Здравствуйте, уже во второй раз происходит такая ситуация: перестаёт проходить через коммутатор ответ от локального днс-сервера.
В первый раз порядка двух недель назад не обратил на это достаточного внимания, но сегодня инцидент повторился.
Из-за чего перестали проходить днс ответы от сервера я так и не смог понять. tcpdump'ом на самом сервере видел запросы от абонентских машин, видел ответ днс-сервера, но nslookup на абонентской стороне всё время показывал таймауты. Хотя например пинги до днс сервера с абонентских машин проходили отлично.

Пробовал перезапустить днс-сервер, опустить/поднять этот интерфейс - ответы всё равно не проходят. После перезапуска коммутатора всё становится нормально.
Странно, что например с соседних серверов днс опрашивался без проблем. Впрочем как и с некоторых абонентских компьютеров (как минимум нашёлся 1 абонент у которого днс работал нормально).
Последний случай был после того, как происходило отключение электричества (возможно и 1му случаю предшествовало отключение).
Быть может коммутатор загрузился раньше днс-сервера и из-за его недоступности стал блокировать траф?

На коммутаторе настроен один влан и 6 интерфейсов. Функции DHCP relay и DNS relay выключены.
На ACL фильтруется только 67 порт.
Firmware Version Build 4.05.B09

Кто-нибудь сталкивался с такой проблемой и как её решать? очень неприятно, когда у абонентов из-за недоступности DNS становится по сути недоступна вся сеть.

Попробуйте прошивку которую я Вам выслал. Если есть возможность слейте с устройства конфиг, перепрошейте, сбросьте устройство к умолчальным настройкам и залейте конфиг заново.

В настоящий момент не имею возможности обновиться. Как только обновлюсь, отпишусь о проблемах, если таковые будут иметь место.

ОК. Ждём результатов!

Прошивку так и не обновили, но похоже ситуацию изначально представляли не верно. Отпишусь чего выяснили.

Оказывается на одном из портов DES-3828 есть косячная мыльница, которая периодически создаёт нечто вроде петли. И, видимо, благодаря этой мыльнице свич переписывает в "IP Address Table" для ипа днс-сервера порт, на котором петля. Соответственно и после перезагрузки коммутаторе всё начинало работать ибо арп-таблица очищалась.

Сейчас, чтобы исправить ситуацию не приходится перезагружать коммутатор, достаточно сбросить арп-таблицу. Это хорошо.
Плохо то, что не получается этого избежать.

Отсюда вопрос: каким образом можно привязать этот ип/мак на порт и избежать подобных проблем с петлями?
Поможет ли в этом функция ip/port/mac binding?

Вариант "не допускать появления петель" не предлагать, ибо в сети много неуправляемого оборудования и петли появляются то там, то там.

Попробуйте включить STP, потом включит STP LBD на портах с мыльницами

Можно пояснить чем это поможет арп-таблице?

STP включил... Кстати в прошивке 4.05.B09 не могу найти STP LBD. На третьей ветке помню было... может плохо ищу?

На 4-й LBD отдельная опция, не завязанная на STP (кстати, работает хорошо)

будет автоматом отключать косячную мыльницу без засирания арп-таблицы. Правда, у тех кто на мыльнице сидит - будет все пропадать.

Про это я знаю и на большинстве портов Loopback detection включен. Но есть несколько портов, на которых включить LBD я временно не могу. Есть ли другие варианты избежать изменения арп-таблицы для серверов?

Если посадить сервера в отдельный влан, быть может это не позволит коммутатору перебивать мак в арп на порт, который не находится в этом влане?

Попробуйте это сделать.