1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт ноя 11, 2025 01:17

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
mr.madness
 Заголовок сообщения: DES-3526 DHCP Relay + Snooping
СообщениеДобавлено: Пн янв 11, 2010 21:42 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
Здравия желаю.

Итак, настроил на 3526 DHCP Relay, DHCP сервер находится в другом тагированном влане, да и пакеты его долетают через ещё один релей через 3828. Релей работает, адрес я получаю.

Пробую DHCP Snooping. Включаю саму опцию, потом включаю Mac-Binding на порту (режим - loose), разрешаю пакеты с 0 адресом и пропускать dhcp пакеты, задаю 5 вхождений для снупинга... Не работает. Адрес получаю, но не появляется вхождения в таблице DHCP Snooping, MAC блокируется... Скажите, как делать правильно.


Код:
# DHCP_RELAY

enable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep                                         
config dhcp_relay option_82 remote_id default
config dhcp_relay option_60 state disable
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 state disable
config dhcp_relay option_61 default drop
config dhcp_relay add ipif System 192.168.200.2

# DHCP_LOCAL_RELAY

disable dhcp_local_relay

# IPBIND
config address_binding ip_mac ports 3 state enable
config address_binding ip_mac ports 3 allow_zeroip enable
config address_binding ip_mac ports 3 forward_dhcppkt enable
config address_binding ip_mac ports 3 state enable loose
disable address_binding acl_mode
enable address_binding trap_log
enable address_binding dhcp_snoop
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 11, 2010 21:44 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
Да, прошивки пробовал b52 и b60
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 11, 2010 21:45 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
1) В режиме DHCP Snooping нужно обязательно выставлять режим strict на порту.
2) У Вас вот в такой строчке что задано?

config address_binding dhcp_snoop max_entry ports 3 limit ?
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 11, 2010 21:51 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
max entry - 5
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 11, 2010 21:53 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
в strict режиме тоже не работает
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 11, 2010 22:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Попробуйте пожалуйста прошивку которую я Вам выслал.
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 00:02 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
не работает... При каких условиях вообще работает DHCP-Snooping? Мне кажется удавалось раз его запустить, но условия воспроизвести не могу...
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 01:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Укажите пожалуйста в личку Ваш телефон.
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 13:23 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
вроде завёлся снупинг, но тут же отвалилось управление... Включился SafeGuard Engine, заблокировалось управление... и похоже начал дропать бродкасты... больше он dhcp запросы не пускает... блин.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 13:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Выключите SafeGuard Engine. Сколько у Вас DHCP Broadcast пакетов в секунду от клиентов идёт? Сколько клиентов вообще к свитчу подключено?
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 15:31 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
Ну броадкастов... ну штук 100 в секунду... Самба же... это фильтруется, через свитч не пролетает.

DHCP пользователей - 2.
Всего пользователей ~ 350.

Сейчас пробовал с выключенным Safeguard, dhcp snooping вроде как работает, но управление всё равно падает...
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 15:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Попробуйте настроить Traffic control на Broadcast пакеты с определённым порогом. И посмотрите по консоли загрузку CPU в такой ситуации.
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 13, 2010 13:51 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
Ай... заколупался со снупингом... Повисал свитч со включенным 802.1х, жрал 100%.

Далее, когда выключил 802.1х, дхцп снупинг работает не всегда... А периодически... Какое-то время поработает, потом перестаёт регистрировать записи... и ещё, когда создаётся правило на свитче при дхцп снупинге, управление не доступно и на пинги не отвечает... Хотя пакеты не дропает... В пень такое счастье...

Ну и что, что у меня 350 пользователей... TC не помогает...

Сделаю лучше автоматическую привязку через snmp... радиус достаточно инфы оставляет... надеюсь он работает стабильно...

Зачем писать в заявленных функциях dhcp snooping, если он не работает как надо?...
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 13, 2010 13:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Она работает и работает как нужно при правильном использовании. Если у Вас на каждом порту был бы один DHCP клиент было бы всё нормально. Эта функция у всех полусофтовая и естественно при обновлении лиз несколько грузит процессор.
Вернуться наверх
 Профиль  
 
mr.madness
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 13, 2010 14:18 
Не в сети

Зарегистрирован: Вс янв 10, 2010 16:10
Сообщений: 20
1 пользователь на порту?... смешно... коммутатор такого уровня для 20 пользователей...

Да и какого он виснет в паре с 802.1x?... Когда лиза добавляется - он подвисает на время. ладно, не страшно... хотя странно, что оно занимает более 20 секунд... А с включенным 802.1х управление вообще не оживает, после регистрации 2-3 лиз... Это взаимоисключающие параметры чтоли?..

ладно, проживём без снупинга, коли он на такие нагрузки не рассчитан...
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 30

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB