не работает DHCP snooping на BDCOM

hillers · 2015-12-10 09:28:33

Работаем по технологии IPoE. Есть 4 головы BDCOM - на 16 и на 8 направлений.

Все четыре BDCOM включены в один свитч.

Столкнулись со следующей проблемой - одновременно начинает колбасить все BDCOM. Загрузка процессоров подскакивает до 100% на всех головах одновременно.

По нашим наблюдениям такое происходит когда появляется левый DHCP за ОНУшкой, к примеру, абонент не правильно подключил роутер.

Провели эксперимент - Схема включения:

Router TP-Link wr941nd <---> ONU BDCOM P1501C1 <---> BDCOM P3310 <---> BRAS Ericsson SE-100 <----> NAS <----> Internet

При подключении Router TP-Link wr941nd в порты с ДХЦП-сервером на BDCOM P3310 нет никакой реакции, но CPU самого BDCOM P3310 еще не растет.

По истечении ~ 4 мин. приходят сообщения о попытках отбросить ДХЦП-пакеты:

BDCOM_4#Dec 9 17:28:14 %FILTER-4-UNBLOCK: [dhcp]Source MAC Address b048.7abf.8aa0 vlan 331 600s on EPON0/4

Dec 9 17:28:14 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

Dec 9 17:28:16 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

Dec 9 17:28:17 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

Dec 9 17:28:18 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

Dec 9 17:28:20 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

Dec 9 17:28:21 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

Dec 9 17:28:23 DHCPR: server DHCP packet received from untrusted server(Interface: EPON0/4 ,IP: 192.168.0.1,MAC:b0:48:7a:bf:8a:a0),dropped

При этом пока БДКОМ еще работает - пингуется по 0,5мс.

Проходит еще ~4-5 минут. CPU BDCOM P33100 взлетает до 100%, при этом наблюдаем почти 100% потери пакетов ICMP.

При этом все остальные BDCOM-ы также начинают тормозить и CPU у них вырастает до 100%. На других BDCOM-ах в логах нет никаких сообщений.

Такая ситуация длится до тех пор пока не отключаем Router TP-Link wr941nd от ONU BDCOM P1501C1.

Как только это сделали отключение, буквально через ~30-40 сек. восстанавливаться нормальная работа всех BDCOM-ов.

Вот настройки из конфига

BDCOM_1x8#sh ip dhcp-relay snooping

ip dhcp-relay snooping

ip dhcp-relay snooping vlan 331

ip arp inspection vlan 331

ip verify source vlan 331

ip dhcp-relay snooping log

DHCP Snooping trust interface:

GigaEthernet0/1

ARP Inspect trust interface:

GigaEthernet0/1

IP source guard trust interface:

GigaEthernet0/1

DHCP Snooping deny interface:

ip dhcp-relay snooping db-file /dhcpr-database

Кто-то встречался с подобным явлением? Как бороться?

Reanemator_ua · 2015-12-10 11:12:08

Ну я на НАГе Вам уже ответил.

loki · 2015-12-10 11:23:19

ip arp inspection vlan 331

ip verify source vlan 331

ip dhcp-relay snooping log

А если вот это убрать, картина изменится ?

Reanemator_ua · 2015-12-10 12:39:57

Для начала уберите ip arp inspection vlan 331 и ip dhcp-relay snooping log. ISG можно оставить - полезная штука.

hillers · 2015-12-10 12:53:17

Для начала уберите ip arp inspection vlan 331 и ip dhcp-relay snooping log. ISG можно оставить - полезная штука.

благодарю за советы, проведем эксперименты, по результатам отпишусь

hillers · 2015-12-11 09:29:00

Для начала уберите ip arp inspection vlan 331 и ip dhcp-relay snooping log. ISG можно оставить - полезная штука.

В общем, провели эксперимент - убрали ip arp inspection vlan 331 и ip dhcp-relay snooping log. Стало работать лучше, подключили роутер к ОНУшке неправильно, так чтобы DHCP роутера смотрело в сторону сети. Разогнать процессор БДКОМа до 100% не удалось, ОДНАКО, вечером, когда много пользователей онлайн ситуация повторилась - все 4 OLT BDCOM ушли в 100% загрузку. Помогает краткосрочное отключение одного из ОЛТ, тогда через пару минут спадает загрузка всех ОЛТ.

Загрузка процессора одного из БДКОМов

Конфиг прилагается.

bdcom2_20151211.txt

Відредаговано 2015-12-11 09:30:26 hillers

hillers · 2015-12-22 09:07:14

Пока удалось решить данную проблему включением БДКОМ-ов через дополнительный свитч

Конфигурация данного коммутатора отличается от С704 (в который раньше были включены BDCOMы) включенным DHCP-snooping binding.

Конфигурация портов:

Interface Ethernet1/25

description BDCOM_1x8

ip multicast destination-control access-group 6000

switchport mode trunk

switchport trunk allowed vlan 303;331;400

ip access-group 100 in

loopback-detection specified-vlan 303;331;400

loopback-detection control shutdown

arp-guard ip 192.168.7.1

arp-guard ip 192.168.6.1

arp-guard ip 192.168.5.1

arp-guard ip 192.168.4.1

arp-guard ip 192.168.3.1

arp-guard ip 192.168.11.1

arp-guard ip 192.168.10.1

arp-guard ip 10.100.0.10

arp-guard ip 192.168.2.1

arp-guard ip 192.168.1.1

arp-guard ip 192.168.0.1

arp-guard ip 10.100.2.9

arp-guard ip 10.0.0.1

arp-guard ip 10.120.0.1

arp-guard ip 10.100.2.7

arp-guard ip 10.100.2.1

ip dhcp snooping action shutdown recovery 180

на С704: (в который раньше были включены BDCOMы)

Interface Ethernet4/11

description BDCOM_1x8

ip multicast destination-control access-group 6011

switchport mode trunk

switchport trunk allowed vlan 303;331;400

ipv6 access-group 600 in

loopback-detection specified-vlan 300;303;331-332;400

loopback-detection control shutdown

ipv6 security-ra enable

arp-guard ip 10.100.0.10

arp-guard ip 192.168.2.1

arp-guard ip 192.168.1.1

arp-guard ip 192.168.0.1

arp-guard ip 10.120.0.1

arp-guard ip 10.0.0.1

arp-guard ip 10.100.2.1

anti-arpscan trust supertrust-port

Уже более 5 дней наблюдаем нормальную работу БДКОМ-ов.

До этого каждый день, по несколько раз возникал некий штром со 100% загрузкой процессоров всех БДКОМов одновременно.

Похоже что есть ошибка в прошивке БДКОМ-ов относительно DHCP-snooping.

Какие может будут Ваши идеи по данному оборудованию?

passer · 2015-12-22 10:34:32

Изолировать порты свитча, в который воткнуты головы. Или еще правильнее рассадить в разные vlan'ы клиентов с разных голов, а то и деревьев. Описаны основные признаки шторма.

P.S. Loopback-detect и прочий функционал в режиме shutdown на агрегаторе трафика олтов - это круто.

fet4 · 2015-12-22 14:34:13

А не проще ACL настроить на концах чтобы левые dhcp server вообще не попадали в сеть?

Увійти

не работает DHCP snooping на BDCOM

Рекомендованные сообщения

hillers 1

Ссылка на сообщение

Поделиться на других сайтах

Reanemator_ua 21

Ссылка на сообщение

Поделиться на других сайтах

loki 86

Ссылка на сообщение

Поделиться на других сайтах

Reanemator_ua 21

Ссылка на сообщение

Поделиться на других сайтах

hillers 1

Ссылка на сообщение

Поделиться на других сайтах

hillers 1

Ссылка на сообщение

Поделиться на других сайтах

hillers 1

Ссылка на сообщение

Поделиться на других сайтах

passer 67

Ссылка на сообщение

Поделиться на других сайтах

fet4 46

Ссылка на сообщение

Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент

Спільнота

Активність