Есть клиент, на доступе к которого стоит DES-3028 FW: 2.60.B02
клиент включен в первый порт свича
Клиентом является маршрутизатор, настроенный в режиме PPPoE и постоянно просящий IP адрес по DHCP протоколу.
Всё хорошо, когда маршрутизатор настроен вот так:

disable address_binding dhcp_snoop
enable address_binding trap_log
config address_binding ip_mac ports 1-24 state enable loose allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 1-28 mode arp stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-28 limit 5
create address_binding ip_mac ipaddr 192.168.18.5 mac_address 90-E6-BA-A9-9D-C5 ports 1
disable dhcp_relay
disable dhcp_local_relay

Т.е. на свиче всё настроено статично, DHCP выключен, клиент не посылает IP пакетов, его МАК не блокируется и все рады.

Пытаемся запустить DHCP протокол, дабы такие клиенты хоть как-то, но получали IP адреса, хотя-бы какие-то.
Часть конфига DHCP сервера выглядит примерно вот так:



Для включения DHCP используем вот такой алгоритм:
conf ports 1 st dis - выключаем порт клиента, дабы он к нам обращался свеженький, без IP адресов.

ena dhcp_relay
config dhcp_relay hops 4 time 60
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System первыйDHCP
config dhcp_relay add ipif System второйDHCP

ena dhcp_local_relay
config dhcp_local_relay vlan vlanid 18 state enable
config dhcp_local_relay option_82 ports 1-24 policy replace
config dhcp_local_relay option_82 ports 25-28 policy drop

ena address_binding dhcp_snoop

Минут через 10 пробуем включить порт клиента:

conf ports 1 st en





DHCP запрос от клиента не дошёл до DHCP сервера, были проблемы на самом DHCP сервере.

Далее, тупо выключаем DHCP релей (address_binding dhcp_snoop и dhcp_local_relay остаются включёнными), чистим таблицу заблокированный мак-адресов, и вуаля - клиентский MAC-адрес теперь в состоянии dynamic, и не заблокирован.

Вопрос номер 1: почему при включенном DHCP-relay мак адрес практически сразу же блокируется?
Вопрос номер 2: почему при возникновении блокировки MAC-адреса абонента, свич в логи не пишет вообще ничего? Как можно понять причину блокировки?

Уточните, пожалуйста, клиент не может получить IP по DHCP именно уже после того как попал в Block лист?

Клиент попадает в блок-лист сразу-же после включения DHCP-relay
Факт попыток получения IP ещё не изучен в виду временной неадекватности DHCP серверов.

Пришлите, пожалуйста, полную конфигурацию коммутатора мне на почту для анализа.

Выслал

У Вас одновременно настроены два взаимоисключающих режима DHCP Relay и DHCP Local Relay. Если Вам нужен именно DHCP Relay, то DHCP Local Relay нужно отключить.

Выключил dhcp_local_relay
Включил dhcp_relay
Абонентский мак попал в блок
в логах пусто

где косяк?

Эта проблема только у одного указанного клиента или с другими клиентами поведение аналогичное?

проблему наблюдаем у любого клиента, имеющего маршрутизатор серии DIR моделей 300, 300 NRU, 615 в режиме PPPoE или Russian PPPoE с Dynamic Phisical Settings, т.е. на маршрутизаторах, которые просят IP адрес.

Клиент попадает в блок сразу-же после включения dhcp-relay, при этом dhcp-local-relay выключен, address_binding dhcp_snooping выключен.

Самое плохое в этом это то, что нет никаких логов по поводу блокировки MAC адресов, нам нечем диагностировать проблему. Либо выключаем DHCP-Relay, либо выключаем address-binding на порту абонента.

Провёл небольшие эксперименты:
на свиче сделал такую картину:

Command: show config current_config include "dhcp_"
config filter dhcp_server ports 1-28 state disable
config filter dhcp_server trap_log disable
config filter dhcp_server illegal_server_log_suppress_duration 5min
enable address_binding dhcp_snoop
enable dhcp_relay
config dhcp_relay hops 4 time 60
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System first_dhcp
config dhcp_relay add ipif System second_dhcp
disable dhcp_local_relay

На порту клиенты выключил address_binding, чтобы ему ничего не мешало.

На вышестоящем DGS-3627G добавил такое правило:
cre access ip sour 255.255.255.0 udp dst 0xffff prof 1
conf access prof 1 add access 1 ip sour 172.16.18.0 udp dst 67 port 22 perm count en

Дабы поймать пакеты от DHCP-Relay, в итоге вижу:


При включении одновременно DHCP-Relay, IP-MAC-Binding на порту клиента и address_binding dhcp_snoop, мак-адрес клиента всё так-же попадает в блок.

Получается, что DHCP-Relay на 3028 не работает?
Где я могу ещё поискать причины неадекватной работы IP-MAC-Binding и DHCP-Relay на свиче?

Да, странная картина. Попробуйте, пожалуйста, прошивку, которую я Вам выслал и сообщите по результатам.

Получил прошивку, прошил, перезагрузил, получил результат - тот-же.

Так-же, ради чистоты эксперимента на вышестоящем DGS сделал такие правила:
cre access ip udp dst 0xffff vlan prof 1
conf access prof 1 add access 1 ip udp dst 67 vlan 18 port 22 perm count en

cre access ip source 255.255.0.0 udp dst 0xffff prof 2
conf access prof 2 add access 1 ip source 172.16.0.0 udp dst 67 port 22 perm count en

Т.е. считать DHCP пакетики в клиентском влане, и от свичей.

Результат такой: при выключенном DHCP Relay на клиентском свиче, на DGS начинает расти счётчик первого профиля, второй пустой.
При включенном DHCP Relay счётчик первого профиля не растёт, второй так-же остаётся пустой. Т.е. DHCP Relay на 3028 всё-таки как-то работает, раз перехватывает DHCP пакеты клиентов, но походу убивает эти пакеты внутри себя.

Что ещё можно сделать?

По поводу, кстати, обновления прошивки на более новую и ошибки в конфиге при одновременно-включенном DHCP-Relay и DHCP-Local-Relay: на другом свиче, на прошивке 2.60.B02, при включенном: DHCP-Relay, DHCP-Local-Relay и address_binding dhcp_snoop, в роли клиента выступает win 2003, который прекрано получает IP адреса. Так-что по идее, всё вместе должно нормально работать.

Я проверю и сообщу Вам по результатам.
Относительно DCHP Relay и DHCP Local Relay - их использовать вместе неправильно, потому что они действуют на одни и те же пакетики, но при этом результат на выходе должен быть разным. Смысла это никакого не имеет и может приводить к некорректным ситуациям. Исключение составляет workaround для DES-3526 с глобальным включением DHCP Local Relay, то там он именно глобально включается, а по вланам не настраивается.

Буду ждать результатов.
Если что - у наших клиентов в основном DIR-300, DIR-300NRU и DIR-615, вот с ними проблемы и возникают.

Вам нужно сделать: Так как у Вас задержка стоит в 60 секунд.