Здравствуйте!

Есть следующая конфигурация - 3560G в качестве ядра и 2960-е в качестве доступа. 2960-е подключены в 3560-ю двумя гиговыми линками каждая.
На 2960-х настроен dhcp snooping с trusted на аплинках. На 3560 настроен dhcp snooping с trusted на линках к DHCP-серверам.
Всё работало, пока я не собрал линки между ядром и доступом в port-channel'ы. После этого клиенты перестали получать адреса. Изменение типа агрегирования ничего не меняет. Если выключить dhcp snooping на 3560, всё работает.

В чём может быть проблема?

Конфиг 2960:
interface GigabitEthernet0/1
switchport mode trunk
channel-group 1 mode on
ip dhcp snooping trust
end

interface Port-channel1
switchport mode trunk
ip dhcp snooping trust
end

Конфиг 3560:

interface GigabitEthernet0/51
description link-to-2960-01
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 7 mode on
end

interface Port-channel7
switchport trunk encapsulation dot1q
switchport mode trunk
end

interface GigabitEthernet0/4
description link to dhcp server
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
end

• DHCP snooping + port-channel,eek, 14:53 , 23-Июн-14
  • DHCP snooping + port-channel,ssvictors, 15:27 , 23-Июн-14
• DHCP snooping + port-channel,Virtual77, 15:21 , 23-Июн-14
  • DHCP snooping + port-channel,ssvictors, 15:29 , 23-Июн-14
    • DHCP snooping + port-channel,Virtual77, 15:50 , 23-Июн-14
      • DHCP snooping + port-channel,ssvictors, 16:06 , 23-Июн-14
        • DHCP snooping + port-channel,Virtual77, 17:35 , 23-Июн-14
          • DHCP snooping + port-channel,Virtual77, 18:02 , 23-Июн-14
        • DHCP snooping + port-channel,Virtual77, 17:39 , 23-Июн-14

https://supportforums.cisco.com/discussion/9977266/etherchan...

> https://supportforums.cisco.com/discussion/9977266/etherchan...

Никакой новой информации не нашёл. Баг, о котором упоминается в тексте, закрыт и вообще в 12-м иосе(у нас 15-й).

>[оверквотинг удален]
> interface Port-channel7
>  switchport trunk encapsulation dot1q
>  switchport mode trunk
> end
> interface GigabitEthernet0/4
>  description link to dhcp server
>  switchport trunk encapsulation dot1q
>  switchport mode trunk
>  ip dhcp snooping trust
> end

все портчанелы на всех свичах в трасты засунь

ip dhcp snooping trust

>[оверквотинг удален]
>>  switchport mode trunk
>> end
>> interface GigabitEthernet0/4
>>  description link to dhcp server
>>  switchport trunk encapsulation dot1q
>>  switchport mode trunk
>>  ip dhcp snooping trust
>> end
> все портчанелы на всех свичах в трасты засунь
> ip dhcp snooping trust

Уточню, po7 это линк к 2960-й, не к серверу.

>[оверквотинг удален]
>>> end
>>> interface GigabitEthernet0/4
>>>  description link to dhcp server
>>>  switchport trunk encapsulation dot1q
>>>  switchport mode trunk
>>>  ip dhcp snooping trust
>>> end
>> все портчанелы на всех свичах в трасты засунь
>> ip dhcp snooping trust
> Уточню, po7 это линк к 2960-й, не к серверу.

в трасты нужно засунуть порты сервера и все линковочные порты между оборудованием, в том числе и портчанелы
так что порты(и портчанелы) между каталистами тож в трасты запихни

>[оверквотинг удален]
>>>>  switchport trunk encapsulation dot1q
>>>>  switchport mode trunk
>>>>  ip dhcp snooping trust
>>>> end
>>> все портчанелы на всех свичах в трасты засунь
>>> ip dhcp snooping trust
>> Уточню, po7 это линк к 2960-й, не к серверу.
> в трасты нужно засунуть порты сервера и все линковочные порты между оборудованием,
> в том числе и портчанелы
> так что порты(и портчанелы) между каталистами тож в трасты запихни

Тогда можно снупинг вообще отключать, зачем он нужен в таком случае? К тому же, снупинг ограничивает ответ DHCP-сервера из нетраста, а DHCP-порты у меня в трасте, из нетраста приходит только клиентский запрос.

>[оверквотинг удален]
>>>>> end
>>>> все портчанелы на всех свичах в трасты засунь
>>>> ip dhcp snooping trust
>>> Уточню, po7 это линк к 2960-й, не к серверу.
>> в трасты нужно засунуть порты сервера и все линковочные порты между оборудованием,
>> в том числе и портчанелы
>> так что порты(и портчанелы) между каталистами тож в трасты запихни
> Тогда можно снупинг вообще отключать, зачем он нужен в таком случае? К
> тому же, снупинг ограничивает ответ DHCP-сервера из нетраста, а DHCP-порты у
> меня в трасте, из нетраста приходит только клиентский запрос.

точно не обратил внимания что это вышестоящий каталист и там не нужно включать аплинк в доверенные порты.
Хотя при физической кольцевой топологии сети приходилось все аплинки в доверенные ставить по крайней мере на уровне доступа точно это приходилось делать.

>[оверквотинг удален]
>>> в трасты нужно засунуть порты сервера и все линковочные порты между оборудованием,
>>> в том числе и портчанелы
>>> так что порты(и портчанелы) между каталистами тож в трасты запихни
>> Тогда можно снупинг вообще отключать, зачем он нужен в таком случае? К
>> тому же, снупинг ограничивает ответ DHCP-сервера из нетраста, а DHCP-порты у
>> меня в трасте, из нетраста приходит только клиентский запрос.
> точно не обратил внимания что это вышестоящий каталист и там не нужно
> включать аплинк в доверенные порты.
> Хотя при физической кольцевой топологии сети приходилось все аплинки в доверенные ставить
> по крайней мере на уровне доступа точно это приходилось делать.

твой вариант?
http://packetpushers.net/ccnp-studies-configuring-dhcp-snooping/

>[оверквотинг удален]
>>>>> end
>>>> все портчанелы на всех свичах в трасты засунь
>>>> ip dhcp snooping trust
>>> Уточню, po7 это линк к 2960-й, не к серверу.
>> в трасты нужно засунуть порты сервера и все линковочные порты между оборудованием,
>> в том числе и портчанелы
>> так что порты(и портчанелы) между каталистами тож в трасты запихни
> Тогда можно снупинг вообще отключать, зачем он нужен в таком случае? К
> тому же, снупинг ограничивает ответ DHCP-сервера из нетраста, а DHCP-порты у
> меня в трасте, из нетраста приходит только клиентский запрос.

покажи полные конфиги.
и дебаг с обоих каталистов тоже давай сюды