faq обучение настройка
Текущее время: Ср июл 23, 2025 20:33

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 14 ] 
Автор Сообщение
СообщениеДобавлено: Пн дек 01, 2008 15:44 
Не в сети

Зарегистрирован: Пн окт 06, 2008 18:23
Сообщений: 10
Многие на этом форуме жаловались по поводу появления лишних dhcp-запросов на DES-3028, когда на нем включен dhcp_relay. Я постарался изучить это на стенде. HW 1A1G, прошивка 2.00-B14.

Приводим свич в исходное состояние:

Код:
DES-3028:4#reset config


Втыкаем в 1-й порт dhcp-клиента, во 2-й dhcp-сервер, проверяем, что все работает (по логам сервера):

Код:
root@server:/var/log# tail dhcpd.log
Nov 29 19:09:43 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via eth0
Nov 29 19:09:43 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via eth0
Nov 29 19:09:43 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via eth0
Nov 29 19:09:43 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via eth0


Включаем option 82 insertion:

Код:
DES-3028:4#config dhcp_local_relay vlan default state enable
DES-3028:4#enable dhcp_local_relay


Проверяем, что все работает нормально и свич добавляет option 82:

Код:
Nov 29 19:15:32 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 19:15:32 localhost dhcpd: circuit-id: 1
Nov 29 19:15:32 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via eth0
Nov 29 19:15:32 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via eth0
Nov 29 19:15:32 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 19:15:32 localhost dhcpd: circuit-id: 1
Nov 29 19:15:32 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via eth0
Nov 29 19:15:32 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via eth0


Создаем разрешающее правило (годится любое, под которое подпадают dhcp-запросы, которые в данном случае и так разрешены):

Код:
DES-3028:4#create access_profile ip udp dst_port_mask 0xFFFF profile_id 10
DES-3028:4#config access_profile profile_id 10 add access_id 1 ip udp dst_port 67 port 1 permit


Смотрим логи и видим чудеса: запросов к dhcp-серверу стало вдвое больше, половина из них с option 82, половина без:

Код:
Nov 29 19:30:29 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 19:30:29 localhost dhcpd: circuit-id: 1
Nov 29 19:30:29 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 19:30:29 localhost dhcpd: circuit-id: 1
Nov 29 19:30:29 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via eth0
Nov 29 19:30:29 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via eth0


Снова приводим свич в исходное состояние и создаем управляющий и пользовательский вланы, dhcp-клиент по-прежнему на 1-м порту, dhcp-сервер на 2-м:

Код:
DES-3028:4#reset config
DES-3028:4#create vlan management tag 501
DES-3028:4#create vlan users tag 502
DES-3028:4#config vlan management add tagged 2
DES-3028:4#config vlan users add tagged 2     
DES-3028:4#config vlan default delete 1         
DES-3028:4#config vlan users add untagged 1       
DES-3028:4#config ipif System ipaddress 10.90.90.90/24 vlan management


Проверяем, что dhcp-запросы проходят:

Код:
Nov 29 19:56:11 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via eth0.502
Nov 29 19:56:11 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via eth0.502
Nov 29 19:56:11 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via eth0.502
Nov 29 19:56:11 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via eth0.502


Включаем dhcp_relay с опцией 82:
Код:
DES-3028:4#enable dhcp_relay
DES-3028:4#config dhcp_relay add ipif System 10.90.90.1
DES-3028:4#config dhcp_relay option_82 check enable
DES-3028:4#config dhcp_relay option_82 state enable


Все работает корректно, dhcp-сервер получает уникастные запросы с опцией 82 по управляющему влану:

Код:
Nov 29 20:01:38 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 20:01:38 localhost dhcpd: circuit-id: 1
Nov 29 20:01:38 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via 10.90.90.90
Nov 29 20:01:38 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via 10.90.90.90
Nov 29 20:01:38 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 20:01:38 localhost dhcpd: circuit-id: 1
Nov 29 20:01:38 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via 10.90.90.90
Nov 29 20:01:38 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via 10.90.90.90


Добавляем разрешающее правило на клиентском порту, под которое подпадают dhcp-запросы, на этот раз другое:

Код:
DES-3028:4#create access_profile ethernet ethernet_type profile_id 10
DES-3028:4#config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x0800 port 1 permit


И снова видим чудеса: запросов стало вдвое больше, половина идет с опцией 82 уникастом по управляющему влану, половина идет броадкастом без опции 82 по пользовательскому влану:

Код:
Nov 29 20:07:24 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via eth0.502
Nov 29 20:07:24 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via eth0.502
Nov 29 20:07:24 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 20:07:24 localhost dhcpd: circuit-id: 1
Nov 29 20:07:24 localhost dhcpd: DHCPDISCOVER from 00:22:15:19:e4:91 via 10.90.90.90
Nov 29 20:07:24 localhost dhcpd: DHCPOFFER on 192.168.50.2 to 00:22:15:19:e4:91 via 10.90.90.90
Nov 29 20:07:24 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via eth0.502
Nov 29 20:07:24 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via eth0.502
Nov 29 20:07:24 localhost dhcpd: remote-id: 0:1e:58:af:92:21
Nov 29 20:07:24 localhost dhcpd: circuit-id: 1
Nov 29 20:07:24 localhost dhcpd: DHCPREQUEST for 192.168.50.2 (192.168.50.1) from 00:22:15:19:e4:91 via 10.90.90.90
Nov 29 20:07:24 localhost dhcpd: DHCPACK on 192.168.50.2 to 00:22:15:19:e4:91 via 10.90.90.90


Таким образом, dhcp_relay и dhcp_local_relay ведут себя одинаково. Все работает корректно до тех пор, пока не создано разрешающее правило в ACL, под которое подпадают dhcp-запросы. Если такое правило есть, то dhcp-запросы размножаются (видимо, один запрос идет тогда через ASIC, а второй генерируется центральным процессором). Это явный баг, а для dhcp-relay нарушение RFC-1542, раздела 4.

Жить с этим можно, хотя и не очень удобно. Нужно просто следить, чтобы в ACL не было ни разрешающих, ни запрещающих правил для dhcp-запросов. Лучше бы, конечно, поправить. Может быть в более новых прошивках это уже сделали?

Тогда пришлите, пожалуйста, прошивочку на berk at imt dot ru.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 01, 2008 22:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Зачем Вы добавляете разрешающее правило? В режиме DHCP Relay специально правилами автоматически отбрасываются DHCP Broadcast пакеты в клиентских VLAN-ах. Зачем Вы делаете обратное действие?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 01, 2008 23:29 
Не в сети

Зарегистрирован: Пн окт 06, 2008 18:23
Сообщений: 10
Demin Ivan:

Например, я хочу разрешить трафик с определенного IP-адреса с данного порта и запретить со всех остальных IP-адресов. На 3028, в отличие от 3526, после этого перестанет работать dhcp, потому что DHCPDISCOVER идет с адреса 0.0.0.0. Я тогда добавляю правило с более высоким приоритетом, разрешающее, например, UDP-пакеты на порт 67. И попадаю в описанную ситуацию.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 01, 2008 23:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 09, 2008 16:20 
Не в сети

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары
Проблема решена?
Собираемся закупать большую партиу 3028, но видимо есть смысл еще раз подумать и посчитать денюжку и разориться на 3526, но в меньшем кол-ве


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 09, 2008 17:18 
Не в сети

Зарегистрирован: Пн окт 06, 2008 18:23
Сообщений: 10
Кажется, я перестарался :(

Я рекомендовал своей фирме все равно закупать 3028. Подкупает то, что нет вентиляторов. Просто мы их не будем мешать с 3526 в одних сетях, поскольку те не умеют отфильтровывать чужие dhcp-броадкасты.

В тех случаях, когда этого не избежать (например, нужно быстро заменить свич), мы будем строит acl на 3028 таким образом, чтобы dhcp-запросы явно не разрешались. Например, если нужно запретить IP-трафик со всех адресов, кроме одного, запрещающее правило будет с source_ip_mask не 0.0.0.0, а 128.0.0.0 (все клиентские IP-адреса при этом находятся в верхней половине адресного пространства).

Я, правда, тоже сомневался. Проблемы с кулерами хуже тем, что случаются в самое неудобное время.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 10, 2008 16:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Это не проблема а особенность я бы сказал так. Но пакеты при правильной настройке блокируются.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 10, 2008 17:03 
Не в сети

Зарегистрирован: Пн окт 06, 2008 18:23
Сообщений: 10
Вы имеете в виду, dhcp-запросы, которые приходят от соседних свичей на 3526 с включенным dhcp_relay? У меня было впечатление, что на этом свиче dhcp-relay перехватывает пакеты до того, как отрабатывают acl. Или в последних прошивках это изменилось?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 10, 2008 17:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В DES-35XX DHCP Relay отрабатывает быстрее ACL.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 10, 2008 17:35 
Не в сети

Зарегистрирован: Пн окт 06, 2008 18:23
Сообщений: 10
Тогда какова правильная настройка для 3526, чтобы dhcp-запросы с портов, к которым подключены конечные пользователи, шли на dhcp-relay, и при этом фильтровались запросы, которые приходят через соседний свич?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 11, 2008 00:51 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Просто при включённом DHCP Relay включить глобально, но не настраивать по VLAN-ам! DHCP Local Relay.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 17, 2009 15:03 
Не в сети

Зарегистрирован: Ср фев 14, 2007 12:46
Сообщений: 41
прошивка 6.00.B07

включаю релей (без option 82),
включаю локал релей, не конфигурируя виланы
создаются запрещающие правила с профайлом 1

на DHCP сервер приходят запросы с маком пользователя от ВСЕХ свитчей с релеем в данной подсети. так и должно быть ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 17, 2009 16:09 
Не в сети

Зарегистрирован: Ср фев 14, 2007 12:46
Сообщений: 41
спустя какое-то время стало ясно что в данный момент релей и привязки в одной подсети одновременно работать нормально не могут.

как только порт активируется в IPMB - создаются какие-то правила обрабатывающиеся до АЦЛ, которые в случае если Forward DHCP Packet влючить - в лбом случае будут пропускать DHCP запросы-ответы, не смотря на любые правила ACL. в виду чего до сервера придут релеи от всех свитчей в данной подсети.

если же Forward DHCP Packet выключить - пакет уходит на сервер, сервер ответ посылает, но свитч отчет блокирует и никуда не релеет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 17, 2009 18:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Опишите пожалуйста проблему подробно по почте со схемой с указанием портов подключения и конфигом.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 14 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB