DHCP Snooping на с3560 отбрасывает легальные пакеты DHCPDISCOVER

@SwkIrgups · Регистрация: 16.01.2013

Студворк — интернет-сервис помощи студентам

Всем доброго времени суток!
Существует такая топология:

DHCP Snooping на с3560 отбрасывает легальные пакеты DHCPDISCOVER

Около года назад на коммутаторе 3560 (прошивка c3560-ipbasek9-mz.122-50.SE5.bin) был настроен DHCP Snooping с такими параметрами:

Кликните здесь для просмотра всего текста

sw1#sh run
...
ip dhcp snooping vlan 1-7,100,2801
no ip dhcp snooping information option
no ip dhcp snooping verify mac-address
ip dhcp snooping
...
interface GigabitEthernet0/1
description sw4
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,100
switchport mode trunk
ip dhcp snooping trust
end

При этом, интерфейсом Gi0/1 коммутатор 3506 подключен к остальной сети.
Все работало почти год, без проблем, при этом конфигурация коммутатора 3560 глобально не менялась.
Проблема появилась накануне: клиенты, подключеные к Wi-Fi Bridge не смогли получить адреса от DHCP сервера, при этом сислог молчал, хотя был выставлен на уровень критичности informational. При отключении DHCP Snooping на коммутаторе 3560 (no ip dhcp snooping) работоспособность восстанавливалась. Включил дебаггер по мак адресу одного из клиентов:

Code
1
sw1#debug ip dhcp snooping 0015.654e.5e7f

и он мне выдал такие сообщения:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fa0/10, MAC da: ffff.ffff.ffff, MAC sa: fa43.f607.54dc, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0015.654e.5e7f
DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (1)
DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan1.
DHCP_SNOOPING_SW: client address lookup failed to locate client interface, retry lookup using packet mac DA: ffff.ffff.ffff
DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 0015.654e.5e7f
DHCP_SNOOPING_SW: SVI destination port lookup failed for mac: 0015.654e.5e7f
DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Gi0/1, MAC da: ffff.ffff.ffff, MAC sa: 0007.e940.dada, IP da: 255.255.255.255, IP sa: 172.16.2.2, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 172.16.7.140, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0015.654e.5e7f
DHCP_SNOOPING_SW: client address lookup failed to locate client interface, retry lookup using packet mac DA: ffff.ffff.ffff
DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 0015.654e.5e7f
DHCP_SNOOPING_SW: SVI destination port lookup failed for mac: 0015.654e.5e7f
DHCP_SNOOPING: cant find output interface for dhcp reply. the message is dropped.
DHCP_SNOOPING_SW: client address lookup failed to locate client interface, retry lookup using packet mac DA: ffff.ffff.ffff
DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 0015.654e.5e7f
DHCP_SNOOPING_SW: SVI destination port lookup failed for mac: 0015.654e.5e7f

Получается так, что коммутатор зачем-то подставляет мак адрес FFFF.FFFF.FFFF адресом источника в заголовке фрейма с DHCPDISCOVER от телефона. DHCP сервер в ответ отправляет DHCPOFFER на сорс адрес, указанный в DHCPDISCOVER, а это бродкаст.
Вопросов в связи с этим много, некоторые из них:
1. Что могло заставить коммутатор вести себя подобным образом? (год работал, никто его не трогал, и тут на тебе!)
2. В каком направлении рыть? (проштудировал DHCP Snooping, пролистал DHCP Relay, не нашел для себя что-нибудь полезного в данной ситуации)

@MonaxGT · 20.10.2015, 15:01

SwkIrgups, мб глюк, не ребутали?

@jlevistk · 20.10.2015, 15:53

SwkIrgups, не оно?

By default, if the gateway address is set to all zeros in the DHCP packet and the relay agent information option is already present in the packet, the DHCP relay agent will discard the packet. Use the ip dhcp relay information trust-all command to override this behavior and accept the packets.

•This command is useful if there is a switch in between the client and the relay agent that may insert option 82. Use this command to ensure that these packets do not get dropped.

•You can configure an individual interface as a trusted source of the DHCP relay information option by using the ip dhcp relay information trusted interface configuration mode command.

@SwkIrgups · 20.10.2015, 16:45 **[ТС]**

Перезагрузил. Результат тот же.

Добавлено через 12 минут

Сообщение от jlevistk

SwkIrgups, не оно?

Я рассматривал этот вариант, но отсек его в связи с тем, что wifi бридж вроде не должен вставлять опцию 82. Сейчас попробую, как раз нет никого в том корпусе. Блин, опять же коммутатор лаялся бы на то, что он отбросил фрейм именно по этой причине...

@SwkIrgups · 20.10.2015, 17:07 **[ТС]**

ЗдОрово! Добавил настройку ip dhcp relay information trust-all, включил snooping, debugger, перезагрузил порт на wifi бридже - и тишина, телефон не пингуется, сислог молчит:

Вернул все как было

@jlevistk · 20.10.2015, 17:28

SwkIrgups, а есть возможность провести еще тест? Я почитал немного, чего пишут в интернетах - тут у людей такая же проблема, только у них агрегированный канал докучи.
Помогла опция stp : spanning-tree link-type point-to-point

@SwkIrgups · 29.10.2015, 12:01 **[ТС]**

Настроил mirroring, поперехватывал пакеты? выяснил следующее:
Получение настроек DHCP происходит по следующей схеме:

Code
1
2
3
4
5
Клиент отправляет DHCPDISCOVER бродкастом на wifi бридж, сорс адрес фрейма совпадает с chaddr - mac адрес устройства
Wifi бридж передает в сеть этот пакет уже со своим сорс адресом фрейма
Сервер DHCP получает пакет и отвечает на него бродкастовым пакетом DHCPOFFER
DHCPOFFER долетает до wifi бриджа, он видит, что указаный в chaddr адрес находится за ним, шлет его юникастом клиенту (спорное утверждение, не проверял, но суть не в этом)
Далее происходит обмен DHCPREQUEST и ACK в штатном режиме

Если мы включаем DHCP Snooping, на интерфейс коммутатора со стороны сервера прилетает DHCPOFFER, но из порта, к которому подключена точка доступа wifi, этот пакет уже не вылетает, то есть DHCP Snooping коммутатора его рубит. Причем делает это он уже молча, вне зависимости от моих попыток настроить отладчик. Писать лог, который я указывал в первом сообщении поста, он перестал после добавления в конфиг ip dhcp relay information trust-all, отмена этой настройки лог не вернула.
Видимо придется выделять под wifi бриджи отдельный сегмент с отдельным ссидом и не включать для них DHCP snooping, потому что не траблшутится и, кажись, это баг какой-то.

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	20.10.2015, 15:01
	SwkIrgups, мб глюк, не ребутали? 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	20.10.2015, 17:07 [ТС]
	ЗдОрово! Добавил настройку ip dhcp relay information trust-all, включил snooping, debugger, перезагрузил порт на wifi бридже - и тишина, телефон не пингуется, сислог молчит: Вернул все как было 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	20.10.2015, 17:28
	SwkIrgups, а есть возможность провести еще тест? Я почитал немного, чего пишут в интернетах - тут у людей такая же проблема, только у них агрегированный канал докучи. Помогла опция stp : spanning-tree link-type point-to-point 0