Nie działa DHCP w różnych VLANach

Problemy związane ze switchingiem
Wiadomość
Autor
secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

Nie działa DHCP w różnych VLANach

#1

#1 Post autor: secretservice »

Witam serdecznie,

mam sobie taką oto w przybliżeniu topologię sieci.

http://screenpresso.com/=UKxZe

Umieściłem tylko najważniejsze szczegóły, które wg mnie mogą mieć znaczenie przy tym problemie.

1. Serwer DHCP jest w VLANie 1 (domyślnym) podpięty do switcha SW1 i ma skonfigurowane zakresy adresów odpowiednie dla każdego z VLANów działających na switchu L3 oraz dla VLANa domyślnego, który działa na switchach SW1 i CR1.
2. Na switchu L3 skonfigurowane są adresy dla VLANów i działa ip routing - wszystkie urządzenia w różnych VLANach pingują się. DHCP działa bez problemu w VLANie 1 przydzielając adresy, natomiast nie działa przydzielanie adresów np. dla VLANu 300 (patrz obrazek).
3. Dla każdego z VLANów na L3 jest skonfigurowany ip helper address wskazujący na serwer DHCP (WinSrv2008).
4. Komputer oznaczony jako PC generuje zapytania DHCP Discover - sprawdzone Wiresharkiem na monitor porcie switcha L3, ale nie są one chyba dalej przekazywane. Dodatkowo po włączeniu debugu dhcp na switchu L3 i jego przekierowaniu na konsolę nie pojawiają się żadne komunikaty.

Poradźcie mi proszę co jest nie tak, bo ręcę mi opadają...
Czy może porty między switchami powinny być jako trunk (w terminologii Cisco, bo mam HP i u mnie to się nazywa inaczej)?
Chociaż skoro pingi działają to chyba nie powinno mieć to znaczenia...

horac

#2

#2 Post autor: horac »

Wszystkie switche maja VLAN 300 ?

I tak zdecydowanie powinienes miec trunk miedzy wszystkimi switchami

secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

#3

#3 Post autor: secretservice »

VLAN300 jest ustawiony tylko na switchu L3, ponieważ dostałem za zadanie zintegrować go i UTM widoczny po prawej stronie na rysunku z istniejąca infrastrukturą, która do tej pory była po prostu jedną dużą siecią LAN bez podziału na VLANy.

Czyli powinienem utworzyć ten VLAN na wszystkich switchach? I czy wystarczy samo utworzenie czy muszę też tym VLANom przypisać adresy IP na tych pozostałych switchach?

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#4

#4 Post autor: dawid.mitura »

Tak, na kazdym switchu, na ktorym bedzie host z VLAN 300, musisz miec ten VLAN.
W interfejsach polaczeniiowych switch-switch musisz dodac go do trunku (switchport trunk allowed vlan add XXX), chyba ze puszczasz wszytskie mozliwe VLANy w tych trunkach. Zweryfikujesz to komenda np.
sh interfaces trunk

secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

#5

#5 Post autor: secretservice »

Ale na tych switchach oznaczonych na rysunku jako SW1 i CR1 nie będę mieć hostów z tego VLANU. Przynajmniej na razie nie jest to w planach, switche te są potrzebne, aby płynnie zrobić przejście z obecnej infrastruktury do nowej opartej już o VLANy i routing na switchu L3.

Czyli w takiej sytuacji jedyną możliwą przyczyną niedziałającego dhcp helpera jest konfiguracja połączenia między switchami w trybie access?

mmoryto
wannabe
wannabe
Posty: 194
Rejestracja: 18 lut 2011, 12:28
Lokalizacja: Kanada

#6

#6 Post autor: mmoryto »

Patrzyłeś czy masz coś w logach na serwerze DHCP?

Jeżeli w VLAN'ie 300 masz ustawiony helper, to src IP pakietu DHCP Discover to adres L3 VLAN'u 300 swtch'a L3. Serwer wie jak dostać się do VLAN'u 300?

secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

#7

#7 Post autor: secretservice »

Sytuacja jest o tyle dziwna, że:
- z poziomu switcha L3 mogę spingować serwer DHCP
- z poziomu serwera DHCP mogę spingować adresu IP VLAN 300 na switchu L3
- z poziomu serwera DHCP mogę spingować adres VLAN 1 na switchu L3
- jak ustawię statyczne IP z puli VLANu300 na PC to wtedy mogę spingować z niego serwer DHCP i vice versa
- jak podepnę PC zamiast do VLANu 300 to do VLANu 1 na switchu L3 to wtedy PC dostaje adres IP z DHCP bez problemu

W logach DHCP nic nie ma co dotyczyłoby mojego PC pokazanego na rysunku.
Po prostu DHCP nie działa i PC dostaje adres APIPA.

Tak jakby nie wiem coś blokowało port albo cholera wie co...

Jeszcze co jest warte wspomnienia, a na śmierć zapomnialem o tym sam to, że na switchach SW1 i CR1 działa dhcp-snooping.

Jako trusted porty są oznaczone:
- port, na którym działa serwer DHCP
- połączenia między switchami (są to agregowane łącza po LACP)
- teraz dodałem jako trusted port łączący switcha CR1 do switcha L3, ale nie dało to efektu, nadal PC nie dostaje adresu

Dalsze kroki jakie podjąłem to:
- wyłącznie dla testów DHCP snoopingu
- zmiana połączenia między switchami na trunk, którym przechodzą zarówno VLAN300, jak i VLAN1

Nadal bez skutku

secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

#8

#8 Post autor: secretservice »

Z running-config:

vlan 300
name "Office"
untagged C1-C20 (to są porty w trybie ACCESS w terminologii CISCO)
tagged E3 (to jest port trunk w terminologii CISCO)
ip address X.X.X.X 255.255.255.0
ip helper-address Y.Y.Y.Y
exit

Chyba nic więcej nie jest wymagane z tego co się orientuję.

Jeszcze próbowałem globalnie na switchu zmieniać ustawianie dhcp-relay, ale zarówno przy włączonym jak i wyłączonym nie działa.

Jeszcze takie dane mam:
show dhcp-relay
DHCP Relay Agent : Enabled
DHCP Request Hop Count Increment : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : replace
Remote ID : mac

DHCP Relay Statistics:

Client Requests Server Responses

Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
35 0 0 0

DHCP Relay Option 82 Statistics:

Client Requests Server Responses

Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
0 0 0 0

Może tu powinienem coś zmienić?

secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

#9

#9 Post autor: secretservice »

Odpaliłem debug dhcp i dhcp-snoopingu na switchu CR1 i sytuacja wygląda tak:

DSNP DHCP DISCOVER: port 29, vid 300, from 000FB0-9C10AD requested:
169.254.209.199, allow: broadcast on trusted input port to trusted output
ports.

Port 29 to jest port na CR1, który jest uplinkiem do drugiego switcha. Więc widać, że pakiet dociera na switch, do którego jest podłączony serwer DHCP, ale co się z nim dalej dzieje to już mój mózg nie jest w stanie pojąć...

Z kolei na L3 dałem debug all i mam:
0002:00:27:02.46 IP mIpPktRecv:s=0.0.0.0(vl300) d=255.255.255.255 DHCP relay

EDIT

Teraz już definitywnie dotarłem do miejsca, gdzie widać, że problem powoduje DHCP snooping.
Ale dlaczego to już nie mam pojęcia...
Wyłączenie DHCP snoopingu sprawia, że urządzenia prawidłowo pobierają adresy IP.

Konfiguracja DHCP snoopingu na CR1:
DHCP Snooping Information
DHCP Snooping : Yes
Enabled Vlans : 1 300
Verify MAC : Yes
Option 82 untrusted policy : drop
Option 82 Insertion : No


Na L3 dhcp-snooping nie jest póki co włączony.


Więc tutaj parę pytań do kolegów specjalistów:

1. Czy jak mam DHCP snooping w sieci włączony to musi być on włączony na wszystkich urządzeniach na ścieżce do serwera DHCP?
2. Jaki wpływ na działanie DHCP-snoopingu mają opcję Verify MAC oraz 82 insertion (wyczytałem w sieci, że przy DHCP z Windows Servera tą drugą trzeba wyłączyć)?
3. Czy jezeli mam połączenie między switchami A i B, na switchu A jest DHCP, to obie strony linka oznaczam jako trusted czy tylko po stronie przeciwnej niż jest DHCP?
4. Czy błędne oznaczenie portów jako trusted może powodować jakąś petlę albo coś w tym rodzaju?

Będę bardzo wdzięczny za wszelką pomoc, bo chciałbym żeby DHCP snooping także działał (przy jednym VLANie nie było problemów).

dante999
wannabe
wannabe
Posty: 54
Rejestracja: 26 mar 2015, 14:12

#10

#10 Post autor: dante999 »

Trochę od końca:

4.
dhcp-snooping trust na porcie oznacza że pakiety DHCP z tego interfejsu będą akceptowane i mogą być przesłane dalej na dowolny port. Taką opcję ustawiasz na porcie gdzie jest podłączony serwer DHCP oraz na dalszych przełącznikach na porcie trunkowym (na tym przełączniku gdzie jest serwer ustawiasz tylko dany port, nie trzeba uplinku).

3.
Błędne oznaczenia dhcp-snooping trust nie powodują pętli ale zła konfiguracja powoduje że nie przechodzą pakiety DHCP.

2.
Verify MAC z głowy nie wiem. Za to z doświadczenia wiem żeby wyłączyć monitoring opcji 82 przy DHCP na serwerach MS.

1.
Nie musisz mieć dhcp-snooping odpalonego na każdym przełączniku. Możesz mieć na jednym który nie jest bezpośrednio podłączony do serwera DHCP - istotne jest tylko odpowiednie oznaczenie portów dhcp-snooping trust.

borekbp
wannabe
wannabe
Posty: 234
Rejestracja: 29 sie 2005, 23:31

#11

#11 Post autor: borekbp »

Czy odpalałeś Wireshark'a na serwerze DHCP aby sprawdzić czy wpada dhcp-request?

Zweryfikuj scope'a na serwerze dhcp dla vlan'u 300, np. czy maska zgadza się z tą na interfejsie na SW_L3

Porównaj ustawienia scope'ów na serwerze dhcp dla vlan'u 300 i vlan 1 (np. opcje dhcp/bootp).

masz możliwość wyświetlenia statystyk dropowanych pakietów dhcp na danych interfejsach przez usługę dhcp snooping?

czy wyłączenie dhcp snooping dla vlan 300 na przełącznikach coś zmienia?

secretservice
fresh
fresh
Posty: 8
Rejestracja: 19 paź 2013, 20:07

#12

#12 Post autor: secretservice »

dante999 pisze:Trochę od końca:

4.
dhcp-snooping trust na porcie oznacza że pakiety DHCP z tego interfejsu będą akceptowane i mogą być przesłane dalej na dowolny port. Taką opcję ustawiasz na porcie gdzie jest podłączony serwer DHCP oraz na dalszych przełącznikach na porcie trunkowym (na tym przełączniku gdzie jest serwer ustawiasz tylko dany port, nie trzeba uplinku).

3.
Błędne oznaczenia dhcp-snooping trust nie powodują pętli ale zła konfiguracja powoduje że nie przechodzą pakiety DHCP.

2.
Verify MAC z głowy nie wiem. Za to z doświadczenia wiem żeby wyłączyć monitoring opcji 82 przy DHCP na serwerach MS.

1.
Nie musisz mieć dhcp-snooping odpalonego na każdym przełączniku. Możesz mieć na jednym który nie jest bezpośrednio podłączony do serwera DHCP - istotne jest tylko odpowiednie oznaczenie portów dhcp-snooping trust.
Verify MAC już doczytałem w dokumentacji i wydaje mi się, że to akurat nie ma wpływu na mój problem. Option 82 też wyłączone, więc tak jak powinno być. Więc w sumie zostaje tylko konfiguracja portów jako trusted, co też nie wydaje mi się być źródłem problemu...

Ale generalnie na switchu gdzie nie łączą się użytkownicy mogę chyba wyłączyć DHCP snooping bo i tak nie ma on tam racji bytu?

ODPOWIEDZ