNR-S2960-24G(config)#sho running-config interface vlan 1 ! interface Vlan1 ip address 10.95.13.17 255.255.0.0 !forward protocol udp 67(active)! ip helper-address 10.0.0.100 ! SNR-S2960-24G(config)#sho running-config | include dhcp service dhcp ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1 sub-vlan 1012-1013 ip dhcp snooping enable ip dhcp snooping binding enable ip dhcp snooping information enable ip dhcp snooping trust ip dhcp snooping trust ip dhcp snooping trust ip dhcp snooping trust SNR-S2960-24G(config)# ! SNR-S2960-24G(config)#sho running-config | include udp ip forward-protocol udp bootps Share this post Link to post Share on other sites
Олег Кривицкий Posted April 10, 2013 · Report post У меня на SNR-S2960-48G настроил dhcp snooping по мануалу, работает без проблем ... Share this post Link to post Share on other sites
lumenok Posted April 10, 2013 · Report post Да я видимо поторопился с выводами, где-то у нас по сети теряется dhcp, думаем что на des-3528 Share this post Link to post Share on other sites
zorn Posted April 11, 2013 · Report post А пинг со свитча до 10.0.0.100 доходит хоть ? А то они у вас в разных подсетях. Share this post Link to post Share on other sites
lumenok Posted April 11, 2013 · Report post Конечно доходит. Share this post Link to post Share on other sites
in7rude Posted April 11, 2013 · Report post А дальше по трассе до DHCP-сервера от SNR везде трасты на интерфейсах прописаны? Share this post Link to post Share on other sites
lumenok Posted April 12, 2013 · Report post А дальше стоят длинки и все там разрешено, самое интересное что теряется где-то пакет DHCPOFFER witch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:22 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:22 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 То есть по логу видно что сервер ответил, debug c коммутатора pr 10 12:14:52 2013 DHCPR PACKET: build circuit id with vid <1>, portname <Ethernet1/3> Apr 10 12:14:52 2013 DHCPR PACKET: rcvd request packet, length <326>, making our circuit-id <00:06:03:F5:01:00:00:03>, our remote-id <00:03:0F:25:FB:E0> Apr 10 12:14:52 2013 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 30-85-a9-6f-63-02 on interface Vlan1. DHCPR: option 82 found in this request packet, policy 'replace' taken for it, replaced with ours Apr 10 12:14:52 2013 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:03:F5:01:00:00:03 remote-id 00:03:0F:25:FB:E0) into this request packet(type:3), new packet length 314 Apr 10 12:14:52 2013 DHCPR PACKET: unicasting BOOTP-REQUEST from client 30-85-a9-6f-63-02 to server/relay 10.0.0.100 Apr 10 12:15:00 2013 DHCPR PACKET: build circuit id with vid <1>, portname <Ethernet1/3> Apr 10 12:15:00 2013 DHCPR PACKET: rcvd request packet, length <326>, making our circuit-id <00:06:03:F5:01:00:00:03>, our remote-id <00:03:0F:25:FB:E0> Apr 10 12:15:00 2013 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 30-85-a9-6f-63-02 on interface Vlan1. Share this post Link to post Share on other sites
lumenok Posted April 12, 2013 · Report post Заработало вот так: SNR-S2960-24G#sho running-config | include dhcp service dhcp ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1 sub-vlan 1012-1013 SNR-S2960-24G#sho running-config | include helper ip helper-address 10.0.0.100 SNR-S2960-24G#sho running-config | include udp ip forward-protocol udp bootps Share this post Link to post Share on other sites
GFORGX Posted December 27, 2013 · Report post Вышло исправление для S2960-48G, можно на support@nag.ru запросить. Share this post Link to post Share on other sites
VVSina Posted December 28, 2013 · Report post хех, родили патчик, спустя 9 месяцев... наводит на мысли Share this post Link to post Share on other sites
mirk Posted February 26, 2014 · Report post Всем привет Как и все здесь присутствующие пытаемся настроить DHCP relay коммутатор у нас правда SNR-S2960-24G, а не 48G но думаю это не страшно. SoftWare Version 7.0.3.1(R0002.0033) Настроили мы как рекомендуют на форуме interface Vlan21 ip address 10.255.28.245 255.255.255.0 ! interface Vlan1001 ip address 192.168.28.245 255.255.255.0 ! SNR-S2960-24G#sho running-config | include dhcp service dhcp ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1001 sub-vlan 21 SNR-S2960-24G#sho running-config | include helper ip helper-address 10.10.0.120 SNR-S2960-24G#sho running-config | include udp ip forward-protocol udp bootps вот только проблема что на DHCP сервер запросы приходят с SRC IP 10.255.28.245, а нужно чтобы с 192.168.28.245 Создаётся впечатление что ip dhcp relay share-vlan 1001 sub-vlan 21 вообще не работает. Если убрать IP с Vlan21 то запросы до 10.10.0.120 не доходят вовсе. Хотя по мануалу всё должно работать. Может кто подскажет в чём беда. Share this post Link to post Share on other sites
VVSina Posted February 27, 2014 · Report post 1001 это я так понимаю managment 21 с хомяками. 1. зачем ифейс в влане с хомяками? 2. ip helper-address 10.10.0.120 на каком ифейсе прописан? 3. наршрут туда-сюда до 10.10.0.120 верен? имхо запросы приходят не с того ифейса от того что: 1. ip helper-address прописан не в том ифейсе 2. маршрут через Vlan21 прямее Share this post Link to post Share on other sites
redbaronred Posted February 28, 2014 (edited) · Report post От имени mirk. service dhcp! ip forward-protocol udp bootps ip dhcp relay information option ip dhcp broadcast suppress ip dhcp relay share-vlan 1001 sub-vlan 21 ! interface Vlan21 ip address 10.255.28.245 255.255.255.0 ! interface Vlan1001 ip address 192.168.28.245 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 10.10.0.120 ! ip default-gateway 192.168.28.1 Vlan21 - хомяки, Vlan1001 - managment 1. Интерфейс в Vlan21 сделан для экстренного доступа к свичу через access порты пользователей (в обычной ситуации для него даже нет шлюза). 2. Ответ выше в конфигурации. 3. Маршрут до 10.10.0.120 верен, пингуется. Пробовали убирать интерфейс 10.255.28.245 - не помогает. Пакеты на DHCP-сервер не приходят. Edited February 28, 2014 by redbaronred Share this post Link to post Share on other sites
VVSina Posted February 28, 2014 · Report post я где-то писал ip default-gateway это не из той оперы надо ip route и чтобы пинги ходили без int vl 21 Share this post Link to post Share on other sites
lumenok Posted February 28, 2014 · Report post Говорите 7.0.3.1(R0002.0033) На данной прошивке нам помогло: SNR-S2940-8G-v2(config)#sho running-config | include cpu mac-address-learning cpu-control Share this post Link to post Share on other sites
redbaronred Posted February 28, 2014 · Report post Извините, не понял последнее сообщение VVSina. Убрал интерфейс с Vlan21. Пробовал включать-выключать mac-address-learning cpu-control - не помогает (кстати, что эта команда делает? Этой команды нет в документации). На всякий случай привожу настройки пользовательского порта 1 и Uplink-порта 28. Может быть здесь есть подводные камни. Если у кого-то работает DHCP - напишите пожалуйста пример рабочих настроек. Interface Ethernet1/1 switchport access vlan 21 switchport association multicast-vlan 101 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! Interface Ethernet1/28 switchport mode hybrid switchport hybrid allowed vlan 101;1001 tag switchport hybrid allowed vlan 21 untag switchport hybrid native vlan 21 Share this post Link to post Share on other sites
VVSina Posted March 1, 2014 (edited) · Report post ! service dhcp ! ip forward-protocol udp bootps ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp relay share-vlan 7 sub-vlan 60 ! ip dhcp snooping enable ip dhcp snooping binding enable ! vlan 1;7;60 ! vlan 100 multicast-vlan multicast-vlan association 60 ! ! Interface Ethernet1/1 description [flat 8] switchport access vlan 60 ! Interface Ethernet1/9 switchport mode trunk switchport trunk allowed vlan 7;38;100 ip dhcp snooping trust ! interface Vlan7 ip address 192.168.x.y 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 192.168.x.z ! Но у меня helper в той же сети. В Вашем случае надо сказать коммутатору ip route 10.10.0.120/32 192.168.28.1 ну или какая там у вас правильная маска. Edited March 1, 2014 by VVSina Share this post Link to post Share on other sites
mirk Posted March 2, 2014 · Report post Настроил по рекомендациям VVSina не помогло. На DHCP сервер ничего не приходит пока нет интерфейса + ip helper addres на vlan 21 А если сделать interface Vlan21 ip address 10.255.28.245 255.255.255.0 ip helper-address 10.10.0.120 то приходят пакеты с адресом 10.255.28.245 18:24:58.979988 IP 10.255.28.245.67 > 10.10.0.120.67: BOOTP/DHCP, Request from 00:04:61:аа:2d:3b, length 316 вот сам конфиг SNR-S2960-24G#sh ru ! ! service dhcp ! ip forward-protocol udp bootps ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1001 sub-vlan 21 ! ip dhcp snooping enable ip dhcp snooping binding enable ! ! ! ! vlan 21 name v_client ! vlan 1001 name v_mng_01 ! vlan 100 name v100 multicast-vlan multicast-vlan mode dynamic ! Interface Ethernet1/1 switchport access vlan 21 switchport association multicast-vlan 100 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! .... Interface Ethernet1/28 switchport mode trunk switchport trunk allowed vlan 21;100;1001 ip dhcp snooping trust ! interface Vlan21 ! interface Vlan1001 ip address 192.168.28.245 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 10.10.0.120 ! ip igmp snooping ip igmp snooping vlan 100 ip igmp snooping vlan 100 l2-general-querier ! ip route 10.10.0.120/32 192.168.28.1 ip default-gateway 192.168.28.1 ! Share this post Link to post Share on other sites
VVSina Posted March 4, 2014 (edited) · Report post А на маршрутизаторе что видно? именно в влан 1001 на других коммутаторах в сети как? шлюз - что? кошка линукс? если кошка то конфиг в студию, если линукс то смотрите tcpdump в 1001 влане Edited March 4, 2014 by VVSina Share this post Link to post Share on other sites
mirk Posted March 11, 2014 · Report post В итоге всё заработало но пришлось убрать интерфейс на клиентском vlan no interface Vlan21 Share this post Link to post Share on other sites
VVSina Posted March 12, 2014 · Report post Как и предполагалось. У Вас проблемы с маршрутами. Share this post Link to post Share on other sites
skinner Posted April 9, 2014 · Report post ибо это секурити дыра иметь интерфейс в пользовательском влане Share this post Link to post Share on other sites
man781 Posted June 22, 2016 · Report post Дано: свич SNR 2990 Прошива самая свежая (июнь 2016) В типовой схеме, которая работает много лет на других свичах других вендоров, на 2990 - не работает релей. Перепробовал всё, что тут нарыл на форуме. В итоге всё заработало но пришлось убрать интерфейс на клиентском vlan Тоже убрал интерфейс на юзерском влан - сразу полетели DHCP запросы. Как и предполагалось. У Вас проблемы с маршрутами. С роутингом все в порядке. Дело не в этом. ********************************************** Все бы хорошо, но есть важный нюанс - мне нужны эти L3 фейсы в юзерских влан - именно на этих свчиах агрегации, именно в этом месте - ибо тут терминируются юзерские вланы и дальше уже идет роутинг. ибо это секурити дыра иметь интерфейс в пользовательском влане Нет никакой дыры - есть ACL и прочие фишки, чтобы защитить свич/сеть/юзеров от самих же юзеров. А тут такая борода. Кто что посоветует? Share this post Link to post Share on other sites
