dgr243 Geschrieben 10. Januar 2012 Geschrieben 10. Januar 2012 Moin, folgendes (Labor)setup: Client(s) - Cisco 1841 -PPPoE- WAN - Cisco 871 - Server Kein NAT aktiv, es wird direkt gerouted. Keine öffentlichen IPs, da MPLS VPN. IOS Image: C1841-ADVIPSERVICESK9-M), Version 12.4(9)T5, Interface Config auf der 1841 ist Ideal Standard: WAN Seite interface FastEthernet0/0 description Uplink no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer1 description Uplink-Dialer ip address negotiated no ip redirects no ip proxy-arp ip mtu 1492 ip virtual-reassembly encapsulation ppp dialer pool 1 no cdp enable ppp pap sent-username <username> password <password> LAN Seite interface FastEthernet0/1 description LAN ip address 172.25.3.1 255.255.255.0 ip helper-address 172.25.0.2 ip mtu 1452 ip tcp adjust-mss 1452 duplex auto speed auto Sonst ist ausser Konsolenzugang und co. nichts konfiguriert. Auf der 871 sieht es mit entsprechend anderen IPs und ohne die IP Helper Adresse 1:1 genauso aus. Nun hab ich das Phänomen, dass ich am LAN der 1841 mit meinem Labornotebook (Win XP) wunderbar eine IP bekomme. Standardablauf: - DHCP Discover - DHCP Offer - DHCP Request - DHCP ACK Hänge ich stattdessen einen Analogtelefonadapter (Audiocodes MP-112), der in einer rein geswitchten Umgebung problemlos eine IP bekommt, bekommt dieser keine IP. Ich habe mir also den Traffic an 3 Stellen angesehen: 1. Am DHCP Server per Wireshark: Hier kommt das DHCP Discover an und es wird eine DHCP Offer geantwortet 2. Auf der WAN Seite der 1841 (Network TAP zwischen fa0/0 und der entsprechenden Gegenseite): Hier sehe ich auch sowohl Discover, als auch Offer 3. Auf der LAN Seite der 1841 (Network TAP zwischen fa0/1 und dem Audiocodes): Hier sehe ich NUR das Discover, nicht jedoch das Offer. Schlussfolgerung: Der DHCP Relay Agent der Cisco verschluckt irgendwie das Offer. Das einzige was ich an Unterschieden in den Offers ausmachen kann ist, dass - Windows als BootP Flag "Unicast" setzt - der Audiocodes als BootP Flag "Broadcast" verwendet Ansonsten scheint sich da nix zu unterscheiden. Testweise die 1841 gegen eine 871 zu tauschen hat ebensowenig eine Änderung gebracht wie die Kiste mal komplett zu aufzusetzen. Ein debug ip packet Detail gegen eine Access Liste die nur die UDP Ports 67 und 68 permitted zeigt übrigens, dass die Kiste im Audiocodes Fall der Meinung ist, dass sie das Offerpaket nicht bekommt, obwohl, es laut der Network TAP eine Kabellänge vor dem Router noch "im Kabel ist" :beagolisc Irgendjemand eine Idee? Mir gehen hier komplett die Ansätze aus... Gruß Dgr Zitieren
dgr243 Geschrieben 12. Januar 2012 Autor Geschrieben 12. Januar 2012 Ich bin ein wenig weitergekommen und mir ziemlich sicher einen IOS Bug gefunden zu haben -.- Das DHCP offer kommt ja an fa4 an. Was ich übersehen hatte: Ich sehe es da zweimal. Nämlich 1. das reinkommende und 2. einen ausgehenden Broadcast Heisst also, dass der Relay Agent hier einen mit BootP Flag Broadcast gesendeten DHCP Request zwar von LAN zu WAN weiterleitet, die Antwort aber auf demselben Interface auf dem das DHCP Offer reinkam wieder broadcasted. Jemand sowas schon gehabt? Der Vollständigkeit halber mal die ganze Konfig: router#sh run Building configuration... Current configuration : 3024 bytes ! ! No configuration change since last restart ! version 12.4 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! logging buffered 10000 debugging enable secret password ! aaa new-model ! aaa authentication login default local aaa authorization exec default local ! aaa session-id common ! resource policy ! clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ip cef ! no ip domain lookup ip domain name labor.local ! no spanning-tree vlan 1 no spanning-tree vlan 334 username hans password wurst ! interface FastEthernet0 switchport access vlan 334 ! interface FastEthernet1 switchport access vlan 334 ! interface FastEthernet2 switchport access vlan 334 ! interface FastEthernet3 switchport access vlan 334 ! interface FastEthernet4 description Uplink no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 no ip address ! interface Vlan334 description Kunden-LAN ip address 172.25.3.1 255.255.255.0 ip helper-address 172.25.0.2 no ip redirects no ip proxy-arp ip tcp adjust-mss 1452 ! interface Dialer1 description Uplink-Dialer mtu 1492 ip address negotiated encapsulation ppp dialer pool 1 no cdp enable ppp pap sent-username user@realm password password ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! ! no ip http server no ip http secure-server ! logging trap debugging logging facility local2 access-list 90 remark Reglementiert den SNMP-Zugriff access-list 154 permit udp any any eq bootps access-list 154 permit udp any any eq bootpc access-list 199 remark Reglementiert den Telnet- und SSH-Zugriff access-list 199 permit tcp x.y.z.0 0.0.0.255 any log-input access-list 199 permit tcp a.b.c.0 0.0.0.255 any log-input access-list 199 permit tcp d.e.f.g 0.0.0.3 any log-input access-list 199 permit tcp h.i.0.0 0.0.255.255 any log-input access-list 199 remark Reglementiert den Telnet- und SSH-Zugriff snmp-server community community RW 90 snmp-server ifindex persist snmp-server location router snmp-server enable traps snmp linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps flash insertion removal snmp-server enable traps config-copy snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps hsrp snmp-server enable traps cpu threshold ! control-plane ! line con 0 logging synchronous no modem enable line aux 0 line vty 0 4 access-class 199 in exec-timeout 120 0 transport input telnet ssh escape-character 27 ! scheduler max-task-time 5000 ntp clock-period 17183647 ntp server a.b.c.d ntp server e.f.g.h end Was funktioniert ist, dass der Broadcast im LAN landet, sobald ich den Dialer auf ip unnumbered vlan1 (statt ip address negotiated) setze. Allerdings hat ip unnumbered ja doch einige andere Bugs, so dass das für einen Livebetrieb nicht in Frage kommt *seufz* dgr Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.