1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 16:51

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
GreatFoolDad
СообщениеДобавлено: Пт июн 12, 2009 08:40 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Всем доброго дня!
Имеется схема:

----------(1) DGS-3627 (3-24) - (25-26)DES-3526/3028 в кольцах

Адресация у 3627-го - 10.25.x.x/16.
Адресация у 3526/3028-х - 10.15.2.x/24

В акксесные свичи (3526/3028-е) включены клиенты с 82-й опцией DHCP. Адреса получают нормально, но весь лог 3627-го исписал записями:
Код:
81822 2009-06-12 07:52:50 Detected untrusted DHCP server (IP: 10.15.2.6, Port: 11)
81821 2009-06-12 07:52:50 Detected untrusted DHCP server (IP: 10.15.2.32, Port: 8)
81820 2009-06-12 07:52:50 Detected untrusted DHCP server (IP: 10.15.2.35, Port: 10)
81819 2009-06-12 07:52:50 Detected untrusted DHCP server (IP: 10.15.2.17, Port:  18)
81818 2009-06-12 07:52:50 Detected untrusted DHCP server (IP: 10.15.2.25, Port:  4)
81817 2009-06-12 07:52:50 Detected untrusted DHCP server (IP: 10.15.2.22, Port:  17)
81816 2009-06-12 07:52:49 Detected untrusted DHCP server (IP: 10.15.2.12, Port:  16)
81815 2009-06-12 07:52:49 Detected untrusted DHCP server (IP: 10.15.2.33, Port:  9)
81814 2009-06-12 07:52:49 Detected untrusted DHCP server (IP: 10.15.2.27, Port:  5)
81813 2009-06-12 07:52:49 Detected untrusted DHCP server (IP: 10.15.2.30, Port: 7)
81812 2009-06-12 07:52:49 Detected untrusted DHCP server (IP: 10.15.2.8, Port: 14)
81811 2009-06-12 07:52:49 Detected untrusted DHCP server (IP: 10.15.2.11, Port: 13)
81810 2009-06-12 07:52:48 Detected untrusted DHCP server (IP: 10.15.2.29, Port: 6)
81809 2009-06-12 07:52:48 Detected untrusted DHCP server (IP: 10.15.2.36, Port: 10)
81808 2009-06-12 07:52:48 Detected untrusted DHCP server (IP: 10.15.2.26, Port: 4)
81807 2009-06-12 06:54:08 Detected untrusted DHCP server (IP: 10.15.2.27, Port:  5)
81806 2009-06-12 04:57:58 Detected untrusted DHCP server (IP: 10.15.2.27, Port:  5)
81805 2009-06-12 03:42:51 Detected untrusted DHCP server (IP: 10.15.2.27, Port:  5)
81804 2009-06-12 03:02:14 Detected untrusted DHCP server (IP: 10.15.2.26, Port:  4)
81803 2009-06-12 03:02:09 Detected untrusted DHCP server (IP: 10.15.2.17, Port:  18)
81802 2009-06-12 03:02:09 Detected untrusted DHCP server (IP: 10.15.2.35, Port:  10)
81801 2009-06-12 03:02:09 Detected untrusted DHCP server (IP: 10.15.2.25, Port:  4)
.......

Как я написал, с кольцах есть и 3526-е, и 3028. Но ругачки про "untrusted DHCP server" пишутся только про 3526-е. Причем часть портов, на которых якобы есть этот самый "untrusted DHCP server", вообще выключены (по логам тех же свичей в этом лично убедился).
Остальные включены в принципе, но у большинства линк в дауне. И наименьшая часть - это реально работавшие на тот момент клиенты.
Меня смущает группировка по времени для этих событий - как то они подозрительно одновременно появляются (может атакует кто?). Т.е. конечно существуют и единичные записи, но такими пачками тоже частенько бывают.
Прошивки:
DGS-3627G - 2.40.B77
DES-3526 - 6.00.B12 или 6.00.B14

Настройки на всех 3526-х одинаковы:


Код:
.......
# IPBIND
config address_binding ip_mac ports 3,10 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
config address_binding ip_mac ports 1-24 forward_dhcppkt disable
disable address_binding acl_mode
enable address_binding trap_log
enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-26 limit 5
config address_binding ip_mac ports 1-24 stop_learning_threshlod 5
.......
# DHCP_RELAY

enable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id user_define "10.15.2.12"
config dhcp_relay option_60 state disable
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 state disable
config dhcp_relay option_61 default drop
config dhcp_relay add ipif System 10.160.0.5

# DHCP_LOCAL_RELAY

enable dhcp_local_relay

И еще одну странность я заметил - многие из этих злостных в плане начилия на них ДХЦП-сервера выключенных портов - все не проверил, т.к. много - не принадлежат ни к какому вилану, типа этого:
Код:
10.15.2.8:admin#sh vlan por 14
Command: show vlan ports 14


Port 14
VLANID    Untaged    Tagged    Forbidden    Dynamic    Radius Assigned
------    -------    ------    ---------    -------    ---------------

10.15.2.8:admin#

Хотя другая часть вполне конкретно принадлежит к клиентским виланам.
Ни про один 3028-й в таком контексте записей нет, хотя их в кольцах как минимум треть.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 12, 2009 19:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Покажите настройки DGS-36XX в этом плане.
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 15, 2009 11:18 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Вот они - настройки.
Код:
...................
# ADDRBIND
config address_binding dhcp_snoop max_entry ports 1 limit no_limit
config address_binding dhcp_snoop max_entry ports 2 limit no_limit
config address_binding dhcp_snoop max_entry ports 3 limit no_limit
config address_binding dhcp_snoop max_entry ports 4 limit no_limit
config address_binding dhcp_snoop max_entry ports 5 limit no_limit
config address_binding dhcp_snoop max_entry ports 6 limit no_limit
config address_binding dhcp_snoop max_entry ports 7 limit no_limit
config address_binding dhcp_snoop max_entry ports 8 limit no_limit
config address_binding dhcp_snoop max_entry ports 9 limit no_limit
config address_binding dhcp_snoop max_entry ports 10 limit no_limit
config address_binding dhcp_snoop max_entry ports 11 limit no_limit
config address_binding dhcp_snoop max_entry ports 12 limit no_limit
config address_binding dhcp_snoop max_entry ports 13 limit no_limit
config address_binding dhcp_snoop max_entry ports 14 limit no_limit
config address_binding dhcp_snoop max_entry ports 15 limit no_limit
config address_binding dhcp_snoop max_entry ports 16 limit no_limit
config address_binding dhcp_snoop max_entry ports 17 limit no_limit
config address_binding dhcp_snoop max_entry ports 18 limit no_limit
config address_binding dhcp_snoop max_entry ports 19 limit no_limit
config address_binding dhcp_snoop max_entry ports 20 limit no_limit
config address_binding dhcp_snoop max_entry ports 21 limit no_limit
config address_binding dhcp_snoop max_entry ports 22 limit no_limit
config address_binding dhcp_snoop max_entry ports 23 limit no_limit
config address_binding dhcp_snoop max_entry ports 24 limit no_limit
config address_binding dhcp_snoop max_entry ports 25 limit no_limit
config address_binding dhcp_snoop max_entry ports 26 limit no_limit
config address_binding dhcp_snoop max_entry ports 27 limit no_limit
config address_binding ip_mac ports 1-27 forward_dhcppkt enable
disable address_binding dhcp_snoop

disable address_binding trap_log

# DhcpServerScreening

config filter dhcp_server port all state disable
config filter dhcp_server port 2-27 state enable
config filter dhcp_server illegal_server_log_suppress_duration 5min
config filter dhcp_server trap_log enable

# MAC_ADDRESS_TABLE_NOTIFICATION
................
................
# DHCP_RELAY

disable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep

# DHCP_SERVER

config dhcp ping_packets 2
config dhcp ping_timeout 500
disable dhcp_server

# VRRP
.....................

1-й порт смотрит на ядро сети, 2-й - запасной для 1-го.
в остальные порты включены кольца из аксессных свичей.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 15, 2009 23:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Он Вам сообщает что за определёнными портам клиенты пытаются создать свой DHCP сервер. Указанный адреса это всё-таки адреса клиентво или свитчей? Вообще-то эту функцию лучше включать на access. Выключите либо саму функцию config filter dhcp_server port 2-27 state disable, либо её логирование config filter dhcp_server trap_log disable если достаёт в логах. И попробуйте прошивку которую я Вам выслал.
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 16, 2009 07:24 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Я конечно понял, что это некто пытается, или 3627-й думает, что некто пытается... Но что думать, если в порт железяки, на который он ругается, не включено ничего? Т.е. порт выключен (причем давно, либо вообще никогда не включался), по физике туда ничего не воткнуто, естессно, трафика оттуда не идет. Я, конечно, попробую эту прошивку........ Но мне почему-то кажется, что дело в 3526-х. Ведь на 3028-е он не ругается. Т.е. либо у меня что-то не то с настройками (что более вероятно, очень меня смущает, к примеру, вот это:
Код:
enable dhcp_local_relay
), либо в прошивках 6.00.B12 или 6.00.B14 присутствует косяк.

10.15.2.* - это аксессные свичи, куда включены клиенты.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс июн 21, 2009 23:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Эта настройка как раз корректная в вашем случае. Ждём результатов в новой прошивкой. Я Вам ещё раз самую последнюю потворил.
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 22, 2009 08:29 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Прошивку еще раз получил - на этой неделе испытаем.
Просто я настороженно отношусь к 2.50-й серии - как-то народ сильно ругался на нее. Типа, telnet вделали, а все прочее поломали.
Иван, как у прошивки с косяками? У меня сейчас нет "игрушечных" 3627-х - придется заливать на работающий - "как бы чего не вышло"....

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 23, 2009 01:20 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я Вам выслал R2.51. В ней уже проблем не наблюдается в том числе и в L3.
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 23, 2009 06:47 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Понял. На этой неделе испытаем.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 09:22 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Продолжу тему.
Прошивка 2.52.B11
Полет нормальный, в плане Detected untrusted DHCP server ничего не поменялось. Т.е. лог по-прежнему забит аналогичными записями.
А, нет, изменения есть.
Если раньше в логе фигурировали только 35-е (на которых те самые порты на момент ругачки как минимум в дауне по физике, а то и вообще отключены) (прошивка 6.00.12), то теперь добавились 3028 с прошивкой 2.31.B02. Но в случае 3028-хх хотя бы порт, на котором якобы находится гадский левый ДХЦП, в апе.
Вот, собственно, такое положение.
Можно, конечно, вырубить эту [дурацкую] функцию.....
Но может быть имеется другое решение?

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 11:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
А 2.52-B44 пробовали?
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 12:15 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
попробуем.
не скажу, что прямо сегодня, но попробуем.
хуже нет перешивать работающий коммутатор.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 49

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB