Есть свичи 3200-26

Включен DHCP Snooping

и также DHCP Relay


Есть клиент у которого комп с ВинХР и ноут с Вин7. Подключен ноут, работает. Потом он подключает комп и тоже работает. Потом он снова подключает ноут и он не работает (пишет в лог Unauthenticated IP-MAC address and discarded by ip mac port binding).

Что происходит: когда отключается комп, то остается висеть неактивная запись в списке show address_binding dhcp_snoop binding_entry.
Когда подключается ноут повторно - он сраз посылает DHCP Request с предыдущим адресом, который ему тут же и выдается (привязка по порту). В этот момент на свиче включается привязка address_binding dhcp_snoop, в которой продолжает фигурировать старый мак-старыйIP, поэтому новый мак на том же IP лочится и нифига не работает. Если удалить запись address_binding dhcp_snoop - то таже картина - тоже лочит (в логе пишет Unauthenticated IP-MAC и попадает в show address_binding blocked all) и новая запись привязки не создается.

Проверил по ходу: При перезагрузке свича такая же лажа - ноут сразу шлёт DHCP Request, получает адрес, но лочится. Получается что у клиента с Вин7 даже если один комп и всё работает, то при перезагрузке свича он лочится. При освобождении адреса ipconfig /release и повторной полной процедуре получения начиная с DHCP Discover - всё работает. Но это не дело, каждому не объяснишь что мол так и так - нужно вот эти команды набирать.

Как быть ?

в конфиге дхцп сервака выставить параметр release-on-shutdown, шобы комп релизил выданный ип при выключении

У меня кстате в таком случае старый мак перезаписывается на новый

Так не комп выключается, а свич например ребутится. или просто перетыкаешь то один, то другой комп. А старый мак на новый перепишется при полной процедуре получения адреса DISCOVER---OFFER---REQUEST---ACK. А тут только REQUEST---ACK, потому и ловим такую проблему.

Здесь важно понять, как он посылает - бродкастом (rebinding) или юникастом (renewing). Можете послушать трафик?

Не совсем пойму в чем тут важность. Все равно этот DHCP Request перехватывает свич и шлёт пакет от себя, DHCP Relay включен ведь.

Потому что полная процедура получения адреса (которая начинается с DHCPDISCOVER) автоматически подразумевает использование broadcast и Вы пишите, что такой вариант получения IP-адреса решает проблему. Вот и хочется выяснить, как клиент шлет DHCPREQUEST - тоже broadcast-ом или все-таки использует unicast.

У меня на таком же коммутаторе на прошивке 1.80.B007 ВНЕ ЗАВИСИМОСТИ от того броадкаст это или юникаст, пакеты dhcp типа discover, request, inform перехватываются отправляются от IP релея

Апну. Может техподдержка уже подключится ? или DHCP Snooping никогда корректно работать не будет ?

Проверил на 3028 Firmware: Build 2.91.B03 DHCP Snooping + DHCP Relay Opt82. Беру 2 ноута . Таблица IMPB пуста (по команде show address_binding dhcp_snoop binding_entry). Включаю первый, проходит процедура DHCP: Discover-Offer-Request-Ack, получаю адрес, вижу запись IMPB, всё работает. Включаю второй, таже процедура Discover-Offer-Request-Ack, тоже всё работает, вижу измененную запись IMPB с тем же IP (привязка по порту) и новым MAC. Вытаскиваю шнур, запись IMPB остается, но со статусом Inactive. Включаю снова первый, идёт уже процедура Request-Ack, получаю адрес, но не работает, т.к. запись IMPB активируется, но со старым MAC (почему бы это так ???), оттого мак в блок лист и запись в лог. Чищу запись IMPB, делаю disable/enable порт на свиче, идёт Request-Ack, получаю адрес, вижу новую запись IMPB - всё работает.
На 3200-28 после чистки записи и дерганья порта (и после ребута свича) новая запись IMPB вообще не создается при Request-Ack.

Проверил еще раз на прошивках 1.80.B009, 1.80.B010 - после ребута или удаления записей dhcp_snooping и рестарта порта - новая запись все-таки создается и всё работает. а вот при замене компа если он сразу шлёт DHCP Reqest и получается адрес - активируется старая привязка и новый мак лочит.

Связка создаётся только при посылке широковещательного discover, но никак не при request.

Может логичнее создавать ее при ACK? Discover сам по себе ни о чем не говорит, сервер ведь может и отказать...

_________________
D-Link Switches: Tips & Tricks

Я провожу испытание и ловлю пакеты (ловил как на сервере, так и на клиентском компьютере). при Request-Ack (когда клиент запрашивает уже ранее выдававшийся ему адрес) все-таки создается новая связка если её нет совсем (а вы утверждаете что создается только при discover) или активируется старая, если она всё еще осталась и висит с неактивным статусом - в этом случае второй комп как раз и не работает и такое поведение как раз и смущает. Это поправимо ? Можно ведь при реактивации связки проверять МАК и менять при необходимости.

Еще раз очень краткое описание ситуации - выдаю адрес по порту через DHCP Relay Opt82 с привязкой DHCP Snooping на 1 час. Если в течение этого часа менять на порту подключаемые компьютеры (проверялись WinXP и Win7), то один из компьютеров перестает работать (мак попадает в список BlockedByAddrBinding). Можете сами собрать стенд и проверить.

Может в этом случае отвести для каждого порта пул из нескольких адресов?

Очень нерациональное решение. Opt82 для того и нужен чтобы выдавать конкретный адрес. Выдается реальный статический адрес, коих и так сейчас дефицит. Может в этом случае поправить прошивку чтобы привязку восстанавливала с новым маком или удалять привязку если порт в даун уходит ?