Добрый день.
Возникла проблема в топологии сети:
---|des-3526#1| --- | central L2 switch | --- | des-3526#2|
На обоих des-3526 с 1-24 порты 220-ый влан, нетагированный, т.е. в access-mode.
На обоих свитчах 25-ый порт в транке с тагированным 220-ым вланом.
Оба 3526 видят друг друга по Л2 через центральный свитч.
Всё вроде бы хорошо.
Но.
Включаю dhcp_relay на обоих свитчах.
Абонент, посылая запрос на первом свитче скажем с 5-го порта, получает успешно адрес.
Но что за этот короткий промежуток времени происходит:
- Первый свитч пересылает пакет дхцп серверу, который принимает dhcp_relay запросы
- второй свитч с какой-то радости на 25-ом порту от другого свитча тоже получает этот броадкаст дхцп запрос и тоже его отправляет на сервер dhcp_relay.
В результате получается один запрос с каждого свитча. Будет 5 свитчей - будет 5 запросов.
Поразмышляв, решил средствами ACL пофильтровать входящие запросы на 25,26 портах и разрешить на всех остальных:
Код:
create access_profile ip udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 27 ip udp src_port 68 port 1 permit
config access_profile profile_id 3 add access_id 28 ip udp src_port 68 port 2 permit
config access_profile profile_id 3 add access_id 29 ip udp src_port 68 port 3 permit
config access_profile profile_id 3 add access_id 30 ip udp src_port 68 port 4 permit
config access_profile profile_id 3 add access_id 31 ip udp src_port 68 port 5 permit
config access_profile profile_id 3 add access_id 32 ip udp src_port 68 port 6 permit
config access_profile profile_id 3 add access_id 33 ip udp src_port 68 port 7 permit
config access_profile profile_id 3 add access_id 34 ip udp src_port 68 port 8 permit
config access_profile profile_id 3 add access_id 35 ip udp src_port 68 port 9 permit
config access_profile profile_id 3 add access_id 36 ip udp src_port 68 port 10 permit
config access_profile profile_id 3 add access_id 37 ip udp src_port 68 port 11 permit
config access_profile profile_id 3 add access_id 38 ip udp src_port 68 port 12 permit
config access_profile profile_id 3 add access_id 39 ip udp src_port 68 port 13 permit
config access_profile profile_id 3 add access_id 40 ip udp src_port 68 port 14 permit
config access_profile profile_id 3 add access_id 41 ip udp src_port 68 port 15 permit
config access_profile profile_id 3 add access_id 42 ip udp src_port 68 port 16 permit
config access_profile profile_id 3 add access_id 43 ip udp src_port 68 port 17 permit
config access_profile profile_id 3 add access_id 44 ip udp src_port 68 port 18 permit
config access_profile profile_id 3 add access_id 45 ip udp src_port 68 port 19 permit
config access_profile profile_id 3 add access_id 46 ip udp src_port 68 port 20 permit
config access_profile profile_id 3 add access_id 47 ip udp src_port 68 port 21 permit
config access_profile profile_id 3 add access_id 48 ip udp src_port 68 port 22 permit
config access_profile profile_id 3 add access_id 49 ip udp src_port 68 port 23 permit
config access_profile profile_id 3 add access_id 50 ip udp src_port 68 port 24 permit
config access_profile profile_id 3 add access_id 51 ip udp src_port 68 port 25 deny
config access_profile profile_id 3 add access_id 52 ip udp src_port 68 port 26 deny
Но почему-то запросы так и не пофилтровались
.
Как избавиться от этих дублей?
Отключение dhcp_relay на всех свитчах с одинаковыми вланами и оставление только на одном из них - просьба не предлагать.
В идеале бы хотелось увидеть, чтобы перехваченные dhcp_relay запросы свитчём дальше порта, откуда происходит запрос на адрес не переадресовывались.
Спасибо.
Вход
Регистрация
FAQ
Поиск
.