faq обучение настройка
Текущее время: Вт июл 29, 2025 17:22

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: des-3526
СообщениеДобавлено: Вт фев 05, 2008 20:22 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
Добрый день.

Возникла проблема в топологии сети:

---|des-3526#1| --- | central L2 switch | --- | des-3526#2|

На обоих des-3526 с 1-24 порты 220-ый влан, нетагированный, т.е. в access-mode.
На обоих свитчах 25-ый порт в транке с тагированным 220-ым вланом.
Оба 3526 видят друг друга по Л2 через центральный свитч.

Всё вроде бы хорошо.
Но.

Включаю dhcp_relay на обоих свитчах.

Абонент, посылая запрос на первом свитче скажем с 5-го порта, получает успешно адрес.
Но что за этот короткий промежуток времени происходит:
- Первый свитч пересылает пакет дхцп серверу, который принимает dhcp_relay запросы
- второй свитч с какой-то радости на 25-ом порту от другого свитча тоже получает этот броадкаст дхцп запрос и тоже его отправляет на сервер dhcp_relay.

В результате получается один запрос с каждого свитча. Будет 5 свитчей - будет 5 запросов.

Поразмышляв, решил средствами ACL пофильтровать входящие запросы на 25,26 портах и разрешить на всех остальных:

Код:
create access_profile ip udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 27 ip udp src_port 68 port 1 permit
config access_profile profile_id 3 add access_id 28 ip udp src_port 68 port 2 permit
config access_profile profile_id 3 add access_id 29 ip udp src_port 68 port 3 permit
config access_profile profile_id 3 add access_id 30 ip udp src_port 68 port 4 permit
config access_profile profile_id 3 add access_id 31 ip udp src_port 68 port 5 permit
config access_profile profile_id 3 add access_id 32 ip udp src_port 68 port 6 permit
config access_profile profile_id 3 add access_id 33 ip udp src_port 68 port 7 permit
config access_profile profile_id 3 add access_id 34 ip udp src_port 68 port 8 permit
config access_profile profile_id 3 add access_id 35 ip udp src_port 68 port 9 permit
config access_profile profile_id 3 add access_id 36 ip udp src_port 68 port 10 permit
config access_profile profile_id 3 add access_id 37 ip udp src_port 68 port 11 permit
config access_profile profile_id 3 add access_id 38 ip udp src_port 68 port 12 permit
config access_profile profile_id 3 add access_id 39 ip udp src_port 68 port 13 permit
config access_profile profile_id 3 add access_id 40 ip udp src_port 68 port 14 permit
config access_profile profile_id 3 add access_id 41 ip udp src_port 68 port 15 permit
config access_profile profile_id 3 add access_id 42 ip udp src_port 68 port 16 permit
config access_profile profile_id 3 add access_id 43 ip udp src_port 68 port 17 permit
config access_profile profile_id 3 add access_id 44 ip udp src_port 68 port 18 permit
config access_profile profile_id 3 add access_id 45 ip udp src_port 68 port 19 permit
config access_profile profile_id 3 add access_id 46 ip udp src_port 68 port 20 permit
config access_profile profile_id 3 add access_id 47 ip udp src_port 68 port 21 permit
config access_profile profile_id 3 add access_id 48 ip udp src_port 68 port 22 permit
config access_profile profile_id 3 add access_id 49 ip udp src_port 68 port 23 permit
config access_profile profile_id 3 add access_id 50 ip udp src_port 68 port 24 permit
config access_profile profile_id 3 add access_id 51 ip udp src_port 68 port 25 deny
config access_profile profile_id 3 add access_id 52 ip udp src_port 68 port 26 deny


Но почему-то запросы так и не пофилтровались :-(.

Как избавиться от этих дублей?

Отключение dhcp_relay на всех свитчах с одинаковыми вланами и оставление только на одном из них - просьба не предлагать.
В идеале бы хотелось увидеть, чтобы перехваченные dhcp_relay запросы свитчём дальше порта, откуда происходит запрос на адрес не переадресовывались.

Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 05, 2008 23:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вы используете функционал IP-MAC-Port Binding в вашей сети?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 00:32 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
Demin Ivan писал(а):
Вы используете функционал IP-MAC-Port Binding в вашей сети?


Да, удалённо через snmp (добавление удаление связок).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 23:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Версия прошивки?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 23:34 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
Demin Ivan писал(а):
Версия прошивки?


Firmware Version : Build 5.01-B09


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 23:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В настройке IMP на порту попробуйте ввести forward_dhcp_packet disable.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 23:46 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
Demin Ivan писал(а):
В настройке IMP на порту попробуйте ввести forward_dhcp_packet disable.


Поставил,

config address_binding ip_mac ports 1-26 forward_dhcppkt disable

Не помогает, всё равно скачут дубли с 25-го порта.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 23:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Перезвоните пожалуйста завтра во второй половине дня в офис по телефону 744-00-99 доб.390.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 08, 2008 22:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Пока такое возможно только в режиме DHCP Snooping.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 08, 2008 22:52 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
Или как мы пришли ко мнению - фильтрация броадкаст дхцп запросов на центральном аггрегирующем свитче, в результате будут добегать исключительно dhcp-relay.

Надеемся, в недалёком будущем этот функционал будет дописан :-).

Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб фев 23, 2008 15:54 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
И теперь возник вопрос односительно топологии, когда к пример три подряд 3526 стоят.

Броадкаст то никак не пофильтруешь.

Можно ли как-то ускорить и выпустить прошивку с функционалом отключения форвардинга пакетов броадкастом, в случае активированной опции dhcp_relay?

Можно ли это сделать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс фев 24, 2008 18:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Это будет сделано. При включённом Relay Broadcast пакеты дальше устройства не пойдут. Пока точно по срокам сказать не могу. Но это будет сделано довольно быстро.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс фев 24, 2008 18:46 
Не в сети

Зарегистрирован: Вт окт 16, 2007 14:04
Сообщений: 106
Откуда: Kiev
Спасибо!

Дайте знать как только.
Будем премного благодарны :-)


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB