[dubcon]

Написал на форуме д-линка следующие вопросы:

 

Здравствуйте! Могу я где-то детально узнать о следующих параметрах option_82

 

dhcp_relay option_82 check {disable,enable}

dhcp_relay option_82 policy {keep,replace,drop}

 

если нет такой документации, опишите здесь пожалуйста.

 

У меня проблема, цепочка DES-3526 <--> DES-3526 <--> DES-3526 (все Build 6.20.B18), запрос на самом нижнем релейется, но также этот запрос релейется и на всех аплинковых портах вышестоящих коммутаторов. Такое наблюдаю только на 3526, а использую еще много моделей коммутаторов d-link.

 

настройки relay

# DHCP_RELAY

 

config dhcp_relay hops 16 time 0

config dhcp_relay option_82 state enable

config dhcp_relay option_82 check disable

config dhcp_relay option_82 policy keep

config dhcp_relay option_82 remote_id default

config dhcp_relay option_60 state disable

config dhcp_relay option_60 default mode drop

config dhcp_relay option_61 state disable

config dhcp_relay option_61 default drop

config dhcp_relay add vlanid 1111 10.10.10.121

 

 

Получил следующий ответ:

Чтобы юникастовые запросы не релеелись, используйте прошивку 6.00.B057, либо

1. отключаете dhcp relay

2. создаете acl для пропуска транзитных dhcp запросов на магистральных портах

3. включаете dhcp relay.

 

Мой вопрос после ответа игнорят до сих пор. Помогите плиз с ACL для этого случая:

6.00.B057 - насколько помню в ней нет релея по вланам, да и понижение не выход

Можно пример акла к примеру 26 порта?

Как то так?

 

config access_profile profile_id 255 add access_id 1 packet_content_mask (HEX) - что здесь вписать?

 

Спасибо!

[DVM-Avgoor]

Релеи в 3526 вроде срабатывают до ACL. Я не уверен, но что-то такое в далеком прошлом было.

Ну а ежели желаете поиграть, про packet_content_mask есть хауту на dlink.ru, там подробно описан процесс. Берете тпцдамп, смотрите как выглядят требуемые пакеты, заполняете маску, заполняете правило. Работа для джедаев, конечно, зато интересно :)

[dubcon]

Релеи в 3526 вроде срабатывают до ACL. Я не уверен, но что-то такое в далеком прошлом было.

Ну а ежели желаете поиграть, про packet_content_mask есть хауту на dlink.ru, там подробно описан процесс. Берете тпцдамп, смотрите как выглядят требуемые пакеты, заполняете маску, заполняете правило. Работа для джедаев, конечно, зато интересно :)

Спасибо! Много перелопатил и на этот хауту так и не наткнулся. Буду пробовать.

[DVM-Avgoor]

Есть мнение что вам обычного udp профиля для запрета DHCP хватит, но конечно packet_content_mask тоже ок

[mcdemon]

рекомендую обновить прошивку

в 6.20.19 и 6.20.20 в ченджлогах два исправления по dhcp relay

[biox]

если вам отфильтровать dhcp пакеты нужно с целью подавления левых dhcp (например кор\во включенные роутеры клиентов), то у длинка есть отдельная функция dhcp server screening: config filter dhcp_server...

 

 

 

 

включаете на нужных портах

[dubcon]

Да мне не подавлять, мне надо чтобы DHCP запросы с опцией 82 проходили по аплинкам свободно, а не дублировались на каждом устройстве. Возможно решение в прошивке - по описанию подходит Бета-версия 6.20b20

 

Исправлено дублирование DHCP ACK пакетов при использовании DHCP relay.

 

 

Закончился лимит сообщений. vurd, спасибо, по логике подходит. А я вообще локал релейем разрешаю дхцп запросы для других вланов. Без него фильтрится все кроме влана с релейем.

Изменено 5 мая, 2014 пользователем dubcon

[vurd]

Вот так проверьте. Локал релей как раз для этого включен, помнится.

 

# DHCP_RELAY

enable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep
config dhcp_relay option_82 remote_id default
config dhcp_relay option_60 state disable
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 state disable
config dhcp_relay option_61 default drop
config dhcp_relay add ipif System <IP>
config dhcp_relay add ipif System <IP2>

# DHCP_LOCAL_RELAY

enable dhcp_local_relay
config dhcp_local_relay option_82 ports 1-26 policy keep

[dubcon]

enable dhcp_local_relay

config dhcp_local_relay option_82 ports 1-26 policy keep

 

Нет не помогает. На проблемных включен и выставлен keep, а дублирует все равно. Осталось попробовать прошивку и акл

 

Но скорее всего прошивка, потому что оригинальный отрелееный пакет проходит, просто на всех транзитных узлах появляется дубликат со своим remoteID

Изменено 5 мая, 2014 пользователем dubcon

[vurd]

Включение локал релея без вланов подавляло все широковещательные DHCPDISCOVER\REQUEST уходящие за свитч. Прошивка у меня Firmware Version : Build 6.00.B28.

[dubcon]

Скорее нет ни какой проблемы. Проанализировал жалобы, посмотрел логи. Запрос скорее прилетает широковещательный в влане сверху на аплинк. Сбило с толку то что на форуме д-линка быстро дали ответ - подумал что проблема известная)

[snark]

мне надо чтобы DHCP запросы с опцией 82 проходили по аплинкам свободно, а не дублировались на каждом устройстве

 

В DES-3526 настравиваете DHCP relay:

 

config dhcp_relay add ipif System 1.1.1.1
config dhcp_relay add ipif System 2.2.2.2
config dhcp_relay option_82 state enable
enable dhcp_relay

 

А потом не настраиваете, а просто включаете DHCP local relay:

 

enable dhcp_local_relay

[pppoetest]

Вот так проверьте. Локал релей как раз для этого включен, помнится.

 

# DHCP_RELAY

enable dhcp_relay

# DHCP_LOCAL_RELAY

enable dhcp_local_relay

Можно уточнения, зачем включается локальный релей вместе с глобальным?

Изменено 29 мая, 2014 пользователем pppoetest

[snark]

зачем включается локальный релей вместе с глобальным?

 

Дык писали же:

 

Включение локал релея без вланов подавляло все широковещательные DHCPDISCOVER\REQUEST уходящие за свитч.

 

Это такая хитрая особенность именно DES-3526.

[pppoetest]

Пардон, не заметил.

[Negator]

А можно не включать локальный релей, а просто добавить на все порты ACL блокирующий DHCP запросы.

Релеить коммутатор будет ибо релей срабатывает до ACL, а дальше они не пройдут.

Собственно включение локального релея и делает ровно то же самое.

 

Обращаю Ваше внимание что на других моделях коммутаторов поведение другое.

[snark]

Обращаю Ваше внимание что на других моделях коммутаторов поведение другое.

 

Надо было написать БОЛЬШИМИ буквами, хотя ... Все равно никто читать не будет :(

[biox]

Negator на d-linke acl ками не зафильтровать dhcp пакеты

[snark]

на d-linke acl ками не зафильтровать dhcp пакеты

 

На Des-3526 - нет, т.к. DHCP relay работает _до_ ACL, а на DES-3028 или DES-1228/ME - запросто, т.к. DHCP relay работает _после_ ACL.

[dubcon]

мне надо чтобы DHCP запросы с опцией 82 проходили по аплинкам свободно, а не дублировались на каждом устройстве

 

В DES-3526 настравиваете DHCP relay:

 

config dhcp_relay add ipif System 1.1.1.1
config dhcp_relay add ipif System 2.2.2.2
config dhcp_relay option_82 state enable
enable dhcp_relay

 

А потом не настраиваете, а просто включаете DHCP local relay:

 

enable dhcp_local_relay

 

Благодарю. Помогло

[dubcon]

Поспешил. Не помогает локал релей. Помогает удаление акссес листов. Но мне они нужны, что делать?

[Negator]

должно помочь.

Я бы посоветовал проверить все и обратиться на форум длинка за помощью.