Перейти до

Проблема з DHCP Snooping на Planet SGSW-24240


Рекомендованные сообщения

Привіт всім! Одразу хочу застерегти - я ламєр. Це може надати спілкуванню зі мною особливого емоціонального забарвлення людині, яка "шаріт" в цих всіх справах :). Хотілося б, звісно, щоб спеціалісти зважали на вище задекларований факт і з терплячістю віднеслись до моїх проблем і питань. Але навіть якщо це буде і не можливо, то я готовий терпіти приниження, знущання, викачування мене в ІТ-багні і тиканні мене в те багно мордою. Я вважаю, що це все буде справедливою платнею за відповідь на питання, яке мене хвилює.

 

Отже, проблема наступна. Є Planet SGSW-24240 з 24 оптичними портами і 8 мідними портами, які суміщаються з першими 8 оптичними портами. Вся мережа розділена на два простори - простір для управління switches (VLAN=4000) і простір, де мешкають абоненти (VLAN=1000). Default VLAN=1 не використовується. 4 перші порти об"єднані в trunk (не впевнений в правильності термінології, бо в Planet це зветься Link Aggregation) і використовуються як uplink на рівень агрегації, де встановлений D-Link DGS-1510. Агрегатор можливо і слабенький, але має дуже корисну фічу - апаратний стек на внутрішній шидкості до 20Гбіт/с по двох оптичних портах SFP+, що дозволить об"єднати окремі, територіально розкидані серверні, довкола яких за методикою "кожному окреме волокно" підключено 200-300 абонентів. Тобто, один він звісно в полі не воїн, але гуртом вони можливо будуть забезпечувати можливість гнучкого масштабування мережі і витримувати навантаження в 200-300 абонентів кожний. Один із портів D-Link-а є uplink-ом в роутер, який і розмежовує (буде колись) дикі простори абонентів і світлий світ інтернету. Роутер - це віртуальна машина FreeBSD, яка керується host-машиною під управлінням також FreeBSD (переваги і недоліки як віртуалізації так і використаної операційної системи - це окреме питання). Роутер рівня доступу Planet і абоненти знаходяться в одній підмережі - 10.0.0.0/16. На роутері запущено DHCP Server, який сумлінно виконує всі свої обов"язки і роздає IP-адреси. Всі порти Planet в режимі Isolaed окрім, ясна річ, 4 об"єднаних портів uplink-у на рівень агрегації. Всі порти Planet-а мають PVID=1000 і ще є учасниками Private VLAN з VID=1 (без існування Private VLAN не працює). Отже, трафік бігає, адреси роздаються, на машинах є інет. АЛЕ! Як тільки я вмикаю на Planet DHCP Snooping, то одразу все перестає працювати. WHY?? Я пускав tcpdump на інтерфейсах роутера і бачив як йдуть по 67 порту запити до DHCP Server. І бачив як виникає абсолютна тиша на тих же інтерфейсах роутера, коли я вмикаю DHCP Snooping.

 

P.S. Поки що це просто стенд вдома, в кабінеті (перша серверна). Але, сподіваюсь, в недалекому майбутньому я переживу війну за стовпи із РЕСом і цей стенд стане реально працюючим.

Ссылка на сообщение
Поделиться на других сайтах

Для работы снупинга на любой железке нужно аплинковый порт(или LAGG) обозвать доверенным(trusted). Сделали?

Ну и неработающий функционал у планета скорее норма, чем что-то необычное, смиритесь.

 

p.s. на моем 24240 такого функционала почему-то нет вообще, прошивка не самая древняя стоит.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

навіщо 4порти  обєднувати?

А скільки потрібно :)? 4 гігових порти - це нормальна полоса. Planet цей також може в стек ставати. Всередині такого стеку внутрішня комунікація йде по HDMI каналу на швидкості 5Мбіт. Тобто, абстрактно, в мене є 4 порти uplink (грубо кажучи, 4Мбіт/с канал нагору) + 20 абонентських з чорного ящика, кількість портів якого може в майбутньому збільшитись на +24 за кожне додавання ще одного Planet-а в стек без особливого напрягу і нічого міняти не знадобиться десь ще. Окрім доданого в стек Planet-а - там потрібно буде в штатному режимі настройки портів здійснювати при підключенні нового абонента. Згоден, є в мене філія відносно теми фізичного стекування :).

 

навіщо приват влан?

Нормальне таке питання, яке мене також ставило в глухий кут. Але от якщо порт не в Private VLAN, то трафіку нема. Там якісь маски бітові фігачаться апартно з використанням Private VLAN ID при фільтруванні куди який пакет може йти чи ні.

 

снупінг на абон портах включаєш чи на свіх?

Напевне, треба одразу налаштувати себе на те, щоб зануритись в контекст саме Planet :). Snooping там вмикається глобально на весь switch і навіть на весь стек. На порт можемо прицепити налаштування типу Trusted/Untrusted. І все.

Відредаговано ventinaro
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

Для работы снупинга на любой железке нужно аплинковый порт(или LAGG) обозвать доверенным(trusted). 

Aggredated Link з 4 портів. Так, вони є trusted. Всі інші, абонентські, є untrusted. На агрегуючому D-Link я також пробував вмикати DHCP Snooping і порти налаштовувати за аналогічним принципом. Думав, може на всіх проміжних зупинках перед DHCP Server потрібно мати DHCP Snooping.

 

Ну и неработающий функционал у планета скорее норма, чем что-то необычное, смиритесь.

Ета пгіскогбно... Чи є якісь шанси, що нова прошивка виправить ситуацію? Та і взагалі, наскільки безпечною є зміна прошивки в таких switches?

 

Взагалі-то, я сподівався, що запуск DHCP Snooping автоматично забезпечить мені Option 82 від кожного Planet-а (читав десь, що деякі switches автоматично додають цю option при запуску DHCP Snooping). Але надія ця поступово згасає. Схоже, що потрібно буде шукати якусь іншу стратегію для контролю кожного абонентського порта - аби контролювати тільки ІР і номер порту без необхідності десь мати справи із МАС, Щоб кожне підключення було не складніше за "тіхо сзаді падашол, всунул і пашол".

Відредаговано ventinaro
Ссылка на сообщение
Поделиться на других сайтах

Може хто має досвід спілкування із support-ом Planet-а? Так же не можна. Продають річ, яка не працює так, як їй належить працювати...

Ссылка на сообщение
Поделиться на других сайтах

У планета нет суппорта, забудьте. Даже прошивку проще найти на форумах, чем на официальном сайте.. А уж работающую на сайте вы точно не найдете, их там тупо никто не проверяет походу.

Ссылка на сообщение
Поделиться на других сайтах

запуск DHCP Snooping автоматично забезпечить мені Option 82

то тебе сначала DHCP Relay включить надо, иначе снупинг всё дропать и будет, без всяких опций
Ссылка на сообщение
Поделиться на других сайтах

Оновлював прошивку неодноразово дистанційно - ніяких питань не виникало, треба трохи зачекати тільки. Усі налаштування після оновлення залишаються на своїх місцях.

Саму прошивку можна взяти тут - ftp://ftp.asmnet.cz/Planet/SGSW-24040_24240/Firmware/

 

 

Що до Private VLAN - це як на D-Link Traffic Segmentation, без ввімкнення нема комутації між портами. Тобто, якщо вам потрібен зв'язок між 1 та 5 портам та між 1 та 6, але між 5 та 6 зв'язку не повинно бути - треба зробити два Private VLAN, де в першому мають бути присутні 1 та 5 порти, а в другому - 1 та 6 порти.

 

За Trusted/Untrusted вам вже відповіли.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

то тебе сначала DHCP Relay включить надо, иначе снупинг всё дропать и будет, без всяких опций

На одному і тому ж switch увімкнути DHCP Relay та DHCP Snooping? Це вже щось теліше. Знайшов в розділи ACL такі статуси:

 
User     Ingress Port                Frame Type                                Action
DHCP  Any                              IPv4/UDP 67 DHCP Client (In)    Deny
DHCP  Any                              IPv4/UDP 68 DHCP Server (In)   Deny
 
Why??? Я ж не додавав ніяких політик! Що це в біса коїться в тих залізних мізках з 24 дірками :)?
Відредаговано ventinaro
Ссылка на сообщение
Поделиться на других сайтах

http://planet.com.tw/en/support/download.php?view=65&type1=1&model=30489#list

 

тут есть свежая прошивка...

22 мая....

О Боже! Они сделали ЭТО!

Bug fixed – Fixed SFP that cannot link after remote device reboot

 

Ссылка на сообщение
Поделиться на других сайтах

Може хто має досвід спілкування із support-ом Planet-а? Так же не можна. Продають річ, яка не працює так, як їй належить працювати...

Так і є і можна запросто. Не знаю як там з вашою конкретно проблемою, але загалом прошивки Планети мають купу багів і ніхто їх роками не виправляє.

Два роки тому спілкувався з підтримкою Планети електронною поштою. Англійську розуміють :). Реально допомогли, дуже тим мене здивували. Не знаю чи ті контакти зараз актуальні, але закинув вам у приват, спробуйте.

Ссылка на сообщение
Поделиться на других сайтах

 Всередині такого стеку внутрішня комунікація йде по HDMI каналу на швидкості 5Мбіт. 

 

 

Целых 5 мегабит? HDMI.   :)

Конченный свич кстати. Стоял стек из 3 таких, разобрал, лежат в резерве на случай ну уж очень грандиозного шухера. Иногда подвисают порты, приходится в ручну передергиваь сфп. У знакомого после каждого пропадания питания (сел упс и тд и тп), слетают все настройки, приходится заливать конфиг по новой. Нету людской консоли, подвисает веб морда, так и не смог снимать статистику по снмп со 2-3 юнита в стеке, лень было ковырять. Кароче купил бдком 48 сфп и забыл как страшный пионер-сон

 

 

Bug fixed – Fixed SFP that cannot link after remote device reboot

.Ох йопта, не прошло и 6 лет.

Відредаговано maxx
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Целых 5 мегабит? HDMI

Ну по паспорту наче так: http://www.planet.com.tw/en/product/product.php?id=30489#spec - Two 5Gbps HDMI-Like interface, Stacking Bandwidth - 10Gbps (Full-Duplex). Звісно можуть брехати. Вас послухаєш, так повний шлак ці Планєти :).

 

слетают все настройки, приходится заливать конфиг по новой. Нету людской консоли, подвисает веб морда

Ну з настройками наче проблем таких поки не було. І морда не вісне. Та то ж тільки поки стенд із віртуальними клієнтами у вигляді старезних системних блоків, які позбирав по всіх знайомих і реанімував для тестування. Оце от тільки проблема вчора трапилась. Вирішив саму свіжу прошивку прошити. От і маєш - тепер порти, через які підключені мої тестові машинки, не сприймають SFP-модулі :(. А до прошивання нормально все працювало...

 

Так, я можу погодитись, що досвіду вибрати правильне залізо в мене мінімум. Але не дивлячись на це, хотілося б якось все таки цей DHCP Snooping розібрати.

Відредаговано ventinaro
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Кароче купил бдком 48 сфп и забыл как страшный пионер-сон

BDCOM штампує не тільки для PON? В мене склалось враження, що це в них основний напрямок. Суб"єктивне враження звісно.

 

P.S. Оце от подумав трохи і таки повівся на Вашу рекламу :). Ну і питання (якщо не секрет) - що за модель BDCOM, які там в неї характеристики і яка ціна?

Відредаговано ventinaro
Ссылка на сообщение
Поделиться на других сайтах

 

 

Конченный свич кстати. Стоял стек из 3 таких, разобрал, лежат в резерве на случай ну уж очень грандиозного шухера.

Продаёте? :)

Ссылка на сообщение
Поделиться на других сайтах

 

 

Оце от тільки проблема вчора трапилась. Вирішив саму свіжу прошивку прошити. От і маєш - тепер порти, через які підключені мої тестові машинки, не сприймають SFP-модулі :(. А до прошивання нормально все працювало...

Останню травневу прошивку не пробував ще, але FW-SGSW24040_1.8b140815.zip працює, гігабітні модулі працюють любі які були в наявності, сотки не перевіряв.

Попереджаю: не робіть апгрейд фірмваре в стеку. Для цього треба виймати свіч із стеку. Я проапгрейдив якось стекований свіч, отримав в результаті повністю мертвий шматок заліза, ледве вдалося повернути його до життя.

Ссылка на сообщение
Поделиться на других сайтах
Попереджаю: не робіть апгрейд фірмваре в стеку

О, блін! Красне дякую (зніма неіснуючий капелюх і низенько вклоняється)! Якось так вийшло, що експерименти граю із одиноким. А поряд в мене ще два в стеку... Але якось пронесло і дурість моя не довела до того, щоб гратися з тими двома.

 

FW-SGSW24040_1.8b140815.zip

Де це можна скачати??? В мене рідні прошивки (подивився тільки но на інших двох, які не прошив на щастя) - 1.8b121205. А вчорашня прошита - 1.8b150312. Бо вже зібрався листи слати в місцевий суппорт. Глянув на сайті виробника - не бачу такої прошивки.

Ссылка на сообщение
Поделиться на других сайтах

FW-SGSW24040_1.8b140815.zip

Де це можна скачати??? В мене рідні прошивки (подивився тільки но на інших двох, які не прошив на щастя) - 1.8b121205. А вчорашня прошита - 1.8b150312. Бо вже зібрався листи слати в місцевий суппорт. Глянув на сайті виробника - не бачу такої прошивки.

 

Так вище вже давали посилання на чеський ФТП сервер. Всі неофіційні прошивки там з'являються. Зараз там остання як раз 1.8b140815.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Дякую ще раз! Ось зараз і прошию...

UPD. Ні, не допомогло :(. Буду просити місцевий суппорт, аби пошукали мені рідну прошивку для цього планета.

UPD. Може то мої експерименти із всими цими snooping-ами порти мої положили? Там же наче є якісь настройки, щоб відключати порти, якщо трафік не відповідає політиці.

Відредаговано ventinaro
Ссылка на сообщение
Поделиться на других сайтах

Я не знаю сколько стоит этот хлам, но проще взять BDCOM S2528GX. Я брал за 380$ - самый дешевый в своем роде и поддержка рядом

Ссылка на сообщение
Поделиться на других сайтах

Дякую ще раз! Ось зараз і прошию...

UPD. Ні, не допомогло :(. Буду просити місцевий суппорт, аби пошукали мені рідну прошивку для цього планета.

UPD. Може то мої експерименти із всими цими snooping-ами порти мої положили? Там же наче є якісь настройки, щоб відключати порти, якщо трафік не відповідає політиці.

Та всі вони рідні ті прошивки, ніхто крім Планета не пише іх, просто не всі вони публікуються на їх сайті. Ті, що чехи викладають - отримують з підтримки Планета для вирішення чергових проблем, це такі собі альфи і бети, а потім відтестоване вже на сайті поблікують. Десь так. В мене тих прошивок декілька штук накопичилося і жодна з них не приводила ні до яких блокувань СФП модулів. А якщо є сумнів на рахунок налаштувань, то завжди є можливість зберегти налаштування у файл і потім натиснути кнопочку Ресет :).

Ссылка на сообщение
Поделиться на других сайтах

Я не знаю сколько стоит этот хлам, но проще взять BDCOM S2528GX. Я брал за 380$ - самый дешевый в своем роде и поддержка рядом

Ну да, наверное никто новые Планеты брать не будет, нет никакого смысла ибо теперь есть альтернативы. А раньше вот альтернатив не было, ничего похожего купить не удавалось, вот и покупали эти Планеты и теперь надо как-то с этим жить :). Ничего, если от них слишком много не требовать, то работают, свои задачи выполняют, баги и фичи более-менее известны.

 

И что, эти вот BDCOM S2528GX без проблем? Просто интересно.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...