Выслал Вам на почту исправление.

Добрый день.
Понадобилось раздавать адреса в одном из vlan (vlanid 81) на DES-3526.




Проверяем - клиенты из vlanid 81 получают адреса. Но оказывается, что клиенты из vlanid 102 который проходит через этот коммутатор уже не получают адреса.
Никакого другого функционала кроме vlan'ов на коммутаторе нет. ACL нет.
Хотелось бы эту ситуацию скорейшим образом разрешить.

То есть 102 влан не нужно релеить самим коммутатором? Если да, то нужно создать разрешающий ACL, более приоритетный, чем тот, что создается функционалом DHCP Relay (c меньшим profile_id).

Нужно что бы коммутатор релеил только vlanid 81.
Если я правильно понял то: создаваемые ACL, при включении dhcp relay, блокируют все запросы на 67 порт в UDP транспорте проктокола IP. Но так как проблема, пока что, только с vlanid 102, то простейшее решение разрешить все в этом vlan: Работает как и ожидалось.

Здесь порты 17 и 26 транковые или клиентские? access_profile ethernet vlan работает только на транковых портах, разве не так? А в последней прошивке транковые порты как я понял можно не трогать. Как правильно настроить тогда клиентские порты, на которых стоят untagged-вланы без dhcp-relay?

Такие ACL нужно как раз на клиентских портах писать.

Прописал эти ACL только на клиентских портах с нестандартными вланами, а на транковых и транзитных портах (в том числе на промежуточных коммутаторах) ничего не делал. В результате DHCP-запросы в этих нестандартных вланах перестают проходить.

Если же прописать ACL на транковых и транзитных портах, запросы проходят, то начинается другая беда - DHCP-запросы из обычных вланов (которые требуется релеить) начинают размножаться на транзитных свитчах.

ACL прописывал в таком виде:
create access_profile ip udp dst_port_mask 0x67 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip udp dst_port 67 port XX permit

Т.к. вланов для юрлиц на транзитных коммутаторах бывает много, по отдельности для каждого создать правило, разрешающее VlanXXX на транзитном порту может и не представиться возможным.

Что нужно сделать, чтобы все работало как надо, не создавая acl на транзитных портах?

У Вас маска неправильная, нужно примерно так:
P.S. Укажите, пожалуйста, версию прошивки.

С маской все ок, это я просто скопировал из предыдущей страницы для примера, там оказалась неправильная - не заметил при вставке.

6.20.B08

Если у Вас на транзите также стоят DES-3526, то и на них нужно прописать аналогичное правило, естественно учтите, что ACL действуют только на входящий в порт трафик, поэтому и ACL нужно прописывать именно на том порту, на который DHCP запрос приходит с даунлинка.

А что за ACL создает DHCP_Relay и как их посмотреть? Или это не на всех моделях?

_________________
D-Link Switches: Tips & Tricks

Это на DES-3526 и DES-3550, посмотреть можно через "sh access_profile"

Денис, а в какой версии прошивки есть данное исправление? У нас проблема аналогичная - 3526 транзитят дхцп-запросы из цепочки, а 3550 - нет.

В прошивке 6.20.B08 для DES-3550.