zorn Опубликовано 22 марта, 2013 · Жалоба Тестируем 3 свитча SNR-S2940-8G-v2,SNR-S2960-24G и SNR-S2960-48G DHCP relay ... ip forward-protocol udp bootps ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1 sub-vlan 1001 ... interface Vlan1 ip helper-address x.x.x.x ... При такой конфигурации на SNR-S2940-8G-v2 и SNR-S2960-24G все нормально работает. Однако на SNR-S2960-48G запросы уходят, ответы приходят на свитч, но не отдаются клиенту. (видно по debug ip dhcp relay packet - они одинаковые для всех свитчей). Чтобы заработало нужно дополнительно добавить ... ip dhcp snooping enable ip dhcp snooping binding enable ! ip dhcp snooping information enable ... Interface Ethernet0/0/49 #uplink ip dhcp snooping trust ... DHCP snooping впринципе не нужен. Что то подобное делается выше по цепочке. Впринципе добавление его в конфиг не мешает, но все равно очень похоже на баг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Simonenko Опубликовано 2 апреля, 2013 · Жалоба Подтверждаем проблему, вся информация передана в R&D, ожидаем исправлений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 10 апреля, 2013 · Жалоба А вот у нас 2960 никак пока не заработал SNR-S2960-24G(config)#sho running-config interface vlan 1 ! interface Vlan1 ip address 10.95.13.17 255.255.0.0 !forward protocol udp 67(active)! ip helper-address 10.0.0.100 ! SNR-S2960-24G(config)#sho running-config | include dhcp service dhcp ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1 sub-vlan 1012-1013 ip dhcp snooping enable ip dhcp snooping binding enable ip dhcp snooping information enable ip dhcp snooping trust ip dhcp snooping trust ip dhcp snooping trust ip dhcp snooping trust SNR-S2960-24G(config)# ! SNR-S2960-24G(config)#sho running-config | include udp ip forward-protocol udp bootps Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Олег Кривицкий Опубликовано 10 апреля, 2013 · Жалоба У меня на SNR-S2960-48G настроил dhcp snooping по мануалу, работает без проблем ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 10 апреля, 2013 · Жалоба Да я видимо поторопился с выводами, где-то у нас по сети теряется dhcp, думаем что на des-3528 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zorn Опубликовано 11 апреля, 2013 · Жалоба А пинг со свитча до 10.0.0.100 доходит хоть ? А то они у вас в разных подсетях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 11 апреля, 2013 · Жалоба Конечно доходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
in7rude Опубликовано 11 апреля, 2013 · Жалоба А дальше по трассе до DHCP-сервера от SNR везде трасты на интерфейсах прописаны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 12 апреля, 2013 · Жалоба А дальше стоят длинки и все там разрешено, самое интересное что теряется где-то пакет DHCPOFFER witch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:22 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:22 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:55 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: Lease for 10.13.17.3 Switch port: 3 Switch IP: 10.95.13.17 Switch.agent IP: ^O%ШЮ VLAN:1013 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPDISCOVER from 30:85:a9:6f:63:02 (PC) via 10.95.13.17 Apr 10 12:16:58 ns1-zhigulinet-ru dhcpd: DHCPOFFER on 10.13.17.3 to 30:85:a9:6f:63:02 (PC) via 10.95.13.17 То есть по логу видно что сервер ответил, debug c коммутатора pr 10 12:14:52 2013 DHCPR PACKET: build circuit id with vid <1>, portname <Ethernet1/3> Apr 10 12:14:52 2013 DHCPR PACKET: rcvd request packet, length <326>, making our circuit-id <00:06:03:F5:01:00:00:03>, our remote-id <00:03:0F:25:FB:E0> Apr 10 12:14:52 2013 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 30-85-a9-6f-63-02 on interface Vlan1. DHCPR: option 82 found in this request packet, policy 'replace' taken for it, replaced with ours Apr 10 12:14:52 2013 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:03:F5:01:00:00:03 remote-id 00:03:0F:25:FB:E0) into this request packet(type:3), new packet length 314 Apr 10 12:14:52 2013 DHCPR PACKET: unicasting BOOTP-REQUEST from client 30-85-a9-6f-63-02 to server/relay 10.0.0.100 Apr 10 12:15:00 2013 DHCPR PACKET: build circuit id with vid <1>, portname <Ethernet1/3> Apr 10 12:15:00 2013 DHCPR PACKET: rcvd request packet, length <326>, making our circuit-id <00:06:03:F5:01:00:00:03>, our remote-id <00:03:0F:25:FB:E0> Apr 10 12:15:00 2013 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 30-85-a9-6f-63-02 on interface Vlan1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 12 апреля, 2013 · Жалоба Заработало вот так: SNR-S2960-24G#sho running-config | include dhcp service dhcp ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1 sub-vlan 1012-1013 SNR-S2960-24G#sho running-config | include helper ip helper-address 10.0.0.100 SNR-S2960-24G#sho running-config | include udp ip forward-protocol udp bootps Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 27 декабря, 2013 · Жалоба Вышло исправление для S2960-48G, можно на support@nag.ru запросить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 28 декабря, 2013 · Жалоба хех, родили патчик, спустя 9 месяцев... наводит на мысли Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mirk Опубликовано 26 февраля, 2014 · Жалоба Всем привет Как и все здесь присутствующие пытаемся настроить DHCP relay коммутатор у нас правда SNR-S2960-24G, а не 48G но думаю это не страшно. SoftWare Version 7.0.3.1(R0002.0033) Настроили мы как рекомендуют на форуме interface Vlan21 ip address 10.255.28.245 255.255.255.0 ! interface Vlan1001 ip address 192.168.28.245 255.255.255.0 ! SNR-S2960-24G#sho running-config | include dhcp service dhcp ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1001 sub-vlan 21 SNR-S2960-24G#sho running-config | include helper ip helper-address 10.10.0.120 SNR-S2960-24G#sho running-config | include udp ip forward-protocol udp bootps вот только проблема что на DHCP сервер запросы приходят с SRC IP 10.255.28.245, а нужно чтобы с 192.168.28.245 Создаётся впечатление что ip dhcp relay share-vlan 1001 sub-vlan 21 вообще не работает. Если убрать IP с Vlan21 то запросы до 10.10.0.120 не доходят вовсе. Хотя по мануалу всё должно работать. Может кто подскажет в чём беда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 27 февраля, 2014 · Жалоба 1001 это я так понимаю managment 21 с хомяками. 1. зачем ифейс в влане с хомяками? 2. ip helper-address 10.10.0.120 на каком ифейсе прописан? 3. наршрут туда-сюда до 10.10.0.120 верен? имхо запросы приходят не с того ифейса от того что: 1. ip helper-address прописан не в том ифейсе 2. маршрут через Vlan21 прямее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redbaronred Опубликовано 28 февраля, 2014 (изменено) · Жалоба От имени mirk. service dhcp! ip forward-protocol udp bootps ip dhcp relay information option ip dhcp broadcast suppress ip dhcp relay share-vlan 1001 sub-vlan 21 ! interface Vlan21 ip address 10.255.28.245 255.255.255.0 ! interface Vlan1001 ip address 192.168.28.245 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 10.10.0.120 ! ip default-gateway 192.168.28.1 Vlan21 - хомяки, Vlan1001 - managment 1. Интерфейс в Vlan21 сделан для экстренного доступа к свичу через access порты пользователей (в обычной ситуации для него даже нет шлюза). 2. Ответ выше в конфигурации. 3. Маршрут до 10.10.0.120 верен, пингуется. Пробовали убирать интерфейс 10.255.28.245 - не помогает. Пакеты на DHCP-сервер не приходят. Изменено 28 февраля, 2014 пользователем redbaronred Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 28 февраля, 2014 · Жалоба я где-то писал ip default-gateway это не из той оперы надо ip route и чтобы пинги ходили без int vl 21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 28 февраля, 2014 · Жалоба Говорите 7.0.3.1(R0002.0033) На данной прошивке нам помогло: SNR-S2940-8G-v2(config)#sho running-config | include cpu mac-address-learning cpu-control Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redbaronred Опубликовано 28 февраля, 2014 · Жалоба Извините, не понял последнее сообщение VVSina. Убрал интерфейс с Vlan21. Пробовал включать-выключать mac-address-learning cpu-control - не помогает (кстати, что эта команда делает? Этой команды нет в документации). На всякий случай привожу настройки пользовательского порта 1 и Uplink-порта 28. Может быть здесь есть подводные камни. Если у кого-то работает DHCP - напишите пожалуйста пример рабочих настроек. Interface Ethernet1/1 switchport access vlan 21 switchport association multicast-vlan 101 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! Interface Ethernet1/28 switchport mode hybrid switchport hybrid allowed vlan 101;1001 tag switchport hybrid allowed vlan 21 untag switchport hybrid native vlan 21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 1 марта, 2014 (изменено) · Жалоба ! service dhcp ! ip forward-protocol udp bootps ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp relay share-vlan 7 sub-vlan 60 ! ip dhcp snooping enable ip dhcp snooping binding enable ! vlan 1;7;60 ! vlan 100 multicast-vlan multicast-vlan association 60 ! ! Interface Ethernet1/1 description [flat 8] switchport access vlan 60 ! Interface Ethernet1/9 switchport mode trunk switchport trunk allowed vlan 7;38;100 ip dhcp snooping trust ! interface Vlan7 ip address 192.168.x.y 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 192.168.x.z ! Но у меня helper в той же сети. В Вашем случае надо сказать коммутатору ip route 10.10.0.120/32 192.168.28.1 ну или какая там у вас правильная маска. Изменено 1 марта, 2014 пользователем VVSina Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mirk Опубликовано 2 марта, 2014 · Жалоба Настроил по рекомендациям VVSina не помогло. На DHCP сервер ничего не приходит пока нет интерфейса + ip helper addres на vlan 21 А если сделать interface Vlan21 ip address 10.255.28.245 255.255.255.0 ip helper-address 10.10.0.120 то приходят пакеты с адресом 10.255.28.245 18:24:58.979988 IP 10.255.28.245.67 > 10.10.0.120.67: BOOTP/DHCP, Request from 00:04:61:аа:2d:3b, length 316 вот сам конфиг SNR-S2960-24G#sh ru ! ! service dhcp ! ip forward-protocol udp bootps ip dhcp relay information option ip dhcp relay information option subscriber-id format hex ip dhcp broadcast suppress ip dhcp relay share-vlan 1001 sub-vlan 21 ! ip dhcp snooping enable ip dhcp snooping binding enable ! ! ! ! vlan 21 name v_client ! vlan 1001 name v_mng_01 ! vlan 100 name v100 multicast-vlan multicast-vlan mode dynamic ! Interface Ethernet1/1 switchport access vlan 21 switchport association multicast-vlan 100 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown ! .... Interface Ethernet1/28 switchport mode trunk switchport trunk allowed vlan 21;100;1001 ip dhcp snooping trust ! interface Vlan21 ! interface Vlan1001 ip address 192.168.28.245 255.255.255.0 !forward protocol udp 67(active)! ip helper-address 10.10.0.120 ! ip igmp snooping ip igmp snooping vlan 100 ip igmp snooping vlan 100 l2-general-querier ! ip route 10.10.0.120/32 192.168.28.1 ip default-gateway 192.168.28.1 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 4 марта, 2014 (изменено) · Жалоба А на маршрутизаторе что видно? именно в влан 1001 на других коммутаторах в сети как? шлюз - что? кошка линукс? если кошка то конфиг в студию, если линукс то смотрите tcpdump в 1001 влане Изменено 4 марта, 2014 пользователем VVSina Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mirk Опубликовано 11 марта, 2014 · Жалоба В итоге всё заработало но пришлось убрать интерфейс на клиентском vlan no interface Vlan21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 12 марта, 2014 · Жалоба Как и предполагалось. У Вас проблемы с маршрутами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 9 апреля, 2014 · Жалоба ибо это секурити дыра иметь интерфейс в пользовательском влане Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 22 июня, 2016 · Жалоба Дано: свич SNR 2990 Прошива самая свежая (июнь 2016) В типовой схеме, которая работает много лет на других свичах других вендоров, на 2990 - не работает релей. Перепробовал всё, что тут нарыл на форуме. В итоге всё заработало но пришлось убрать интерфейс на клиентском vlan Тоже убрал интерфейс на юзерском влан - сразу полетели DHCP запросы. Как и предполагалось. У Вас проблемы с маршрутами. С роутингом все в порядке. Дело не в этом. ********************************************** Все бы хорошо, но есть важный нюанс - мне нужны эти L3 фейсы в юзерских влан - именно на этих свчиах агрегации, именно в этом месте - ибо тут терминируются юзерские вланы и дальше уже идет роутинг. ибо это секурити дыра иметь интерфейс в пользовательском влане Нет никакой дыры - есть ACL и прочие фишки, чтобы защитить свич/сеть/юзеров от самих же юзеров. А тут такая борода. Кто что посоветует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...