Jump to content

Нужна помощь с DGS 3120 SC


Recommended Posts

Добрый день, нужна помощь!

Уже на протяжении 2 недель в сети что-то происходит. На одном из центральных свичей DGS 3120SC  куда приходит Аплинк (port 6) и подключается сервак (port 1,2) в логах свича постоянно выбивает сообщение:

933 2013-09-01 13:47:19 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:13)
1932 2013-09-01 13:43:46 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:7)
1931 2013-09-01 13:40:32 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:8)
1930 2013-09-01 13:39:31 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:18)

13, 18 порты - линки на ближайшие дома

7, 8 порты - линки на соседние DGS 3120SC

 

Симптомы:

- пропадает Интернет у абонентов на 15 мин, если изменить IP в биллинге - появляется, но не надолго;

- в основном зацепило абонентов с роутерам TP-Link, D-Link  и прочее подобных;

 

На свичах с 7, 8, 13 и 18 портов в логах никаких подобных упоминаний про левые DHCP-сервера нету!

Пробовал глубокой ночью отключать все сегменты и дома, и по очереди включать. По наблюдениям когда включаю каждый 3-ий дом, в логи начинает сыпаться сообщение с ругательством. Так же заметил что когда нету активного трафика в сети (закачки, торенты и т.д.) все ок, если превышает 2-5 мбит - начинает ругаться.

 

Помогите в решении вопроса за вознаграждение!

Edited by DiprizE
Link to post
Share on other sites

Включите на всех свичах dhcp screening на клиентских портах и забудьте о проблеме.

В идеале конечно включать надо на свичах доступа, но можно и на районных 3120, проблемы будут максимум внутри дома - заметите по жалобам или логам, поставите туда длинк типа 3200-26, включите все тот же screening и все.

Link to post
Share on other sites

К сожалению не помогло. Инет у юзерей отваливается, пинги обрываются.

Юзера подключаются в 3200-26 и тупарики. Все одинаково глючит.

Edited by DiprizE
Link to post
Share on other sites

Чудес не бывает.

Где-то у вас в сети есть 'левый' сервер, нужно его или поймать(ставите этот IP 10.251.0.1 на пинг и тушите по очереди порты) или сделать невозможным вообще работу левых серверов.

Второй вариант естественно правильнее, включайте на всех управлялках dhcp screening на всех портах кроме аплинка(ну и кроме порта куда включен сам сервер конечно) и все, проблемы быть не может в принципе.

Link to post
Share on other sites
# DhcpServerScreening

 

config filter dhcp_server ports all state disable

config filter dhcp_server ports 1:3-1:5,1:7-1:24 state enable

config filter dhcp_server illegal_server_log_suppress_duration 5min

config filter dhcp_server trap enable

config filter dhcp_server log enable

Уберите первую строку, она скорее всего фильтрацию и отключает. Отлючена она должна быть только на порту с dhcp-сервером, порты 1,2,6 у вас доверенные?

 

Да и свичи то зачем менять? :)

Edited by KaYot
Link to post
Share on other sites

 

сбрось в дефолт настрой заново. покажи конфиг.

Заменил свич.

 

Прошивка - ровесник мамонта, обновитесь.

Последняя DGS-3120 Series v3.00.B031, стабильная - v2.50.015

loopdetect  mode port-based - у вас в каждый порт ходит один untag vlan?

дефолтный vlan лучше не использовать вообще.

 

10.251.0.1 - нашли кому принадлежит?

ftp://ftp.dlink.ru/pub/Switch/DGS-3120_Series/Description/DGS-3120_Series_FW_R2.50_CLI_Reference%20Guide.pdf - страница 261 читали? В каком порту находиться ваш dhcp сервер?

 

по конфигу видно что в 1м

config filter dhcp_server ports 1:3-1:5,1:7-1:24 state enable 

а где вы разрешили свой сервер на нужном вам порту?

это будет что то вида 

config filter dhcp_server add permit server_ip 10.10.10.10 ports 1:1

 

show filter dhcp_server

 

Enabled Ports:

Trap State: Disabled

Log State: Disabled

Illegal Server Log Suppress Duration:5 minutes

 

Permit DHCP Server/Client Table:

Server IP Address Client MAC Address Port

----------------- ------------------ --------------------

10.10.10.10 All Client MAC 1:1

 

Total Entries: 1

Edited by Mikca
Link to post
Share on other sites

Прошивка - ровесник мамонта, обновитесь.

Последняя DGS-3120 Series v3.00.B031, стабильная - v2.50.015

2.0 там вполне нормальная прошивка, у нас такой с 1.0.2 больше года работал без вопросов, обновили при переводе магистралей на double tag.
Link to post
Share on other sites

DiprizE где пруф ? или как в подписи уч.ру 
 


Гореть в аду тем, кто спрашивает на форуме о решении проблемы ...

И, после бурного обсуждения, пишет - "Спасибо, всё сам решил ещё неделю назад", но не говорит КАК!

Стыдно ?

Edited by sanyadnepr
Link to post
Share on other sites

У него там вообще где-то мультикаст флудил, укладывая CPU свичей волнами. Поотключал все лишнее, проблема с загрузкой исчезла. Ждем что человек скажет, может я там чего сломал случайно, а он чинит)

Edited by KaYot
Link to post
Share on other sites

DiprizE где пруф ? или как в подписи уч.ру 

 

Гореть в аду тем, кто спрашивает на форуме о решении проблемы ...

 

И, после бурного обсуждения, пишет - "Спасибо, всё сам решил ещё неделю назад", но не говорит КАК!

Стыдно ?

Проблема пока не решена. Я не люблю писать по 100500 сообщений, а одно но по существу.

Link to post
Share on other sites

Благодарю KaYot за выделенное время на указывание возможных причин глюка. Но к сожалению проблема пока не решилась, из-за нехватки знаний по железу.

Link to post
Share on other sites

Есть возможность отключить соседние 3120 (7,8порт) ?

WireShark ?

У вас есть 2й свич, аплинк и сервер/а в него, и с него линки только на соседние 3120, свичи доступа сюда не пхать !

заварачиваем траф с "больных" на соседние порты и смотрим тспдампом/ваиршарком  что там происходит !

Иначе это гадание ничего полезного не принесет.

 

PS: Прошивку до стабильной обновить.

Edited by sanyadnepr
Link to post
Share on other sites

А почему Вы просто не хотите в ACL заглушить все ДХСП сервера  на портах, ну кроме ваших. 2 вариант определите мак левого ДХСП и заблочте его.

Link to post
Share on other sites

loopdetect включен, ворнингов нет.

Когда я по свичам лазил - везде был эпизодический multicast шторм, раз в минуту все свичи падали в 100% CPU. Отключение igmp snooping загрузку убрало, но проблемы 'с пропаданием интернета' не решило.

Link to post
Share on other sites

DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут.

Петли он жует на раз и не давится, пока нет локализации все ваши действия до одного места.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...