Пакеты "DHCP Inform" идут "не в ту сторону&qu

[Сергей Дубров]

Ситуация: есть клиентские рабочие станции Win2000/XP, с двумя сетевыми интерфейсами - один (A) смотрит в общую сеть, второй (B) - в изолированный сегмент (к нему подключаются самодельные приборы с Ethernet-ами и т.п.). Все настройки в общей сети раздаются централизованно, с помощью DHCP.

Проблема: стал замечать у себя в в общей сетке "левые" DHCP пакеты. Посниферив, нарыл следующее:

Это UDP бродкастные пакеты "DHCP Inform" у которых:

а) source MAC = MAC A (правильно)
б) IP = IP интерфейса B (?!)
в) в поле 'Bootp flags' Client MAC address = MAC B (?!)
г) в поле Option запрашиваются опции SLP 78 (DA) и 79 (Scope).

Ощущение такое, что как бы перепутаны интерфейсы и запрос 'DHCP Inform', который должен был уйти в интерфейс B, с его MAC-ом и его IP, вместо этого возникает на интерфейсе A, с MAC-ом A, но IP интерфейса B (в данном конкретном случае 192.168.1.1). С указанием внутри запроса клиентского MAC-а интерфейса B.

Поскольку в 'DHCP Inform' присутствует запрос на SLP опции, я и решил спросить у общественности - ести ли какие-то особенности работы SLP на машинах с несколькими интерфейсами? Сейчас подумал - ведь очень похоже, что из-за того, что есть привязка новеловского клиента на оба интерфейса, второй интерфейс (B, изолированный) тоже "хочет" знать про SLP и шлёт 'DHCP Inform' через интерфейс A, который и получал настройки от DHCP-сервера.

Сейчас хозяин притащит машину, поразбираюсь, потом расскажу - самому интересно стало.

[Павел Гарбар]

Раз есть SLP, то он "хочет" знать все о сети по всем интерфейсам. А чтоб он "лишних" вопросов не задавал - настрой те опции, о которых он спрашивает.

[Dimerson]

Я наблюжал нечто подобное :

есть ноут - на нем несколько IP адресов(на одной сетевухе):например
192.168.x.x 172.16.y.y (вбиты в винду именно в этом поряке)

причем первый из локалки

так вот - SLP садится на второй IP и не находит DA по DHCP (это после SP5 для последнего клиента) - об этом я тут уже писал . Причем где-то этот эффект есть а где-то нет.

помогает прописать агента статически. или оставить 1 адрес.

[Сергей Дубров]

Раз есть SLP, то он "хочет" знать все о сети по всем интерфейсам. А чтоб он "лишних" вопросов не задавал - настрой те опции, о которых он спрашивает.

Опции давным-давно настроены и раздаются по DHCP уже не первый год. Вопрос в другом - какого лешего в общую сеть засылается 'DHCP Inform' запрос с IP-адресом и 'Client MAC address-ом' второго интерфейса? С которого - внимание! - удалены все привязки M$-сети и новеловского клиента!

Т.е., в моей терминологии, изолированный интефейс B, у которого настройки (IP) прописаны вручную, зачем-то, используя интерфейс A (общая сеть), интересуется у DHCP-сервера опциями 78 и 79. Напоминаю - привязка новеловского клиента к интерфейсу B отсутствует - и зачем в этом случае интерфейсу B выяснять какие там в "чужом" сегменте SLP DA и SLP Scope? Логики не вижу, ведь никакого новеловского трафика на интерфейсе B нет и не будет.

Сегодня целый развлекались с этой проблемой - бесполезно. Достаточно сделать интерфейсу B (изолированному) down/up - и в общую сеть (через интерфейс A) излучается четыре пакета 'DHCP Inform' с IP (Client MAC address-ом') интерфейса B. И ещё я вижу малтикасты SLP в сегменте B-интерфейса (по slpdinfo /all) - ЗАЧЕМ они туда излучаются? Ведь новеловский клиент ОТВЯЗАН от B. И я вижу совершенно непонятные и ненужные 'DHCP Inform' от имени B в "чужом" сегменте. Очень похоже на ошибку в дизайне логики SLP.

UPD:Похоже, я был прав насчёт кривости дизайна SLP:
"You can try removing the NetWare Client binding on eth1, however
I'm not sure if that would stop SLP traffic from leaving that interface."

http://forums.novell.com/novell-product ... tions.html

[Dimerson]

Я о том и говорил ранее = SLP в клиенте SP5 может сесть не на тот интерфейс (IP)

[Сергей Дубров]

Я о том и говорил ранее = SLP в клиенте SP5 может сесть не на тот интерфейс (IP)

Это не мой случай - у меня SLP работает правильно, никаких проблем с привязкой не на тот интерфейс мы не испытываем. Проблема в том, что 'DHCP Inform' бродкасты, генерируемые от имени второго интерфейса, лезут в общую сеть, используя транзитом первый интерфейс. Это проверялось на клиентах разных версий - 4.91SP4, 4.83SP2, 4.91SP5 - со всеми версиями одно и то же.

[Timur Kazimirov]

Проблема в том, что 'DHCP Inform' бродкасты, генерируемые от имени второго интерфейса, лезут в общую сеть, используя транзитом первый интерфейс. Это проверялось на клиентах разных версий - 4.91SP4, 4.83SP2, 4.91SP5 - со всеми версиями одно и то же.

Сдается мне, что не новелловский клиент тут виноват. Есть у нас один один сервак лотусовый под виндой W2K с двумя физическими интерфейсами совершенно разной адресации (роутинга нет) и смотрящими в разные VLANы - часто подобное наблюдаю, причем не только DHCP Inform. Что интересно - именно второй, поднятый позже, лезет через первый, обратной ситуации не наблюдал (пока).

[Сергей Дубров]

Проблема в том, что 'DHCP Inform' бродкасты, генерируемые от имени второго интерфейса, лезут в общую сеть, используя транзитом первый интерфейс. Это проверялось на клиентах разных версий - 4.91SP4, 4.83SP2, 4.91SP5 - со всеми версиями одно и то же.

Сдается мне, что не новелловский клиент тут виноват. Есть у нас один один сервак лотусовый под виндой W2K с двумя физическими интерфейсами совершенно разной адресации (роутинга нет) и смотрящими в разные VLANы - часто подобное наблюдаю, причем не только DHCP Inform. Что интересно - именно второй, поднятый позже, лезет через первый, обратной ситуации не наблюдал (пока).

Возможно, что здесь сошлось несколько косяков - вендовый TCP-стек - та ещё штука. Но в данном конкретном случае без участия Новела тоже не обошлось - ведь в 'DHCP Inform' идут запросы на SLP DA и SLP Scope, без новеловского клиента на машине ничего такого не происходит.

Что ещё заметил - если второй интерфейс (локальный, B) оставить с настройками по умолчанию (получение адреса по DHCP), то никаких "левых" 'DHCP Inform' не появляется, B получает свой 169.254.x.x (APIPA) - и в чужом сегменте не шумит (в его сегменте DHCP-сервера нет). Как только руками прописываешь ему адрес - тут же генерятся 'DHCP Inform' запросы в чужую подсеть, с IP, который только что назначили интерфейсу B.

[Сергей Дубров]

Пошарил тут на означенную тему в инете, пообщался с некоторыми товарищами и пришёл к выводу, что новел тут, похоже, действительно не при чём, виновата реализация TCPIP-стека в венде. Ведь в чём состоит идея 'DHCP Inform'? Если станции нужны узнать некоторые дополнительные опции, которые она не получает в основном DHCP-ответе, то она оформляет запрос на нужные опции в виде дополнительных 'DHCP Inform' запросов. Т.к. в нашем случае этими дополнительными опциями оказались SLP DA и SLP Scope, то именно их венда запрашивала у известного ей DHCP-сервера. Но запрашивала она это для всех известных в системе интерфейсов и, т.к. в изолированном сегменте (B) никакого DHCP-сервера нет (настройки там сделаны вручную), "умная" венда лезла в сегмент, где есть DHCP-сервер, от имени другого интерфейса.

Вот написал - и засомневался - у нас практически на всех машинах стоит галочка "Automatically detect settings" в настройках IE, а IE первым делом как раз пытается определить координаты WPAD у DHCP-сервера (опция 252), а потом, если не получилось, спрашивает у DNS. Но я ни в одном принятом 'DHCP Inform' пакете, сгенерённым от имени "чужого" интерфейса, ни разу не видел запросов опции 252 - только 78 и 79.

Короче, надо проводить натурный эксперимент...

[Timur Kazimirov]

Сейчас глянул, ради интереса, в логи нашего dhcpd - от этого лотусового сервака идут не через свой интерфейс просто DHCP Inform - без всяких опций. Плюс еще левые UDP-пакеты с целевым назначением идущие не через тот интерфейс... Надо бы действительно подетальнее разобраться с этой штукой. Не анноит, разумеется, но причину знать хотелось бы - мало ли что.

[Павел Гарбар]

Было у меня сомнение в виноватости новелловского клиента, но дома не проверить потому я и затих...
Зато вы подняли другую проблему, которую как раз дома я и наблюдаю: ADSL-модем, подключенный по USB, представляется системе как LAN-адаптер. Ему присвоен статический IP-адрес из 192.168.x.x, DNS-серверы прописаны руками. Так вот эта нехорошая редиска каждый раз пишет "Получаю IP-адрес"... И иногда на этом не успокаивается, а донимает анимированной иконкой в трее - типа все еще получает адрес...