Проблема следующая:
Есть DHCP сервер на Windows 2008 r2, подключенный в неуправляемый свич, который подключен в нетегированный порт в 253 влане (порт №1, свич DGS-3200-16)
также есть еще несколько компъютеров - клиентов, подключенных в том же влан в нетегированные порты.
На этом же свиче есть другие вланы (все перечислять не буду их порядка 30 штук)
И есть порт 13, который соединен со свичем верхнего уровня (назовем его портом uplink), через который гуляют только тегированные пакеты, т.е. все вланы на порту tagged
253 влан на этом порту отсутствует, он только внутри свича.

Проблема:
если порт 13 соединен с портом верхнего свича - то в логах dhcp сервера со временем появляються записи о выдаче ip адресов "левым" клиентам не с 253 влана (на прилагаемом скриншоте это ip 192.168.53.210-218)? причем со временем их стает все больше и больше.
как только порт 13 физически отключаю - то все нормально и ip адреса никому кроме компов с 253 влана не выдаються.

подозрения возникли на dhcp relay - но как запросы от компов с других вланов попадают на 253 влан?
dhcp relay на этом и всех остальных свичах отключен (не настроен).

И что это за данные в поле "Уникальный код" для ip 192.168.53.210-218 и как их расшифровать?


Прошивка: Firmware Version 1.62.B022
====================================
# DHCP_LOCAL_RELAY
disable dhcp_local_relay
# DHCP_RELAY
disable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
====================================
DGS-3200-16:4#show dhcp_relay
Command: show dhcp_relay

DHCP/Bootp Relay Status : Disabled
DHCP/Bootp Hops Count Limit : 4
DHCP/Bootp Relay Time Threshold : 0
DHCP Relay Agent Information Option 82 State : Disabled
DHCP Relay Agent Information Option 82 Check : Disabled
DHCP Relay Agent Information Option 82 Policy : Replace

Interface Server 1 Server 2 Server 3 Server 4
------------ --------------- --------------- --------------- ---------------

DGS-3200-16:4#show dhcp_local_relay
Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status : Disabled
DHCP/BOOTP Local Relay VID List :

Если DHCP_relay выключен, то он не будет пробрасывать dhcp запросы из одного вилана в другой. Что за уникальный код Вам лучше уточнить у производителя dhcp сервера.

дело даже не в том, что это за данные в поле "Уникальный код".

я же описал ситуацию выше - если я физически отключаю 13 порт к вышестоящему свичу - то ip адреса не выдаються - т.е. запросы не проходят
а когда порт включен - запросы с других вланов попадают в 253 влан.

На вышестоящих свичах 253 влана нет.

Как запросы попадают на 253 влан?

если нужен конгфиг свича - я могу прислать.

покажите

и

с DGS-3200-16

DGS-3200-16:4#sh fdb
Command: show fdb

Unicast MAC Address Aging Time = 300

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ----- -----------------
1 default 00-22-B0-51-3D-FA 9 Dynamic
2 vlan-2 00-0C-42-4F-93-74 13 Dynamic
2 vlan-2 00-1C-2E-36-73-C0 13 Dynamic
2 vlan-2 00-1C-2E-36-83-00 13 Dynamic
2 vlan-2 00-1C-2E-36-D3-00 13 Dynamic
2 vlan-2 00-1C-2E-36-E3-00 13 Dynamic
2 vlan-2 00-1C-F0-8B-9C-C3 11 Dynamic
2 vlan-2 00-1E-58-9A-A5-12 13 Dynamic
2 vlan-2 00-1E-58-B5-29-F4 CPU Self
2 vlan-2 00-21-91-8D-99-56 13 Dynamic
2 vlan-2 00-21-91-8D-9C-93 13 Dynamic
2 vlan-2 00-22-64-9E-CF-82 13 Dynamic
2 vlan-2 00-22-B0-51-3D-FA 9 Dynamic
2 vlan-2 90-E6-BA-20-A8-B3 13 Dynamic
2 vlan-2 FE-D9-F9-77-7C-EF 13 Dynamic
16 vlan-16 00-0C-46-B3-09-76 13 Dynamic
16 vlan-16 00-13-8F-39-5B-15 13 Dynamic
16 vlan-16 00-22-B0-51-3D-FA 9 Dynamic
17 vlan-17 00-21-91-8D-9C-93 13 Dynamic
17 vlan-17 00-22-B0-51-3D-FA 9 Dynamic
17 vlan-17 90-E6-BA-20-A8-B3 13 Dynamic
18 vlan-18 00-0C-42-4F-93-74 13 Dynamic
18 vlan-18 00-22-B0-51-3D-FA 9 Dynamic
18 vlan-18 FE-CC-62-87-E6-BC 13 Dynamic
19 vlan-19 00-0C-42-4F-93-74 13 Dynamic
19 vlan-19 00-0E-08-3A-EA-F2 13 Dynamic
19 vlan-19 00-13-D3-B8-44-85 13 Dynamic
19 vlan-19 00-16-D3-E7-42-62 13 Dynamic
19 vlan-19 00-17-31-7D-62-B4 13 Dynamic
19 vlan-19 00-18-F3-0D-30-5C 13 Dynamic
19 vlan-19 00-18-F3-69-26-07 13 Dynamic
19 vlan-19 00-1E-58-9A-A5-12 13 Dynamic
19 vlan-19 00-22-15-CB-62-0E 13 Dynamic
19 vlan-19 00-22-64-9E-CF-82 13 Dynamic
19 vlan-19 00-22-B0-51-3D-FA 9 Dynamic
19 vlan-19 FE-E9-99-2D-C7-92 13 Dynamic
101 vlan-101 00-15-F2-C4-AD-56 13 Dynamic
106 vlan-106 00-19-66-F7-AC-38 13 Dynamic
107 vlan-107 00-15-F2-92-A0-9A 13 Dynamic
107 vlan-107 00-1E-8C-11-BA-55 13 Dynamic
111 vlan-111 00-23-AB-E9-5D-4C 13 Dynamic
114 vlan-114 00-50-FC-84-8B-E5 3 Dynamic
115 vlan-115 00-19-66-FE-1D-C9 13 Dynamic
115 vlan-115 00-1E-58-9A-A5-12 13 Dynamic
116 vlan-116 00-22-B0-51-3D-FA 9 Dynamic
116 vlan-116 00-23-AB-E9-5D-51 13 Dynamic
116 vlan-116 90-E6-BA-20-A8-B3 13 Dynamic
195 vlan-195 00-02-2A-E2-FB-FC 5 Dynamic
195 vlan-195 00-0C-42-4F-93-74 13 Dynamic
195 vlan-195 00-1D-A1-A8-01-BA 13 Dynamic
195 vlan-195 00-1E-58-9A-A5-12 13 Dynamic
195 vlan-195 00-21-91-8D-99-56 13 Dynamic
195 vlan-195 00-22-B0-51-3D-FA 9 Dynamic
195 vlan-195 FE-92-69-96-20-F2 13 Dynamic
253 vlan-253 00-19-66-ED-3E-32 1 Dynamic
253 vlan-253 E0-CB-4E-3E-A3-3C 1 Dynamic

Total Entries: 56

DGS-3200-16:4#sh gvrp
Command: show gvrp

Global GVRP : Disabled

Port PVID GVRP Ingress Checking Acceptable Frame Type
------- ---- -------- ---------------- ---------------------------
1 253 Disabled Enabled All Frames
2 114 Disabled Enabled All Frames
3 114 Disabled Enabled All Frames
4 195 Disabled Enabled All Frames
5 195 Disabled Enabled All Frames
6 19 Disabled Enabled All Frames
7 113 Disabled Enabled All Frames
8 113 Disabled Enabled All Frames
9 1 Disabled Enabled All Frames
10 1 Disabled Enabled All Frames
11 1 Disabled Enabled All Frames
12 1 Disabled Enabled All Frames
13 1 Disabled Enabled All Frames
14 1 Disabled Enabled All Frames
15 1 Disabled Enabled All Frames
16 1 Disabled Enabled All Frames

Total Entries : 16

=======================================================

00-19-66-ed-3e-32 - МАС сервера
E0-CB-4E-3E-A3-3C - МАС сетевой карты моей машины в 253 влане
00-22-B0-51-3D-FA - МАС сетевой карты (DGE-530T с настроенными вланами) моей машины в других вланах

vlan-2 - влан в котором идет управление свичами

на всякий случай:
DGS-3200-16:4#sh vlan
Command: show vlan


VLAN Trunk State : Disabled
VLAN Trunk Member Ports :


VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Disabled
Member Ports : 9-10
Static Ports : 9-10
Current Tagged Ports : 9-10
Current Untagged Ports:
Static Tagged Ports : 9-10
Static Untagged Ports :
Forbidden Ports :

VID : 2 VLAN Name : vlan-2
VLAN Type : Static Advertisement : Disabled
Member Ports : 9-16
Static Ports : 9-16
Current Tagged Ports : 9-16
Current Untagged Ports:
Static Tagged Ports : 9-16
Static Untagged Ports :
Forbidden Ports :

............. другие вланы пропускаю ....................................

VID : 19 VLAN Name : vlan-19
VLAN Type : Static Advertisement : Disabled
Member Ports : 1,6,9-16
Static Ports : 1,6,9-16
Current Tagged Ports : 1,9-16
Current Untagged Ports: 6
Static Tagged Ports : 1,9-16
Static Untagged Ports : 6
Forbidden Ports :

............. другие вланы пропускаю ....................................

VID : 253 VLAN Name : vlan-253
VLAN Type : Static Advertisement : Disabled
Member Ports : 1,9-10
Static Ports : 1,9-10
Current Tagged Ports : 9-10
Current Untagged Ports: 1
Static Tagged Ports : 9-10
Static Untagged Ports : 1
Forbidden Ports :

Total Static VLAN Entries: 26
Total GVRP VLAN Entries: 0


это все что есть на первом порту

DGS-3200-16:4#show vlan ports
Command: show vlan ports

Port VID Untagged Tagged Dynamic Forbidden
----- ---- -------- ------ ------- ---------
1 19 - X - -
1 253 X - - -
.
.
.
13 2 - X - -
13 10 - X - -
13 16 - X - -
13 17 - X - -
13 18 - X - -
13 19 - X - -
13 101 - X - -
13 102 - X - -
13 103 - X - -
13 104 - X - -
13 105 - X - -
13 106 - X - -
13 107 - X - -
13 108 - X - -
13 109 - X - -
13 110 - X - -
13 111 - X - -
13 112 - X - -
13 113 - X - -
13 114 - X - -
13 115 - X - -
13 116 - X - -
13 195 - X - -

Смотрите каким MAC адресам DHCP выдал айпи адреса, а потом ищите их в fdb таблице, думаю это единственный вариант найти нелегалов.

ну так на месте МАС адресов какой-то код, который больше похож на код dhcp relay
да и машин у меня в 253 влане раз два и обчелся - все их мак адреса я знаю
(на скриншоте они все есть - для них настроено резервирование)

запрос попадает в 253 влан с другого влана, скорее всего с 19


- откуда нелегалы могут у меня взяться в 253 влане - если это сетка на несколько комнат рядом со мной, да и выдача "нелегалам" ip с моего сервера начинается как только я физически подключаю 13 порт, а на этом порту 253 влан отсутствует !!!

ради чистоты эксперимента ограничил сетку 5-ю компъютерами - все равно запросы приходят непонятно откуда.

а как можно расшифровать код запроса dhcp relay (к примеру Agent Remote ID)?

Вот тут есть тема про Option 82 ftp://ftp.dlink.ru/pub/Trainings/D-Link ... vanced.rar

и все таки - кто может объяснить как на 253 влан попадают запросы с других вланов?

Смотрите свою сеть. Скажу только, что коммутатор этого делать не может. Даже при включенном dhcp_relay запросы перенаправляются в management vlan, а не в какой-то другой.

но 253 влан только на этом свиче - и все - больше на других свичах его нет !!!

Запускайте снифер, смотрите.

какой порекомендуете?