nocproject.org

Есть спецы по глюкам DLink?

Плохо вместе работают DES-3526 и DES-3200-26

Если в одном кольце встречаются эти два типа коммутаторов то dhcp_local_relay option 82 иногда приходит с магистральных портов хотя там стоит keep

Не могу никак побороть данную проблему в сети, как только перестановкой коммутаторов, чтобы в одном кольце были коммутаторы толького одного типа.

Ещё откуда-то появляется удвоение запросов на dhcp сервере, но это уже другая проблема.

_free_: Для DES-3200 появилась прошивка 1.70.хх, где реализована функция, позволяющая указывать порты, на которых работает dhcp_local_relay и dhcp_relay

Т.е. можно включить dhcp_local_relay на всех портах, кроме аплинка.

Для DES-3526 про такую фичу ничего неизвестно

Cangelog для прошивок 6.20 и выше отсутствует

У меня dhcp_local_relay на клиентских стоит reaplace, а на аплинке keep всюду и на 3526 и на 3200 dhcp_relay стоит вверху по древу на DGS

на 3200 какая версия прошивки?

Понаставляли в кольца новых коммутатором 3200 и магистральные порты появились в option 82

ф в однородных кольцах при техже настройках коммутаторов магистральные порты не появляются.

какая версия прошивки?

Очень трудоёмко в сети следить чтобы в кольцах были коммутаторы одного типа и проводить замены. Попробую заменить прошиву, а то у меня протухшая 1.52 всюду

DES-3200 однови до 1.70.B009. Там появилась опция, позволяющая включать dhcp_locla_relay только на определенных портах

DES-3526 однови до R6.20.B12. Там тожде много исправлений, касающихся dhcp

А у меня DES-3526 6.20.B09

Надо обновить.

:)

Жалко, что changelog к beta-версиям не публикуют.

Хотя мне в свое время присылали.

Ещё вопрос какую прошиву посоветуете для DLink DGS-3627G и DLink DES-3028

Для DES-3028 последняя 2.90.B10

Для DGS-3627G смотря что тебе нужно

После 2.82 идет в основном доработка BGP, PIM6 и т.п.

dhcp_relay на DGS-3627G ну + L3 маршрутизация, есть подозрение что они двоят dhcp запросы.

Не встечал такого. У меня пару десятков DGS-3612G и DGS-3627G стоят в качестве dhcp_relay устройств

Возможно имеет смысл настроить dhcp_screening и dhcp_snooping

Значит двоит чтото другое. Или плохо настроены. Буду искать.

На DGS-3627G всплывают другие проблемы:

1 - иногда тупо прекращает работать dhcp_relay. Через некоторое время (пару минут) все начинает работать снова

Ещё в сети кучу клиентских dhcp которые банить надо. Думаю так: http://dlink.ru/ru/faq/62/198.html

2 - "теряются" arp записи. Как workaround - поиграться с "ARP Aging Time"

Можно и так.

Но есть штатные функции: dhcp_snooping и dhcp_screening

Посмотри команду: show filter dhcp_server

Кроме того, на DES-3200 посмотри вывод show address_binding

DES-3200-26:5#show address_binding

Command: show address_binding

Trap/Log : Disabled

DHCP Snoop : Disabled

DES-3200-26:5#show filter dhcp_server

Command: show filter dhcp_server

Enabled ports :

Trap State : Disabled

Log State : Disabled

Illegal_Server_Log_Suppress_Duration : 5 Minutes

Вот видишь - у тебя ничего не настроено

DHCP Snooping - вообще замечательная вещь - позволяет динамически создавать таблицу IMPB.

Кстати, если у тебя заработают эти вещи, не забудь повлючать логи и трапы. Добавлю события в FM

config filter dhcp_server add permit server_ip 172.16.0.5 ports 1-26

Забанит другие dhcp?

Синтаксис я на все 100% не знаю. Но по идее то.

Только зачем ты ВСЕ порты туда добавляешь?

только 25-26 ?

А если слиентский dhcp на этом же коммутаторе?

config dhcp_relay ports 1-24 state enable

config dhcp_relay ports 25-26 state disable

У меня там локал.

disable dhcp_relay

enable dhcp_local_relay

config dhcp_local_relay option_82 circuit_id default

config dhcp_local_relay option_82 remote_id default

config dhcp_local_relay vlan vlanid **** state enable

config dhcp_local_relay option_82 ports 1-24 policy replace

config dhcp_local_relay option_82 ports 25-26 policy keep

onfig dhcp_local_relay option_82 ports 25-26 policy drop

dhcp_relay на вышестоящих DGS-3627G но перед ним ещё паровоз с DES-3200-26 и DES-3526

тупо прибивай пакеты, которые идут с аплинковских портов с опцией 82

И где их лучше прибить?

на каждом коммутаторе 2-го уровня

команда: config dhcp_local_relay option_82 ports 25-26 policy drop

Самое странное что config dhcp_local_relay option_82 ports 25-26 policy keep работает только когда нет зоопарка DES-3200-26 и DES-3526 в кольцах где однотипные свичи на аплинковых портах опция 82 не появляется

зачем тебе keep делать?

config dhcp_local_relay option_82 ports 25-26 policy drop - не убъёт ли все релеи опции 82?

Вот отсюда и появляются дублирующиеся dhcp запросы

Убъет. с 25-го и 26-го портов.

А на 1-24 оставит

Ну я буквально перевод воспринял reaplace - заменить; keep - оставить как есть, а drop - удалить

По идее drop - убъет сам пакет, а нетолько опцию 82 в нем

Что попробовать config dhcp_local_relay option_82 ports 25-26 policy drop?

попробуй.

или тогда все запросы с этого коммутатора пропадут?

Хотя лучше все-таки обратьться к документации. Я на 100% не уверен.

У нас сеть построена просто - на всех коммутаторах 2-го уровня включен traffic_segmentation, и только на DGS-36xx - dhcp_relay

config dhcp_local_relay option_82 ports 25-26 policy drop только на 3200 не помогает, дальше опция 82 приходит с магистральных портов.

Вот выгуглил: http://forum.nag.ru/forum/index.php?showtopic=45382

4 года прошло..

По поводу удвоение нашол http://wiki.sirmax.noname.com.ua/index.php/DHCP_snoop "Известные проблемы"

Ну так там правильно написано: "На некоторых версиях прошивок"

Ладно, сперва обновим прошивку до рекомендуемой вами, потом будем настраивать..

Плюс: traffic_segmentation не используешь из-за топологии сети?

А зачем мне ограничивать трафик по портам?

чтобы клиенты друг-к другу не лазили

Если прописать: config traffic_segmentation 1-24 forward_list 25-26

да

То по идее всё будет работать, но если клиенты присоеденины к разным коммутаторам в одном влане то всё равно лазить будутю

на DGS-3627 сделать то же самое

И чем это мне поможет с DHCP проблемами? На DGS поможет если топология звезда, а у меня кольца, к двум портам DGS пристёгнуто ожерелье с DES и все в одно влане :(

вот неможет ли удвоение из-за этих колец быть? Хотя rstp должен их разрывать на паровозы.

Может кто ещё что-то по DLink скажет? У них так всё от прошивы зависит сильно?

доброго всем дня

думаю, что сильно, раз они при каждом вопросе спрашивают версию прошивки и рекомендуют ее обновить

Решено, буду обновлать и потом посмотрю что получится.

кто-нибудь уже решал задачу игнорирования event'ов link up/down на клиентских свичах?

это к dvloldin

Да у меня получилось http://forum.nocproject.org/index.php?topic=106.0

Ну вообще ивент сам я не игнорирую, он полезен, видно например как порт моргает.

А вот фильтровать его чтобы мусора в Алярмах небыло надо.

_free_: А что тебе мешает вместо dhcp_local_relay использовать dhcp_relay

Эту сеть не я строил, недели две как её админю. Может переделаем.

Насколько мне склероз не изменяет, на DES-3200 серии можно создать еще пару интерфейсов.

Через которые и управлять свичами (отдельный vlan, trusted_host и т.п.)

А в юзерском vlan'е уже изгаляться над траффиком как угодно.

Тот же dhcp_relay, arp_spoofing_prevention, gratuitous_arp и т.п.

А на DES-3526 и DES-3028, их у меня сотни и хочется чтобы технология была одна и попроще, итак ошибок и глюков дофига.

Тут ничем помочь не могу. Железяки считаются старыми, и фичи в новые прошивки практически не добавляются. только багфиксы

Я в свое время тоже просил сделать ISM Vlan на этих сериях. Мне сказали, чтобы я обновил парк оборудования

Тогда надо говорить что обновлю но не на DLink ;)

Уже говорил им. У меня не сотни, а тысячи единиц их оборудования.

возвращаясь к Link up/down; я думал просто сделать дроп ивентов Link up/down от клиентский свичей

логика подсказывает сделать event trigger, c event class re ^Network \| Link \| Link Down$, condition равным True, нужным мне селектором и с PyRule равным drop_event;

сделал, но ничего не поменялось

евенты и алармы на месте

немного не так

там есть какая-то фича, поволяющая задавать игнорируемые порты

Где ее конкретно включать, надо спрашивать Володина

Скорее всего вменяемая web-морда для этого будет только после Inventory

спасибо, буду ждать Дмитрия

Пока web-морда не охватывает и половины возможностей внутренностей самого NOC.

Dmitry11, а по поводу Curses-based CLI на длинках, там скрипты не работают только те где есть список интерфейсов?

да

show stp ports

show ports

show ports description

show ddm ports

и т.п.

Т.е. я не могу сделать следующие скрипты:

get_spanning_tree, get_dom_status, get_switchport, get_interfaces

В будущем планируется скрипт, выгребающий ошибки на портах

Соответственно, будет мспользоваться команда "show error ports", которая тоже на curesd-based CLI

а не пробовали такой вариант, определяем число портов у железки, это не сложно, потом вводим необходимую команду, парсим вывод, в зависимости от команды, если информация получена не по всем портам, посылаем на свич "n", снова парсим, опять проверяем, к

огда информация по всем портам получена, посылаем "q" и отключаемся

Сейчас нет механизма, позволяющего посмотреть содержимое буфера перед нажатием "n"

Володин предлашал сделать что-то типа self.stream() вместо self.cli(). Который будет выводить построчно

но?

мне вот тоже не хватает, что длинки не дискаверятся по хорошему, я бы на них и нок мог бы оттестировать, прежде чем на циски его натравливать

Ждем dvolodin

его до среды не будет

test