BDCOM P3310B + option82 + Netis/D-Link dir300

[Kto To]

Используем в некоторых местах авторизацию клиентов по номеру порта на коммутаторах (dhcp option82)

 

Была схема

[Server]-[core switch]-[aggreation switch]-[huawei s2300]

 

Все работало у всех клиентов со всеми роутерами замечательно. Со временем [aggreation switch] забился линками, ставить второй смысла не было (включать медиаконверторами клиентов уже прошлый век) - поставили вместо свитча - bdcom P3310B. В него включили приходищий порт, клиентов перевели на пон и в него включили линк на huawei s2300 (офисное здание, клиенты по меди). После этого у клиентов включеных в huawei у кого роутеры Netis и у одного был DIR-300 - перестали получать ип по dhcp. При этом клиенты у которых TP-Link и Mikrotik - нормально получают ИП и работают. Прошивки обновляли до последних как на Netis так и на DIR-300 - эффекта 0. Пока временно перевели этих клиентов на PPPOE, но не хочется чтоб была путаница. На BDCOM P3310B включен dhcp snooping и порт в сторону Huawei добавлен как trust

 

На Хуавей используются влан 100 для внешних ип, 101 - для серых

На ОЛТ также используется авторизация dhcp option 82 (вланы 100,110,111)

Добавление в ip dhcp-relay snooping vlan - влан 101 - никакого эффекта не давал - как не получали ип Netis и DIR-300 так и не получают

 

interface GigaEthernet0/5
 description Huawei
 switchport trunk vlan-allowed 10,100,101
 switchport mode trunk
  dhcp snooping trust
  arp inspection trust
  ip-source trust

!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  100,110,111
ip arp inspection vlan  100,110,111
ip verify source vlan  100,110,111
ip dhcp-relay snooping information option format hn-type host

 

 

 

[Dimkers]

5 минут назад, Kto To сказал:

порт в сторону Huawei добавлен как trust

в сторону сервера должно быть траст, а не клиента.

Это раз.

Два - это что приходит в опции на dhcp сервер?

[passer]

4 минуты назад, Kto To сказал:

порт в сторону Huawei добавлен как trust

Лишнее оно. trust - это порт сервера, а не клиентов, как у вас

На P3310B dhcp snooping включается глобально и опцию 82 он растыкивает (удаляет пакет или редактирует под себя), независимо в каком влане пришел dhcp-пакет. В общем, использование опции 82 на коммутаторах D-Link, подключенных именно через P3310B было признано неработоспособным.

[Kto To]

Хорошо - но почему именно только в основном Netis? Почему просто на компе - получает ип, на mikrotik/tplink тоже...

1 час назад, Dimkers сказал:

в сторону сервера должно быть траст, а не клиента.

Это раз.

Два - это что приходит в опции на dhcp сервер?

 убрал - не помогло

[andryas]

Завернуть vlan в qinq?

[nedoinet]

34 минуты назад, Kto To сказал:

Хорошо - но почему именно только в основном Netis? Почему просто на компе - получает ип, на mikrotik/tplink тоже...

 убрал - не помогло

Может потому что древние косые realtek у них на борту? 

[Dimkers]

3 часа назад, Kto To сказал:

убрал - не помогло

А я и не говорил, что поможет Я сказал как правильно.

Что в опции прилетает с нетиса и что с других?

Відредаговано 2 липня, 2019 Dimkers

[fet4]

Смени на huawei vlan доступа на иной от того что есть в списке ip dhcp-relay snooping vlan 100,110,111 на бдкоме. Я так понял у тебя 100-ый есть и там и там. А так быть не может, вернее может, но тогда тебе нужно настраивать на бдком на даунлинк порту к хуавею политику что делать если в Discover уже есть опция отбрасывать, заменять или пропускать? Но тут еще один момент, не корректно мне кажется использовать один vlan на разных коммутаторах с опцией 82, формат опции может быть разный.

 

Відредаговано 2 липня, 2019 fet4

[Kto To]

15 минут назад, nedoinet сказал:

Может потому что древние косые realtek у них на борту? 

 

Но все работало до того как линк на свитч подали с ОЛТ-а.

[Kto To]

1 час назад, fet4 сказал:

Смени на huawei vlan доступа на иной от того что есть в списке ip dhcp-relay snooping vlan 100,110,111 на бдкоме. Я так понял у тебя 100-ый есть и там и там. А так быть не может, вернее может, но тогда тебе нужно настраивать на бдком на даунлинк порту к хуавею политику что делать если в Discover уже есть опция отбрасывать, заменять или пропускать? Но тут еще один момент, не корректно мне кажется использовать один vlan на разных коммутаторах с опцией 82, формат опции может быть разный.

 

 

10-й управление

100-й - сеть с белыми ИП которая растянута по разным коммутаторам где раздается опция.

101 - для huawei под серые ип

110-111 -  под серые ИП для ОЛТ

 

ИП получают на Хуавей как по 100-му влану так и по 101 компы, тп-линковские роутеры и микротики. После замены аплинка с свитча агрегации на ОЛТ - перестали получать ИП роутеры Нетис (все что были включены в хуавей, несколько штук) и один роутер длинк DIR-300. Причем монтажники включают ноутбук вместо Нетиса - получают ип, работает инет. Включают тп-линк на тот же шнурок - получают ИП работает инет. Включают Нетис - ИП не получают.

Прошивки обновляли, благовония подкуривали, с бубном танцевали. По tcpdump/dhcpdump - DHCP сервер на запрос отвечает - ИП отсылает. Загадка - почему ИП не долетает именно до этих роутеров?

 

П.С. Глубоким знатокам БДКОМ - можно как-то "заставить" P3310B обрабатывать snooping только заданых вланов а не всех?

[fet4]

Проверьте виновен ли вообще bdcom отключив snooping на нем.

[Stalker1]

16 часов назад, Kto To сказал:

Используем в некоторых местах авторизацию клиентов по номеру порта на коммутаторах (dhcp option82)

 

Была схема

[Server]-[core switch]-[aggreation switch]-[huawei s2300]

 

Все работало у всех клиентов со всеми роутерами замечательно. Со временем [aggreation switch] забился линками, ставить второй смысла не было (включать медиаконверторами клиентов уже прошлый век) - поставили вместо свитча - bdcom P3310B. В него включили приходищий порт, клиентов перевели на пон и в него включили линк на huawei s2300 (офисное здание, клиенты по меди). После этого у клиентов включеных в huawei у кого роутеры Netis и у одного был DIR-300 - перестали получать ип по dhcp. При этом клиенты у которых TP-Link и Mikrotik - нормально получают ИП и работают. Прошивки обновляли до последних как на Netis так и на DIR-300 - эффекта 0. Пока временно перевели этих клиентов на PPPOE, но не хочется чтоб была путаница. На BDCOM P3310B включен dhcp snooping и порт в сторону Huawei добавлен как trust

 

На Хуавей используются влан 100 для внешних ип, 101 - для серых

На ОЛТ также используется авторизация dhcp option 82 (вланы 100,110,111)

Добавление в ip dhcp-relay snooping vlan - влан 101 - никакого эффекта не давал - как не получали ип Netis и DIR-300 так и не получают

 

interface GigaEthernet0/5
 description Huawei
 switchport trunk vlan-allowed 10,100,101
 switchport mode trunk
  dhcp snooping trust
  arp inspection trust
  ip-source trust

!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  100,110,111
ip arp inspection vlan  100,110,111
ip verify source vlan  100,110,111
ip dhcp-relay snooping information option format hn-type host

 

 

 

Попробуй вкл dhcp-relay agent 

[Kto To]

Потратил вечер на синтетические тесты и эксперименты. Пообщался с коллегой - у него аналогичная ситуация с роутерами Xiaomi.

Что выяснилось.

При включеном ip dhcp-relay snooping ни Netis ни Xiaomi не получают ип от дхцп сервера. Куда бы ни был включен роутер, хоть в ОНУ, хоть в порт ОЛТ, хоть в порт свитча за ОЛТ, хоть по опции 82, хоть без нее - ип НЕ ПОЛУЧАЕТ. 

Включение dhcp-relay agent - никакого эффекта не дает.

Пробовал выдавать ип как с серверного dhcpd так и просто ткнув другой роутер лан портом в ОЛТ - ип НЕ ПОЛУЧАЕТ

Только делаю no ip dhcp-relay snooping - сразу прилетает ИП на роутер.

При этом все также ТП-Линк и Микротик получает ип что при включеном dhcp-relay snooping что без него.

 

Как это полечить? 

 

[KaYot]

Не использовать устаревшие технологии)

[tiratore]

у бдком все равно работает снупинг на траст портах, это глюк прошивки. Разработчик сказал что исправлять не будем

Відредаговано 8 липня, 2019 tiratore

[Kto To]

16 часов назад, KaYot сказал:

Не использовать устаревшие технологии)

 

Проблема в том что 36хх модели можно конечно ставить - но они жрут света почти в 4 раза больше что удорожает стоимость построения узла и периодические расходы на замену аккумов  

 

Подскажите адекватную альтернативу по функционалу BDCOM P3310B...

[KaYot]

6 часов назад, Kto To сказал:

Проблема в том что 36хх

Да нет же, я по то что не нужно использовать всякие dhcp-snooping'и.

Толку от них не много, проблем много.

[fet4]

7 часов назад, Kto To сказал:

 

Проблема в том что 36хх модели можно конечно ставить - но они жрут света почти в 4 раза больше что удорожает стоимость построения узла и периодические расходы на замену аккумов  

 

Подскажите адекватную альтернативу по функционалу BDCOM P3310B...

Работало каскадом как у вас, то есть после 3310B еще коммутаторы, никаких проблем со снупингом. НО, на 3310B должна быть прошивка 33463, у высших версий проблемы со снупингом и vlan для интернета на ниже стоящих коммутаторах должны быть отличные от 3310B, то есть на 3310B они не должны быть включены в ip dhcp snooping vlan

[Kto To]

15 часов назад, fet4 сказал:

Работало каскадом как у вас, то есть после 3310B еще коммутаторы, никаких проблем со снупингом. НО, на 3310B должна быть прошивка 33463, у высших версий проблемы со снупингом и vlan для интернета на ниже стоящих коммутаторах должны быть отличные от 3310B, то есть на 3310B они не должны быть включены в ip dhcp snooping vlan

 

О спасибо! Попробую отпишусь!

17 часов назад, KaYot сказал:

Да нет же, я по то что не нужно использовать всякие dhcp-snooping'и.

Толку от них не много, проблем много.

 

Ага - пппое наше все? )))

[forella]

Имеется такая же проблема с роутерами ксяоми и тенда, вроде бы как решилась прошивкой 33463, но появился новый прикол dhcp работает не корректно, в логах сервера постоянные NAK
пример лога:
 

Sep 29 21:54:57 chs dhcpd: DHCPNAK on 172.20.10.171 to e8:65:d4:16:b0:10 via 172.20.0.2
Sep 29 21:54:58 chs dhcpd: DHCPOFFER on 172.20.10.171 to e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2
Sep 29 21:54:58 chs dhcpd: DHCPREQUEST for 172.20.10.171 (172.16.0.1) from e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2
Sep 29 21:54:58 chs dhcpd: DHCPACK on 172.20.10.171 to e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2
Sep 29 22:02:51 chs dhcpd: DHCPREQUEST for 172.20.10.171 from e8:65:d4:16:b0:10 via 172.20.0.2: lease 172.20.10.171 unavailable.
Sep 29 22:02:51 chs dhcpd: DHCPNAK on 172.20.10.171 to e8:65:d4:16:b0:10 via 172.20.0.2
Sep 29 22:02:59 chs dhcpd: DHCPOFFER on 172.20.10.171 to e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2

можно ли как-то это исправить?

[Kto To]

В 29.09.2020 в 22:47, forella сказал:

Имеется такая же проблема с роутерами ксяоми и тенда, вроде бы как решилась прошивкой 33463, но появился новый прикол dhcp работает не корректно, в логах сервера постоянные NAK
пример лога:
 

Sep 29 21:54:57 chs dhcpd: DHCPNAK on 172.20.10.171 to e8:65:d4:16:b0:10 via 172.20.0.2
Sep 29 21:54:58 chs dhcpd: DHCPOFFER on 172.20.10.171 to e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2
Sep 29 21:54:58 chs dhcpd: DHCPREQUEST for 172.20.10.171 (172.16.0.1) from e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2
Sep 29 21:54:58 chs dhcpd: DHCPACK on 172.20.10.171 to e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2
Sep 29 22:02:51 chs dhcpd: DHCPREQUEST for 172.20.10.171 from e8:65:d4:16:b0:10 via 172.20.0.2: lease 172.20.10.171 unavailable.
Sep 29 22:02:51 chs dhcpd: DHCPNAK on 172.20.10.171 to e8:65:d4:16:b0:10 via 172.20.0.2
Sep 29 22:02:59 chs dhcpd: DHCPOFFER on 172.20.10.171 to e8:65:d4:16:b0:10 (Tenda) via 172.20.0.2

можно ли как-то это исправить?

 

ПППОЕ решает данную проблему

Узкоглазые говнокодеры сказали что B модель устарела и править баг в своем говнокоде они не будут.

Мигрируем на 36хх или на других вендоров (увы).

[a_n_h]

6 часов назад, Kto To сказал:

Узкоглазые говнокодеры сказали что B модель устарела и править баг в своем говнокоде они не будут.

вот и похоронили, неплохой ОЛТ был...

Відредаговано 2 жовтня, 2020 a_n_h

[forella]

7 часов назад, Kto To сказал:

 

ПППОЕ решает данную проблему

Узкоглазые говнокодеры сказали что B модель устарела и править баг в своем говнокоде они не будут.

Мигрируем на 36хх или на других вендоров (увы).

Не обязательно на 36хх, На 3310C и D таких проблем нет, придется переходить на них.

[Kto To]

1 час назад, forella сказал:

Не обязательно на 36хх, На 3310C и D таких проблем нет, придется переходить на них.

 

видимо да

[a_n_h]

1 час назад, forella сказал:

Не обязательно на 36хх, На 3310C и D таких проблем нет, придется переходить на них.

а где гарантия, что тоже не похерят с каким-то косяком?