URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1968
[ Назад ]
Исходное сообщение
"cisco 3550 маршрутизация"
Отправлено kid , 12-Май-16 14:40 
Добрый день форумчане. Возникла проблема с настройкой маршрутизации. я еще только начинаю изучать так что не пинайте если есть явные ошибки. итак дано.
3550 -12Т
1 порт ip 172.10.0.1 смотрит на дхцп сервер 172.10.0.2
2-3 порт port-channel 1 , на порт чаннале понимаются вланы 1000, 1001 на вланы прописываю адреса 1000-192.168.0.1/26 , 1001-192.168.0.65/26  и указываю ip-helper на дхцп сервер ip-helper 172.10.0.2 В итоге абонентский компьютер по дзцп не получает адреса, если я прописываю на компе статичный адрес 192.168.0.2 шлюз 0.1 то я могу пинговать 192.168.0.1 (шлюз). 172.10.0.1 интерфейс смотрящий на дхцп а вот сам сервер уже не пингуется. на сервере в качестве дефолтового маршрута указан 172.10.0.1
вот сам конфиг
no aaa new-model
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
ip subnet-zero
ip routing
no ip domain-lookup
!
vtp domain x5
vtp mode transparent
!
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 1000
name vl1000
vlan 1001
name vl1001
!
!
interface Port-channel1
description private-lan-trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000,1001
switchport mode trunk

interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000,1001
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000,1001
switchport mode trunk
channel-group 1 mode on

interface Vlan1000
description vl1000
ip address 192.168.0.1 255.255.255.192
ip helper-address 172.10.0.2
!
interface Vlan1001
description vl1001
ip address 192.168.0.65 255.255.255.192
ip helper-address 172.10.0.2

с самой циски 172.10.0.2 пингуется

Содержание
Сообщения в этом обсуждении
"cisco 3550 маршрутизация"
Отправлено ShyLion , 12-Май-16 15:25 
> вот сам конфиг

куча не нужного показано, нужные вещи не показаны.

Вангую фаервол на DHCP.

> с самой циски 172.10.0.2 пингуется

ping 172.10.0.2 source vlan1000

"cisco 3550 маршрутизация"
Отправлено kid , 12-Май-16 15:30 
>> вот сам конфиг
> куча не нужного показано, нужные вещи не показаны.
> Вангую фаервол на DHCP.
>> с самой циски 172.10.0.2 пингуется
> ping 172.10.0.2 source vlan1000

а что нужно еще показать?
сейчас в качестве дхцп сервера установлен микротик. настройки полностью сброшены. прописан ip адрес 172.10.0.2/28 на интерфейсе и указан дефолтовый маршрут на 172.10.0.1
#ping 172.10.0.2 source vlan1000

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.10.0.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

"cisco 3550 маршрутизация"
Отправлено ShyLion , 12-Май-16 15:34 
> а что нужно еще показать?

тогда лучше все, кроме паролей, используй тег [ code ][ /code ] (без пробелов)

> #ping 172.10.0.2 source vlan1000
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Странно...
tracert -d 172.10.0.2
ipconfig /all
или че там у тебя

"cisco 3550 маршрутизация"
Отправлено kid , 12-Май-16 15:41 
>> а что нужно еще показать?
> тогда лучше все, кроме паролей, используй тег [ code ][ /code ]
> (без пробелов)
>> #ping 172.10.0.2 source vlan1000
>> !!!!!
>> Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
> Странно...
> tracert -d 172.10.0.2
> ipconfig /all
> или че там у тебя

Конфиг
[ code ]
Building configuration...

Current configuration : 2470 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname Foton-RT-1
!
enable password 7 13160E015D3C112923313C72
!
no aaa new-model
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
ip subnet-zero
ip routing
no ip domain-lookup
!
vtp domain x5

Foton-RT-1#sh run
Building configuration...

Current configuration : 2470 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname Foton-RT-1
!
enable password 7 13160E015D3C112923313C72
!
no aaa new-model
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
ip subnet-zero
ip routing
no ip domain-lookup
vtp domain x5
vtp mode transparent
!
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 1000
name vl1000
!
vlan 1001
name vl1001
!
!
interface Port-channel1
description private-lan-trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000,1001
switchport mode trunk
!
interface Port-channel2
description uplink-to-nat_srv
no switchport
ip address 172.20.0.2 255.255.255.252
!
interface GigabitEthernet0/1
description to-dhcp-serv
no switchport
ip address 172.10.0.1 255.255.255.240
!
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000,1001
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000,1001
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/4
no switchport
no ip address
channel-group 2 mode on
!
interface GigabitEthernet0/5
no switchport
no ip address
channel-group 2 mode on
!
interface GigabitEthernet0/6
switchport mode dynamic desirable
!
interface GigabitEthernet0/7
switchport mode dynamic desirable
interface GigabitEthernet0/8
switchport mode dynamic desirable
!
interface GigabitEthernet0/9
switchport mode dynamic desirable
!
interface GigabitEthernet0/10
switchport mode dynamic desirable
!
interface GigabitEthernet0/11
switchport mode dynamic desirable
!
interface GigabitEthernet0/12
switchport mode dynamic desirable
!
interface Vlan1
no ip address
shutdown
!
interface Vlan1000
description vl1000
ip address 192.168.0.1 255.255.255.192
ip helper-address 172.10.0.2
!
interface Vlan1001
description vl1001
ip address 192.168.0.65 255.255.255.192
ip helper-address 172.10.0.2
!
ip classless
no ip http server
ip http secure-server
!
!
!
control-plane
!
!
line con 0
line vty 0 4
password 7 120A1C04443B1907223E3069
login
line vty 5 15
password 7 02151D485D361A22445B1D58
login
[ /code ]
1) tracert -d 172.10.0.2
1 хоп 192.168.0.1 дальше маршрута нет
2)ipconfig /all
ip192.168.0.2
mask 255.255.255.192
gw 192.168.0.1
primary dns 8.8.8.8

"cisco 3550 маршрутизация"
Отправлено ShyLion , 13-Май-16 07:06 
> [ code ]

БЕЗ пробелов :)


Странно, не вижу причин в роутере.

Воткни WireShark на сервере, понюхай траффик. Доходят ли до него пинги, есть ли ответы.

"cisco 3550 маршрутизация"
Отправлено kid , 13-Май-16 10:02 
>> [ code ]
> БЕЗ пробелов :)
> Странно, не вижу причин в роутере.
> Воткни WireShark на сервере, понюхай траффик. Доходят ли до него пинги, есть
> ли ответы.

wireshark dump

No.     Time           Source                Destination           Protocol Length Info
      1 0.000000       192.168.0.2           192.168.0.63          NBNS     110    Registration NB <01><02>__MSBROWSE__<02><01>
Frame 1: 110 bytes on wire (880 bits), 110 bytes captured (880 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      2 0.208007       192.168.0.2           192.168.0.63          NBNS     92     Name query NB WPAD<00>
Frame 2: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      3 0.217425       192.168.0.2           192.168.0.63          NBNS     92     Name query NB WPAD<00>
Frame 3: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      4 0.764383       192.168.0.2           192.168.0.63          NBNS     110    Registration NB <01><02>__MSBROWSE__<02><01>
Frame 4: 110 bytes on wire (880 bits), 110 bytes captured (880 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      5 0.967194       192.168.0.2           192.168.0.63          NBNS     92     Name query NB WPAD<00>
Frame 5: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      6 0.967300       192.168.0.2           192.168.0.63          NBNS     92     Name query NB WPAD<00>
Frame 6: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      7 1.528762       192.168.0.2           192.168.0.63          NBNS     110    Registration NB <01><02>__MSBROWSE__<02><01>
Frame 7: 110 bytes on wire (880 bits), 110 bytes captured (880 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      8 1.731616       192.168.0.2           192.168.0.63          NBNS     92     Name query NB WPAD<00>
Frame 8: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
      9 1.731794       192.168.0.2           192.168.0.63          NBNS     92     Name query NB WPAD<00>
Frame 9: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 137 (137), Dst Port: 137 (137)
NetBIOS Name Service
No.     Time           Source                Destination           Protocol Length Info
     10 1.825236       192.168.0.2           172.10.0.2            ICMP     74     Echo (ping) request  id=0x0001, seq=19692/60492, ttl=128 (no response found!)
Frame 10: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 172.10.0.2
Internet Control Message Protocol
No.     Time           Source                Destination           Protocol Length Info
     11 2.324476       192.168.0.2           192.168.0.63          BROWSER  220    Request Announcement ANNA-PC
Frame 11: 220 bytes on wire (1760 bits), 220 bytes captured (1760 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 138 (138), Dst Port: 138 (138)
NetBIOS Datagram Service
SMB (Server Message Block Protocol)
SMB MailSlot Protocol
Microsoft Windows Browser Protocol
No.     Time           Source                Destination           Protocol Length Info
     12 2.324607       192.168.0.2           192.168.0.63          BROWSER  220    Request Announcement ANNA-PC
Frame 12: 220 bytes on wire (1760 bits), 220 bytes captured (1760 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 138 (138), Dst Port: 138 (138)
NetBIOS Datagram Service
SMB (Server Message Block Protocol)
SMB MailSlot Protocol
Microsoft Windows Browser Protocol
No.     Time           Source                Destination           Protocol Length Info
     13 2.325606       192.168.0.2           192.168.0.63          BROWSER  250    Domain/Workgroup Announcement WORKGROUP, NT Workstation, Domain Enum
Frame 13: 250 bytes on wire (2000 bits), 250 bytes captured (2000 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.0.63
User Datagram Protocol, Src Port: 138 (138), Dst Port: 138 (138)
NetBIOS Datagram Service
SMB (Server Message Block Protocol)
SMB MailSlot Protocol
Microsoft Windows Browser Protocol
No.     Time           Source                Destination           Protocol Length Info
     14 6.083918       192.168.0.2           192.168.1.24          SNMP     120    get-request 1.3.6.1.2.1.25.3.2.1.5.1 1.3.6.1.2.1.25.3.5.1.1.1 1.3.6.1.2.1.25.3.5.1.2.1
Frame 14: 120 bytes on wire (960 bits), 120 bytes captured (960 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.1.24
User Datagram Protocol, Src Port: 49160 (49160), Dst Port: 161 (161)
Simple Network Management Protocol
No.     Time           Source                Destination           Protocol Length Info
     15 6.084574       192.168.0.1           192.168.0.2           ICMP     70     Destination unreachable (Host unreachable)
Frame 15: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) on interface 0
Ethernet II, Src: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00), Dst: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35)
Internet Protocol Version 4, Src: 192.168.0.1, Dst: 192.168.0.2
Internet Control Message Protocol
No.     Time           Source                Destination           Protocol Length Info
     16 6.817143       192.168.0.2           172.10.0.2            ICMP     74     Echo (ping) request  id=0x0001, seq=19693/60748, ttl=128 (no response found!)
Frame 16: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 172.10.0.2
Internet Control Message Protocol
No.     Time           Source                Destination           Protocol Length Info
     17 11.824578      192.168.0.2           172.10.0.2            ICMP     74     Echo (ping) request  id=0x0001, seq=19694/61004, ttl=128 (no response found!)
Frame 17: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 172.10.0.2
Internet Control Message Protocol
No.     Time           Source                Destination           Protocol Length Info
     18 16.223636      192.168.0.2           192.168.1.24          SNMP     120    get-request 1.3.6.1.2.1.25.3.2.1.5.1 1.3.6.1.2.1.25.3.5.1.1.1 1.3.6.1.2.1.25.3.5.1.2.1
Frame 18: 120 bytes on wire (960 bits), 120 bytes captured (960 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 192.168.1.24
User Datagram Protocol, Src Port: 49160 (49160), Dst Port: 161 (161)
Simple Network Management Protocol
No.     Time           Source                Destination           Protocol Length Info
     19 16.224264      192.168.0.1           192.168.0.2           ICMP     70     Destination unreachable (Host unreachable)
Frame 19: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) on interface 0
Ethernet II, Src: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00), Dst: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35)
Internet Protocol Version 4, Src: 192.168.0.1, Dst: 192.168.0.2
Internet Control Message Protocol
No.     Time           Source                Destination           Protocol Length Info
     20 16.816338      AsustekC_4b:5e:35     CiscoInc_2f:c6:00     ARP      42     Who has 192.168.0.1? Tell 192.168.0.2
Frame 20: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Address Resolution Protocol (request)
No.     Time           Source                Destination           Protocol Length Info
     21 16.816527      192.168.0.2           172.10.0.2            ICMP     74     Echo (ping) request  id=0x0001, seq=19695/61260, ttl=128 (no response found!)
Frame 21: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0
Ethernet II, Src: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35), Dst: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00)
Internet Protocol Version 4, Src: 192.168.0.2, Dst: 172.10.0.2
Internet Control Message Protocol
No.     Time           Source                Destination           Protocol Length Info
     22 16.816911      CiscoInc_2f:c6:00     AsustekC_4b:5e:35     ARP      60     192.168.0.1 is at 00:0b:be:2f:c6:00
Frame 22: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: CiscoInc_2f:c6:00 (00:0b:be:2f:c6:00), Dst: AsustekC_4b:5e:35 (c8:60:00:4b:5e:35)
Address Resolution Protocol (reply)
No.     Time           Source                Destination           Protocol Length Info
     23 21.824081      192.168.0.2           172.10.0.2            ICMP     74     Echo (ping) request  id=0x0001, seq=19696/61516, ttl=128 (no response found!)

mikrotik packet sniffer dump
http://s32.postimg.org/sm8sqqkn9/mif_dump.png
настройки микротика
http://s32.postimg.org/whc6tb3t1/mik.png
"cisco 3550 маршрутизация"
Отправлено ShyLion , 13-Май-16 12:44 
А можешь отзеркалить порт, смотрящий на микротик и поснифать на нем?

(config)# monitor session 1 source interface Gi0/1
(config)# monitor session 1 destination interface Любой_Свободный

фильтруй по ICMP и ARP, а то нетбиос мешает смотреть нормально.

И еще, там НАТа на некротике нету?

"cisco 3550 маршрутизация"
Отправлено Andrey , 15-Май-16 17:48 
>[оверквотинг удален]
> interface Vlan1000
>  description vl1000
>  ip address 192.168.0.1 255.255.255.192
>  ip helper-address 172.10.0.2
> !
> interface Vlan1001
>  description vl1001
>  ip address 192.168.0.65 255.255.255.192
>  ip helper-address 172.10.0.2
> с самой циски 172.10.0.2 пингуется

А собственно dhcp сервис на 3550 разрешен? Не разрешен сервис - нет DHCP relay.

Disabling the DHCP Service

This vulnerability can be mitigated by utilizing the command:

    no service dhcp

However, this workaround will disable all DHCP processing on the device, including the DHCP helper functionality that may be necessary in some network configurations.

https://tools.cisco.com/security/center/content/CiscoSecurit...

В конфигурации устройства наличие dhcp service / no dhcp service может не отображаться.

"cisco 3550 маршрутизация"
Отправлено kid , 15-Май-16 18:13 
>[оверквотинг удален]
> DHCP relay.
>  Disabling the DHCP Service
> This vulnerability can be mitigated by utilizing the command:
>     no service dhcp
> However, this workaround will disable all DHCP processing on the device, including
> the DHCP helper functionality that may be necessary in some network
> configurations.
> https://tools.cisco.com/security/center/content/CiscoSecurit...
> В конфигурации устройства наличие dhcp service / no dhcp service может не
> отображаться.

Андрей, дхцп разрешен, проблема в том что даже прописав статичный адрес абонентский компьютер не видит дхцп сервер.
>Shylion завтра попробую отзеркалировать порт, логи скину.

"cisco 3550 маршрутизация"
Отправлено kid , 16-Май-16 11:26 
>[оверквотинг удален]
>>     no service dhcp
>> However, this workaround will disable all DHCP processing on the device, including
>> the DHCP helper functionality that may be necessary in some network
>> configurations.
>> https://tools.cisco.com/security/center/content/CiscoSecurit...
>> В конфигурации устройства наличие dhcp service / no dhcp service может не
>> отображаться.
> Андрей, дхцп разрешен, проблема в том что даже прописав статичный адрес абонентский
> компьютер не видит дхцп сервер.
>>Shylion завтра попробую отзеркалировать порт, логи скину.

я вообще ничего не понимаю уже. поднял виртуалку, . прописал на ней ip 172.10.0.2 default gw 172.10.0.1, на машине 192.168.0.2 запускаю пинг 172.10.0.2, снимаю дамп, на абонентской машине 192.168.0.2 пишет превышен интервал ожидания, тспдамп роказывает следущее
http://s32.postimg.org/d06umchhx/test.png

"cisco 3550 маршрутизация"
Отправлено ShyLion , 16-Май-16 12:04 
>>[оверквотинг удален]

Нюхай на портах роутера

"cisco 3550 маршрутизация"
Отправлено Andrey , 16-Май-16 12:24 
>[оверквотинг удален]
>>> В конфигурации устройства наличие dhcp service / no dhcp service может не
>>> отображаться.
>> Андрей, дхцп разрешен, проблема в том что даже прописав статичный адрес абонентский
>> компьютер не видит дхцп сервер.
>>>Shylion завтра попробую отзеркалировать порт, логи скину.
> я вообще ничего не понимаю уже. поднял виртуалку, . прописал на ней
> ip 172.10.0.2 default gw 172.10.0.1, на машине 192.168.0.2 запускаю пинг 172.10.0.2,
> снимаю дамп, на абонентской машине 192.168.0.2 пишет превышен интервал ожидания, тспдамп
> роказывает следущее
> http://s32.postimg.org/d06umchhx/test.png

покажите sh ver и sh ip route с С3550

"cisco 3550 маршрутизация"
Отправлено kid , 16-Май-16 12:33 
>[оверквотинг удален]
>>>> отображаться.
>>> Андрей, дхцп разрешен, проблема в том что даже прописав статичный адрес абонентский
>>> компьютер не видит дхцп сервер.
>>>>Shylion завтра попробую отзеркалировать порт, логи скину.
>> я вообще ничего не понимаю уже. поднял виртуалку, . прописал на ней
>> ip 172.10.0.2 default gw 172.10.0.1, на машине 192.168.0.2 запускаю пинг 172.10.0.2,
>> снимаю дамп, на абонентской машине 192.168.0.2 пишет превышен интервал ожидания, тспдамп
>> роказывает следущее
>> http://s32.postimg.org/d06umchhx/test.png
> покажите sh ver и sh ip route с С3550

sh ver
Cisco IOS Software, C3550 Software (C3550-IPSERVICESK9-M), Version 12.2(25)SEE1,
#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.20.0.1 to network 0.0.0.0

     172.10.0.0/28 is subnetted, 1 subnets
C       172.10.0.0 is directly connected, GigabitEthernet0/1
     172.20.0.0/30 is subnetted, 1 subnets
C       172.20.0.0 is directly connected, Port-channel2
     192.168.0.0/26 is subnetted, 2 subnets
C       192.168.0.64 is directly connected, Vlan1001
C       192.168.0.0 is directly connected, Vlan1000
S*   0.0.0.0/0 [1/0] via 172.20.0.1


"cisco 3550 маршрутизация"
Отправлено Andrey , 16-Май-16 16:19 
>[оверквотинг удален]
> periodic downloaded static route
> Gateway of last resort is 172.20.0.1 to network 0.0.0.0
>      172.10.0.0/28 is subnetted, 1 subnets
> C       172.10.0.0 is directly connected, GigabitEthernet0/1
>      172.20.0.0/30 is subnetted, 1 subnets
> C       172.20.0.0 is directly connected, Port-channel2
>      192.168.0.0/26 is subnetted, 2 subnets
> C       192.168.0.64 is directly connected, Vlan1001
> C       192.168.0.0 is directly connected, Vlan1000
> S*   0.0.0.0/0 [1/0] via 172.20.0.1

Забавно...
Сравните MAC адреса на всех устройствах и в ARP на маршрутизаторе. Вдруг у вас дубликат 172.10.0.2 завелся.
Если все в порядке - попробовать обновить IOS. Он у вас очень старый.
12.2(25)SEE1 - это 2006 год.
В остальном криминала не вижу.

"cisco 3550 маршрутизация"
Отправлено kid , 16-Май-16 16:28 
>[оверквотинг удален]
>> C       192.168.0.64 is directly connected, Vlan1001
>> C       192.168.0.0 is directly connected, Vlan1000
>> S*   0.0.0.0/0 [1/0] via 172.20.0.1
> Забавно...
> Сравните MAC адреса на всех устройствах и в ARP на маршрутизаторе. Вдруг
> у вас дубликат 172.10.0.2 завелся.
> Если все в порядке - попробовать обновить IOS. Он у вас очень
> старый.
> 12.2(25)SEE1 - это 2006 год.
> В остальном криминала не вижу.

да я уже 2 устройства поменял вместо 172.10.0.2 ставил и другой микротик и виртуалку с дебиан на другой машине поднял. картина 1 в 1. остается только полностью обнулить циску и заного настроить

"cisco 3550 маршрутизация"
Отправлено fantom , 16-Май-16 18:04 
>[оверквотинг удален]
>> Забавно...
>> Сравните MAC адреса на всех устройствах и в ARP на маршрутизаторе. Вдруг
>> у вас дубликат 172.10.0.2 завелся.
>> Если все в порядке - попробовать обновить IOS. Он у вас очень
>> старый.
>> 12.2(25)SEE1 - это 2006 год.
>> В остальном криминала не вижу.
> да я уже 2 устройства поменял вместо 172.10.0.2 ставил и другой микротик
> и виртуалку с дебиан на другой машине поднял. картина 1 в
> 1. остается только полностью обнулить циску и заного настроить

На ДХЦП дефаулт гейтвей проверяли???
ДХЦП- гейтвей на киску, клиент - гейтвей на киску...
Есессно с киски должны оба пингаться.....

"cisco 3550 маршрутизация"
Отправлено kid , 16-Май-16 21:05 
>[оверквотинг удален]
>>> Если все в порядке - попробовать обновить IOS. Он у вас очень
>>> старый.
>>> 12.2(25)SEE1 - это 2006 год.
>>> В остальном криминала не вижу.
>> да я уже 2 устройства поменял вместо 172.10.0.2 ставил и другой микротик
>> и виртуалку с дебиан на другой машине поднял. картина 1 в
>> 1. остается только полностью обнулить циску и заного настроить
> На ДХЦП дефаулт гейтвей проверяли???
> ДХЦП- гейтвей на киску, клиент - гейтвей на киску...
> Есессно с киски должны оба пингаться.....

само собой, и комп абонента и дхцп сервер дфолт гейт на киску

"cisco 3550 маршрутизация"
Отправлено ShyLion , 17-Май-16 07:31 
> да я уже 2 устройства поменял вместо 172.10.0.2 ставил и другой микротик

Попробуй с другой стороны что либо поменять.
Сделай на отдельном интерфейсе еще одну сетку и напрямую воткнись в кису.
У тебя в сторону клиентов смотрит порт-шанель, а что с другой его стороны для нас загадка.

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 08:39 
>> да я уже 2 устройства поменял вместо 172.10.0.2 ставил и другой микротик
> Попробуй с другой стороны что либо поменять.
> Сделай на отдельном интерфейсе еще одну сетку и напрямую воткнись в кису.
> У тебя в сторону клиентов смотрит порт-шанель, а что с другой его
> стороны для нас загадка.

поднял 6 порт
interface GigabitEthernet0/6
no switchport
ip address 192.168.2.1 255.255.255.0
прописал на компе ip 192.168.2.2 пингуется все и дхцп сервер, и шлюз. как я и подозревал дело в уровнях порта no switchport переводит порт в L3 а на транке портов это L2
interface Port-channel1
description private-vlan-trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1000
switchport mode trunk
отсюда возникает вопрос как сделать транк вланов с L3

"cisco 3550 маршрутизация"
Отправлено Andrey , 17-Май-16 09:14 
>[оверквотинг удален]
>  ip address 192.168.2.1 255.255.255.0
> прописал на компе ip 192.168.2.2 пингуется все и дхцп сервер, и шлюз.
> как я и подозревал дело в уровнях порта no switchport переводит
> порт в L3 а на транке портов это L2
> interface Port-channel1
>  description private-vlan-trunk
>  switchport trunk encapsulation dot1q
>  switchport trunk allowed vlan 1000
>  switchport mode trunk
> отсюда возникает вопрос как сделать транк вланов с L3

Давайте порассуждаем...
По скриншоту с микротика - трафик с 192.168.0.2 приходит на микротик и тот отсылает какие-то ответы обратно. Сервер не может быть включен в Port-сhannel напрямую, если это у вас не какой-нибудь сервер с виртуалками. Но вы писали, что включаете клиента и не можете на нем получить ответа от DHCP. Либо проблемы в клиенте, либо в промежуточном оборудовании. 3550 - уже со всех сторон изучили.
Внимание вопросЫ: что стоит между 3550 и клиентом? Как на этом оборудовании сконфигурирован port-channel? Вы можете показать настройки всех интерфейсов (vlan, [tengiggabit/gigabit/fast]ethernet, port-channel) между DHCP сервером и клиентом?

Как вариант - повесьте исходящий ACL на VLAN 1000 и посмотрите будет считаться трафик между 172.10.0.2 и 192.168.0.2 или нет (ACL на две строчки пермит между хостами, пермит ани ани). Либо запускайте wireshark/tcpdump на клиенте и ловите ответы от сервера.

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 09:33 
>[оверквотинг удален]
> Но вы писали, что включаете клиента и не можете на нем
> получить ответа от DHCP. Либо проблемы в клиенте, либо в промежуточном
> оборудовании. 3550 - уже со всех сторон изучили.
> Внимание вопросЫ: что стоит между 3550 и клиентом? Как на этом оборудовании
> сконфигурирован port-channel? Вы можете показать настройки всех интерфейсов (vlan, [tengiggabit/gigabit/fast]ethernet,
> port-channel) между DHCP сервером и клиентом?
> Как вариант - повесьте исходящий ACL на VLAN 1000 и посмотрите будет
> считаться трафик между 172.10.0.2 и 192.168.0.2 или нет (ACL на две
> строчки пермит между хостами, пермит ани ани). Либо запускайте wireshark/tcpdump на
> клиенте и ловите ответы от сервера.

компьютер абонента->dlink 3200-26->cisco 3550->dhcp сервер с 1 порта циски.
настройки длинка 1-2 порты порт-чаннел lacp на циску
vlan
VID             : 1           VLAN Name       : default
VLAN Type       : Static      Advertisement   : Enabled
Member Ports    : 3-10,13-21,23-26
Static Ports    : 3-10,13-21,23-26
Current Tagged Ports   :
Current Untagged Ports : 3-10,13-21,23-26
Static Tagged Ports    :
Static Untagged Ports  : 3-10,13-21,23-26
Forbidden Ports        :

VID             : 1000        VLAN Name       : vl1000
VLAN Type       : Static      Advertisement   : Disabled
Member Ports    : 1-2,22
Static Ports    : 1-2,22
Current Tagged Ports   : 1-2
Current Untagged Ports : 22
Static Tagged Ports    : 1-2
Static Untagged Ports  : 22
Forbidden Ports        :

DES-3200-26:4#show lacp
Command: show lacp_ports


Port     Activity

-----    --------
1        Active
2        Active

DES-3200-26:4#show link_aggregation group_id 1
Command: show link_aggregation group_id 1

Link Aggregation Algorithm = MAC-destination

Group ID      : 1
Type          : LACP
Master Port   : 1
Member Port   : 1-2
Active Port   : 1
Status        : Enabled
Flooding Port : 1


"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 10:37 
>[оверквотинг удален]
> DES-3200-26:4#show link_aggregation group_id 1
> Command: show link_aggregation group_id 1
> Link Aggregation Algorithm = MAC-destination
> Group ID      : 1
> Type          : LACP
> Master Port   : 1
> Member Port   : 1-2
> Active Port   : 1
> Status        : Enabled
> Flooding Port : 1

Заканчиваем эпопею, убрал ко всем чертям dlink, воткнул нортел. поднял lacp на нем. на циске сменил ченел-груп на актив и все заработало. всем огромное спасибо за участие. длинк в своем репертуаре

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 12:25 
недолго музыка играла, попрошу еще раз помощи. в общем если прописать адрес статично я вижу и дхцп сервер и шлюза, но по дхцп ничего не получаю даже если на самой циске встаю абонентом
вот конф циски
no aaa new-model
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
ip subnet-zero
ip routing
no ip domain-lookup
ip dhcp relay information option
ip dhcp relay information trust-all
!
vtp domain x5
vtp mode transparent
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 901
 name vl901
!
vlan 1000
 name vl1000
!
!
interface Port-channel1
 description private-vlan-trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 901
 switchport mode trunk
interface GigabitEthernet0/1
 description to-dhcp-serv
 no switchport
 ip address 172.10.0.1 255.255.255.240
!
interface GigabitEthernet0/2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 901
 switchport mode trunk
 channel-group 1 mode active
!
interface GigabitEthernet0/3
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 901
 switchport mode trunk
 channel-group 1 mode active
interface GigabitEthernet0/6
 switchport access vlan 901
 switchport mode access
!
interface Vlan901
 description vl901
 ip address 192.168.5.1 255.255.255.192
 ip helper-address 172.10.0.2
!
route-map Private permit 10
 match interface Port-channel1
 set ip default next-hop 172.20.0.1
!

mikrotik dhcp
http://s32.postimg.org/p99mezwut/test.png
"cisco 3550 маршрутизация"
Отправлено ShyLion , 17-Май-16 12:29 
> недолго музыка играла, попрошу еще раз помощи. в общем если прописать адрес

term mon
debug ip dhcp и т.д.

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 12:35 
>> недолго музыка играла, попрошу еще раз помощи. в общем если прописать адрес
> term mon
> debug ip dhcp и т.д.

02:26:24: DHCPD: setting giaddr to 192.168.5.1.
02:26:24: DHCPD: adding relay information option.
02:26:24: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
02:26:31: DHCPD: setting giaddr to 192.168.5.1.
02:26:31: DHCPD: adding relay information option.
02:26:31: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
02:26:33: DHCPD: setting giaddr to 192.168.5.1.
02:26:33: DHCPD: adding relay information option.
02:26:33: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
02:26:35: DHCPD: setting giaddr to 192.168.5.1.
02:26:35: DHCPD: adding relay information option.

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 12:43 
>[оверквотинг удален]
> 02:26:24: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
> 02:26:31: DHCPD: setting giaddr to 192.168.5.1.
> 02:26:31: DHCPD: adding relay information option.
> 02:26:31: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
> 02:26:33: DHCPD: setting giaddr to 192.168.5.1.
> 02:26:33: DHCPD: adding relay information option.
> 02:26:33: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
> 02:26:35: DHCPD: setting giaddr to 192.168.5.1.
> 02:26:35: DHCPD: adding relay information option.
>

packet sniff на микротике
http://s32.postimg.org/gglti6y6t/test1.png

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 15:27 
>[оверквотинг удален]
>> 02:26:31: DHCPD: adding relay information option.
>> 02:26:31: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
>> 02:26:33: DHCPD: setting giaddr to 192.168.5.1.
>> 02:26:33: DHCPD: adding relay information option.
>> 02:26:33: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
>> 02:26:35: DHCPD: setting giaddr to 192.168.5.1.
>> 02:26:35: DHCPD: adding relay information option.
>>
> packet sniff на микротике
> http://s32.postimg.org/gglti6y6t/test1.png

relay заработал с параметром no ip dhcp relay information check
это вообще нормально?

"cisco 3550 маршрутизация"
Отправлено ShyLion , 17-Май-16 15:35 
>[оверквотинг удален]
>>> 02:26:33: DHCPD: setting giaddr to 192.168.5.1.
>>> 02:26:33: DHCPD: adding relay information option.
>>> 02:26:33: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
>>> 02:26:35: DHCPD: setting giaddr to 192.168.5.1.
>>> 02:26:35: DHCPD: adding relay information option.
>>>
>> packet sniff на микротике
>> http://s32.postimg.org/gglti6y6t/test1.png
> relay заработал с параметром no ip dhcp relay information check
> это вообще нормально?

Честно говоря не вникал, тут подробнее:
http://www.cisco.com/en/US/docs/ios/12_4t/ip_addr/configurat...

В моей конторе DHCP под ВыньСервер, такой опции на каталисте нет, все работает.

"cisco 3550 маршрутизация"
Отправлено kid , 17-Май-16 15:55 
>[оверквотинг удален]
>>>> 02:26:35: DHCPD: adding relay information option.
>>>>
>>> packet sniff на микротике
>>> http://s32.postimg.org/gglti6y6t/test1.png
>> relay заработал с параметром no ip dhcp relay information check
>> это вообще нормально?
> Честно говоря не вникал, тут подробнее:
> http://www.cisco.com/en/US/docs/ios/12_4t/ip_addr/configurat...
> В моей конторе DHCP под ВыньСервер, такой опции на каталисте нет, все
> работает.

ShyLion,спасибо за помощь

"cisco 3550 маршрутизация"
Отправлено Andrey , 17-Май-16 17:37 
>[оверквотинг удален]
>>> 02:26:33: DHCPD: setting giaddr to 192.168.5.1.
>>> 02:26:33: DHCPD: adding relay information option.
>>> 02:26:33: DHCPD: BOOTREQUEST from 01d4.ca6d.00c1.57 forwarded to 172.10.0.2.
>>> 02:26:35: DHCPD: setting giaddr to 192.168.5.1.
>>> 02:26:35: DHCPD: adding relay information option.
>>>
>> packet sniff на микротике
>> http://s32.postimg.org/gglti6y6t/test1.png
> relay заработал с параметром no ip dhcp relay information check
> это вообще нормально?

У вас нортел не стал дополнительным DHCP релеем случайно?