Problème de VLAN et DHCPRésolu/Fermé

Question

Bonjour a tous, 

j'administre depuis peu un réseau avec plusieurs vlans et plusieurs switch dont un 3750, et depuis hier alors que je n'ai procédé a aucune modification une de mes vlans (10.0.8.0/24) ne marche plus (aucune addresse ip attribuée au client quelque soit le port ou le switch qui reçoit cette Vlan et la passerelle par default indique 192.168.1.1). Cette vlan est une vlan invité qui permet aux gens de passages de pouvoir accéder a internet sans pour autant avoir accès aux ressources intranet. Mon serveur DHCP a donc pour cette étendue la configuration suivante: 
10.0.8.0/24 
DNS et NAME server pointe sur mon firewall qui fait aussi fonction de NAT 
Passerelle par default 10.0.8.254 (addresse de l'interface VLAN 8, qui est celle qui pose problème)

A priori le relai dhcp (j'ai utilisé la commande IP helper-address sur mon switch) et pointe sur ces 2 addresses  10.0.0.1 et 10.0.0.3

j'ai tourner dans tous les sens le fichier conf de mon switch et rien n'y fait, donc je suis dans l'espoir d'un peu aide par les pros qui visitent ce site !

Un peu d'aide sera apprécier car je galère dur!

Si vous avez besoin de + n'hésiter pas et je complémenterais

kimojo · Answer

Tu pourrais donner un adresse fixe a un pc dans ce vlan avec toutes les caractéristiques (passerelle par défaut, dns...) et faire des tests pour voir si ça marche comme ça.
Ainsi on pourra voir si c'est un problème dhcp ou si c'est autre chose.

JeromeTechie · Answer

J'ai deja testé çà marche avec une addresse IP fixe, je comprends pas ce qui se passe! Je me sens bête sur ce problème! merci de ta réponse depuis le temps que je planche j'ai vraiment besoin qu'on m'éclaire!

kimojo · Answer

C'est quoi ton schéma reseau rapidement
machine==>switch==>routeur==>switch==>serveur dhcp ?

JeromeTechie · Answer

ok j'ai un environnement AD avec differents services microsoft serveur fichier exchange dhcp ect, les utilisateurs de l'entreprise sont donc sur la VLAN 2 qui se trouve sur la meme VLAN que celle du serveur DHCP! J'ai une VLAN pour la VOIP cisco call manager VLAN 10. Une VLAN invité pour les invités leur permettant accès a internet VLAN 8. Mon backbone est un 3750 configurer en serveur VTP, j'ai 3 switchs 3560 relié par des liens fibres  dont les ports sont trunker sur le 3750 qui sont des VTP clients et quelques 2950.

donc l'archi client>3750>serveur DHCP

Le 3750 est un switch de niveau 3 je pense tu le sais mais je précise pour les autres qui peuvent nous lire!

PS: jai simplifier en connectant mon PC administration direct sur le backbone avec un port configurer sur cette VLAN pour éliminer les autres facteurs au minimum.

JeromeTechie · Answer

Tu veux le fichier conf?

kimojo · Answer

Ce que tu pourrais faire:
Tu télécharges wireshark sur ton pc.
Tu fais un port miroir entre le port sur lequel est branché le pc qui doit recevoir sa conf ip et un autre port ou tu vas branché ton pc.
Tu lances wireshark
tu branche le pc qui doit  recevoir l'ip et tu me dis ce que tu vois au niveau dhcp sur wireshark.

JeromeTechie · Answer

ok j'ai télécharger wireshark. par contre j'ai pas compris la manoeuvre qui suit ne connaissant pas ce logiciel et étant loin d'être un soldat aguerri a ce genre d'exercice.

kiki · Answer

Bonjour,

Si le serveur DHCP (sur windows) se trouve dans le VLAN2. il faut vérifier les ACL que ca passe sur les ports TCP/UDP67/68 entre le VLAN8 et le serveur sur le VLAN2 (DHCP relai en plus).
Ou alors que la porte sur le serveur DHCP est bien dans le VLAN8.
Ca peut n'être pas trés sécurisé si le VLAN8 est vraiment ouvert.

A mon avis votre 3750 doit disposer d'un serveur DHCP, utilisez plutot celui-la pour le VLAN8.
=> https://com.com

Cordialement,

kimojo · Answer

L'idée c'est de capturer ce qu'il se passe sur le port du switch rattaché au pc qui veut avoir une ip.
Donc ton switch vas copier/coller ce qu'il se passe sur cette interface.
Ainsi tu vas pouvoir savoir d'ou vient le problème.

Donc sur ton switch tu vas faire un port mirror.
La configuration devrait ressembler à ça :
En mode conf : 
monitor session 2 source interface Fa0/7 ==> port a espionner donc le port qui relie le switch au pc qui doit recevoir l'adresse en dhcp
monitor session 2 destination interface Fa0/6  ==> port qui reçois donc le port qui relie le switch a ton pc

ensuite sh monitor pour vérifier.

Une fois que c'est fait tu lances wireshark sur ton pc.
Tu branches le pc qui doit recevoir une adresse ip au switch sur le port qu'on espionne.

Ensuite tu me dis ce que tu vois sur wireshark au niveau des trames dhcp

JeromeTechie · Answer

Ok avant tou merci de me répondre et pour ton aide, j'ai pas beaucoup l'habitude d'être aidé et le temps que tu passes a le faire me touche.

Ok j'ai donc suivi tes instructions j'ai monitor le port 18 sur le port 12 ensuite j'ai branché mon pc sur le port 12, par cotnre je ne suis pas sur de l'info dont tu as besoin, j'ai vu une option boot dhcp dans wireshark est-ce que c'est l'information que tu recherches?

kimojo · Answer

Non ce n'est pas ça.
Si j'ai bien compris tu as fait ça : 
monitor session 2 source interface Fa0/18 
monitor session 2 destination interface Fa0/12
Tu branches ton pc sur le port 12.

Maintenant tu lances wireshark sur ton pc puis capture==>interfaces==>tu clic sur le start de l'interface réseau.
Ensuite tu branches le pc qui doit obtenir une adresse ip.

Sur wireshark, tu devrais voir des demandes dhcp.
Il faudrait que tu me donnes les trames dhcp que tu vois (dhcp request...).

JeromeTechie · Answer

ok excuses moi pour le temps de réponse, petit soucis!

Bon premier problème je me connecte au port 12 déjà pas de connection, je me tape Ipconfig et la adresse IP autoconfigurer -_- ca commence bien!

kimojo · Answer

Tu mets une adresse ip fixe sur ton pc.

Petite question : tu arrives à ping ton serveur dhcp ?

JeromeTechie · Answer

ok première réponse donc sur ma vlan qui pose soucis, en dynamique bien évidement pas moyen de pinger le DHCP, en statique oui possible. Sur le port 12 avec lequel on recoit le mirroring Dynamique ou statique pas moyen de pinger quoi que se soit. Avec une adresse IP statique il cherche le serveur dns et la gateway mais comme je peux pas pinger quoi que ce soit ca donne rien avec le dhcp discover.

Je vais poster la conf de mon swith a tout hasard et me sentant de plus en plus bete au fur et a mesure que le temps passe. Tu verras que suite a mon problème avec la vlan 8 j'ai décidé de creer une vlan toute neuve vlan 15 pour laquelle j'ai creer une étendue sur mon serveur dhcp 10.0.15.0/24 qui fonctionnait bien apres l'avoir creer mais apres mêtre deconnecter et reconnecter meme probleme que sur la vlan8, et c'est donc sur cette vlan que je procede aux tests, elle a la meme conf dhcp que l autre et j'ai volontairement pas configurer d access liste pour isoler le probleme.

JeromeTechie · Answer

!
!
interface GigabitEthernet1/0/1
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet1/0/2
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet1/0/3
 switchport access vlan 2
 switchport trunk encapsulation dot1q
 switchport mode access
!
interface GigabitEthernet1/0/4
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/5
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/6
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet1/0/7
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/8
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/9
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/10
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/11
 switchport access vlan 15
 switchport mode access
!
interface GigabitEthernet1/0/12
 switchport access vlan 2
 switchport mode access
!
interface GigabitEthernet1/0/13
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/14
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/15
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/16
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/17
 switchport access vlan 2
 switchport trunk encapsulation dot1q
 switchport mode access
!
interface GigabitEthernet1/0/18
 switchport access vlan 15
 switchport mode access
!
interface GigabitEthernet1/0/19
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/21
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/22
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/23
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/25
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/26
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/27
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/28
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Vlan1
 ip address 10.0.253.254 255.255.255.0 secondary
 ip address 10.0.253.1 255.255.255.0
!
interface Vlan2
 ip address 10.0.0.254 255.255.254.0
!
interface Vlan8
 ip address 10.0.8.254 255.255.255.0
 ip access-group 108 in
 ip access-group 108 out
 ip helper-address 10.0.0.3
 ip helper-address 10.0.0.1
!
interface Vlan9
 ip address 10.0.9.254 255.255.255.0
 ip helper-address 10.0.0.3
 ip helper-address 10.0.0.21
!
interface Vlan10
 ip address 10.0.10.254 255.255.255.0
 ip helper-address 10.0.0.3
 ip helper-address 10.0.0.1
!
interface Vlan15
 ip address 10.0.15.254 255.255.255.0
 ip helper-address 10.0.0.1
 ip helper-address 10.0.0.3
!
interface Vlan254
 ip address 10.0.254.253 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.254.254
ip http server
ip http authentication aaa login-authentication default
ip http secure-server
!
!
!
ip sla 1
 icmp-echo 10.0.254.201
ip sla schedule 1 life forever start-time now
ip sla 2
 icmp-echo 10.0.254.254
ip sla schedule 2 life forever start-time now
ip sla 3
 http get https://www.google.com/?gws_rd=ssl proxy http://10.0.254.201:80
ip sla schedule 3 life forever start-time now
ip sla 4
 http get https://www.google.com/?gws_rd=ssl proxy http://10.0.254.254:80
ip sla schedule 4 life forever start-time now
logging 10.0.9.2
access-list 108 permit ip 10.0.8.0 0.0.0.255 host 10.0.10.5
access-list 108 permit ip 10.0.8.0 0.0.0.255 host 10.0.0.51
access-list 108 permit ip 10.0.8.0 0.0.0.255 host 10.0.0.81
access-list 108 deny   ip 10.0.8.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 108 deny   ip 10.0.8.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 108 deny   ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255
access-list 108 deny   ip 10.0.8.0 0.0.0.255 10.0.253.0 0.0.0.255
access-list 108 deny   ip 10.0.8.0 0.0.0.255 10.0.9.0 0.0.0.255
access-list 108 permit ip any any
access-list 130 deny   tcp any any neq www
access-list 130 deny   tcp host 10.0.254.201 any
access-list 130 deny   tcp host 10.0.0.44 any
access-list 130 permit tcp any any
route-map 130 permit 10
!
route-map alpha permit 10
 match ip address 130
 set ip next-hop verify-availability 10.0.254.201 10 track 123
 set ip next-hop verify-availability 10.0.254.254 20 track 124
!
snmp-server community FSPMP RO
snmp-server community FSPMP@es0 RO
snmp-server location Perseides
snmp-server enable traps license
radius-server host 10.0.0.51 auth-port 1645 acct-port 1646
radius-server host 10.0.0.40 auth-port 1645 acct-port 1646
radius-server key tYSt^LsVT+3My43$v9Fj
!
control-plane
!
privilege exec level 2 enable
!
line con 0
 privilege level 2
 login authentication if_needed
line vty 0 4
 *********
 length 0
line vty 5 15
 *********
!
!
monitor session 2 source interface Gi1/0/18
monitor session 2 destination interface Gi1/0/12
ntp clock-period 36029268
ntp server 10.0.0.71 key 0 prefer
end

kimojo · Answer

Ok donc la je vais y aller donc je ne posterais plus avant demain.

Avant de partir :

Qu'es ce que wireshark ta donné au niveau dhcp quand tu as fait ta capture ?
Vu que ça ne marche pas du devrait normalement voir une trame dhcp discover (pas obliger) et dhcp request.

Sur quel port ton serveur dhcp est ?

Une fois le test fait sur le mirror du port 12 essaye avec le port du serveur dhcp. Tu débranche rebranche le client dhcp et tu regarde du coup sur wireshark sur le port du serveur reçoit bien la demande dhcp.
Si ce n'est pas le cas c'est que c'est le switch qui déconne et pas le serveur.

Si c'est bien le cas, c'est à dire que le serveur dhcp ne reçoit pas de trames je me pose une question.
Comment ça se fait que je ne trouve pas de ligne ip helper-address dans le le vlan 2.

Voial quelque piste pour cette fin d'après midi :)

JeromeTechie · Answer

Bonjour :),

Merci pour tes petites infos hier, alors mon serveur dhcp est sur le port 3 et c'est pour çà que je n'ai pas mit de ip helper-address sur la vlan 2 puisque le serveur dhcp se trouve sur cette vlan.

J'ai éssayé de me documenté sur wirehsark étant totallement novice dans ce domaine comme dans biens d'autres apparement, parce que lorsque je branchais mon cable réseau et je démarrais wireshark j'étais vraiment submergé par les logs. J'ai donc essayé d'appliqué un filtre (bootp qui monitor les ports 67 et 68 par lesquels passent le traffic DHCP si j'ai bien suivi) qui apparement est sensé me trié seulement les log DHCP offer discover ect.
J'ai fait un test sur un port normal en vlan 2 en faisant ipconfig /release ipconfig /renew et j'ai bien les trames dhcp discover offer ect qui s'affichent dans wireshark.

En revanche j'ai pas grand chose quand je me mets sur le port 12 (le port sur lequel on a forwarder le mirroring du port 18) sans taper de commande dans cmd.

Je sais pas trop si je fais bien et je te demande par avance de bien vouloir m'excuser car je dois bien reconaitre que la je suis loin d'être doué.

Je vais continué a faire des test le temps que tu eclaircisses mes lumières de novice :)

JeromeTechie · Answer

Donc tjs avec ce même filtre sur le port 11 (vlan 15 sans mirroring) en adressage statique pas de traffic dans wireshark quelque soit la commande ipconfig réalisé. Par contre j'ai une connection réseau et je peux pinger le serveur DHCP.

Toujours sur le port 11 mais en mettant le client en adressage dynamique (je vais poster des liens de screenshots ca sera plus simple)

http://tinypic.com/images/goodbye.jpg

JeromeTechie · Answer

Voila ce que çà affiche quand je me mets sur le port 10 qui est configurer sur la vlan 2 et le poste client en adressage dynamique

http://tinypic.com/images/goodbye.jpg

JeromeTechie · Answer

Voila pour le port 12 en adresage dynamique sachant que le même port en statique n'a pas de connection réseau et n'envoit aucune trame dans wireshark (en gardant le même filtre bien sur)

http://tinypic.com/images/goodbye.jpg

kimojo · Answer

Bonjour,

En ce matin j'ai des petites doutes :)

La machine qui doit recevoir un adresse ip par dhcp elle est bien sur le port 18 ?

Et ton pc sur le 12 

En fait je te demande ça parce que tes post juste avant tu fais des test sur le 12,10,11 donc je ne comprend plus trop.

Oui le filtre bootp est bon

tu pourrais me donner ce que te donne wireshark avec ça :
monitor session 2 source interface Fa0/18
monitor session 2 destination interface Fa0/12 

En faisant biensur la petite manip brancher le pc qui doit recevoir une ip sur le port 18....

c'est qui 10.0.0.1 ?
A ce que j'ai compris 10.0.0.3 c'est ton serveur dhcp qui est sur le port 3

tu pourrais me donner ce que te donne wireshark avec ça : 

monitor session 2 source interface Fa0/3
monitor session 2 destination interface Fa0/12

JeromeTechie · Answer

Bon je vais essayer d'éclaircir les zones d'ombres, j'ai 2 serveurs dhcp (qui sont aussi controleur de domaine faute de moyen dans l immediat xD) j'ai suivi la règle 2 tiers 1 tier pour les étendus sur chaque serveur pour que si l'un tombe en rade l'autre lui succede.

Donc pour les tests ai je fait ce qu'il fallait et si oui ce que tu aimerais maintenant c'est que j'enlève le monitor du port 18 et que je monitor le port 3 sur le port 12 c'est ca?

kimojo · Answer

Avant ça j'aimerais avoir des éclairsissement.

Port 3 : 10.0.0.3 serveur dhcp vrai ou faux ?
10.0.0.1 sur quel port ?
Port 12 : client dhcp qui n'obtient pas d'adresse ?
Port 18 : ton pc ?

JeromeTechie · Answer

oui j'ai fait les test avec wireshark sur le port 10 car il est sur une vlan qui marche avec le serveur DHCP donc je voualis voir le resultat sur le port 11 car il est sur la vlan 15 qui marche pas en dynamique mais qui marche en statique et sur le port 12 car c'est lui qui recoit le monitoring du port 18.

kimojo · Answer

Ton oui c'est pour laquelle de mes 4 questions :)

Si c'est bien ton pc sur le port 18, je ne comprend pas pourquoi le monitoring est bon puisque ça devrait être ça :

monitor session 2 source interface Fa0/12
monitor session 2 destination interface Fa0/18

A moins que tu ai corrigé toi même.

JeromeTechie · Answer

ok port 3 = 10.0.0.1 (premier serveur DHCP)

10.0.0.3 (2eme serveur dhcp) = au port 8 sur un autre switch (cisco 2950)

port 18 c'est celui sur lequel mon pc etait branché en vlan 15 qui ne recevait pas d adresse dhcp et qu on a mit en monitor forwarder vers le port 12 sur lequel j'ai ensuite brancher mon pc et lancé wireshark

kimojo · Answer

Il n'y a un truc qui n'est pas clair :

port 18 c'est celui sur lequel mon pc etait branché en vlan 15 qui ne recevait pas d adresse dhcp et qu on a mit en monitor forwarder vers le port 12 sur lequel j'ai ensuite brancher mon pc et lancé wireshark


Ton pc il est sur le 12 ou le 18 ? La j'ai l'impression que tu le bouge d'un port à l'autre

JeromeTechie · Answer

attends je suis largué hier on a fait l inverse ona monitor session 2 source int gi1/0/18 >>>>> monitor sessions 2 destination gi1/0/12 

après ca ons'est branché physiquement sur le port 12 et lancé wireshark j'ai fait le bazarre a l envers?

JeromeTechie · Answer

oui j'ai effectivement bougé entre le 10 11 et 12 pour faire les tests que je t ai montré j'ai pas branché sur le port 18 depuis qu on la mit en monitoring par contre.

kimojo · Answer

:)
En fait le principe c'était que tu ais un pc sur le 18 et un pc sur le 12 :)
Du coup si c'est le même pc que tu bouge, le port mirror il n'est sert à rien :)

JeromeTechie · Answer

LOL ok me faut donc 2 pc un branché sur le port 12 et un branché sur le 18 je vais aller chercher un 2 eme laptop ahahah! je me disais bien pourquoi y a pas de traffic du port miroir :( !

kimojo · Answer

En fait pour les test que tu as fait c'est bon, tu n'a pas vraiment eu besoin mais j'aurais aimé faire un miroir sur le port du serveur dhcp pour voir si il recevait les demandes.

JeromeTechie · Answer

je vais te faire ca la je suis en train de démarrer le 2eme laptop sur le port 18 et va falloir que je mette celui la sur le port 12

kimojo · Answer

Ok donc on va appeler le pc sur le port 12 pc1.
Le pc sur le port 18 pc2.

monitor session 2 source interface Fa0/12
monitor session 2 destination interface Fa0/18 

wireshark démarré sur le pc2.

Débranche rebranche (ou /renew) le pc1.
Envoi la capture

monitor session 2 source interface Fa0/10
monitor session 2 destination interface Fa0/18 

Débranche rebranche (ou /renew) sur le pc port 10.
Envoi la capture

monitor session 2 source interface Fa0/3
monitor session 2 destination interface Fa0/18 

Débranche rebranche (ou /renew) le pc1.
Envoi la capture

JeromeTechie · Answer

ok excepté que j ai monitor le port 18 sur le port 12 (inverse de ce que tu viens juste de dire c'est fait.

http://tinypic.com/images/goodbye.jpg

Premier truc bizarre je branche le pc je le démarre il obtient une adresse depuis le serveur dhcp. Je release et renew et c'est le switch qui répond a la requête et qui me donne un lease bidon aka 192.168 taratata

est ce que je dois enelever le monitor précédent pour monitor le port 3? ou je peux faire les 2? et pareil pour le port 10 enlever les manip du monitor précédent ou laisser comme ca et ca me renverra tout sur le 12 en cascade?

kimojo · Answer

Comment ça l'inverse ?

monitor session 2 source interface Fa0/12 /// port à espionner
monitor session 2 destination interface Fa0/18 // port espion

wireshark est sur le port 18
le pc qui ne reçoit pas d'ip sur le 12

Dans le doute, vire les autres monitor.

JeromeTechie · Answer

ok voila le port 3 et 10 miror sur le 12
http://tinypic.com/images/goodbye.jpg

JeromeTechie · Answer

port 3 et 18 mirrorer sur le 12

http://tinypic.com/images/goodbye.jpg

dans le premier screen y a plus de lignes car j ai debrancher le deuxieme serveur dhcp pour etre sur qu'il reponderait pas a la place du serveur sur le port 3 donc j ai release renew.

JeromeTechie · Answer

sur le 2 eme screen on voit clairement qu'il ya un problème mais je vois pas d'ou ca vient encore! apparement le switch communique bien avec le pc et le serveur mais c'est la 3 eme ligne qui pose soucis la enfin je crois!

kimojo · Answer

Je ne comprend pas tout tes test.
J'ai l'impression que tu essayes d'aller trop vite.

Fait les chose une à une.

Si c'est bien le port 12 que tu veux tester et le 18 qui doit recevoir les trames :

monitor session 2 source interface Fa0/12 /// port à espionner
monitor session 2 destination interface Fa0/18 // port espion 

Et non ça : 
monitor session 2 source interface Fa0/18
monitor session 2 destination interface Fa0/12

Du coup fait tout les tests 1 à 1 que je t'ai demandé dans le post 35, en supprimant à chaque fois le monitor de la manip précédente.

JeromeTechie · Answer

Ok je vais tout reprendre c un peu pareil car le 18 et le 12 sont sur la meme vlan mais je recommence eteape par etape

kimojo · Answer

Non, si je regarde ton conf a la page d'avant le 18 est sur le vlan 15 et le 12 sur le vlan 2.

En faisant ça je suis sur d'avoir ce que je cherche. N'oublie pas de mettre le pc sur le port 18 en ip fixe :)

JeromeTechie · Answer

ok d'accord c'est parce que hier soir j ai fait une modif sur le port 12 que j'avais passe sur le vlan 15 donc tu pouvais pas le savoir le test qui vient est celui du pc1 (celui qui est espionné) port 12 pc2 (celuii qui espionne) port 18 (le 12 est sur la vlan 15 mais j ai un test sur la vlan 2 avec le test du port 10)

http://tinypic.com/images/goodbye.jpg

ensuite le test tu port 10 sur le 18 (le port 10 est bien sur le vlan 2 celui la je l ai pas touché)

http://tinypic.com/images/goodbye.jpg

maintenant monitoring du port 3 sur le 18 (port 3 vlan 2) avec pc1 sur le port 12 (vlan 15)

http://tinypic.com/images/goodbye.jpg

et en dernier le monitoring du port 3 sur le port 18 toujours en changeant le pc1 sur le port 10 (vlan 2)

http://tinypic.com/images/goodbye.jpg

j'ai fait 2 tests côté serveur pour que tu puisses apprécier la différence entre la vlan qui fonctionne (la vlan 2) et celle qui fonctionne pas (la vlan 15)

les tests sont donc isolés tu auras donc le test côté client et serveur séparé.

Merci encore pour ton temps

et si tu veux que je rebascule le port 12 en vlan 2 dis moi mais étant donné que le port 10 etait deja en vlan 2 j ai pensé qu il te fallait un test avec la vlan 15

kimojo · Answer

Ouep si je pouvais avoir avec le port 12 dans le vlan 2 on pourrait comparer avec le test du port 10.

En même temps il faudrait : 
maintenant monitoring du port 3 sur le 18 (port 3 vlan 2) avec pc1 sur le port 12 (vlan 2) 

Comme ça on va pouvoir comparer.

JeromeTechie · Answer

ok je my mets tout de suite

JeromeTechie · Answer

Ok port 12 sur 18 avec la vlan 2:

http://tinypic.com/images/goodbye.jpg

port 3 sur 18 pc1 sur le port 12 en vlan 2:

http://tinypic.com/images/goodbye.jpg

JeromeTechie · Answer

je dirais d'apès ce que je vois sur les screens le switch parle bien avec le client et serveur mais sur ce screen la je sais pas ce qui se passe:

http://tinypic.com/images/goodbye.jpg

le switch attribue au client une adresse bidon et en même temps il forward la demande au serveur dhcp et d'après ce que je vois quand le switch retourne l'offre du serveur dhcp au client, ce dernier lui dit pas besoin j en ai déjà une. Je sais pas si mon raisonement cloche mais de tout façon y a un truc qui par en live a ce moment là!

J'espère que tu pourras diagnostiquer mieux que moi je dois dire!

kimojo · Answer

http://tinypic.com/images/goodbye.jpg 

Ce screen est censé représenter la demande d'adresse ip du client sur le port 12. Je vois bien toutes les étapes. Normalement le client doit recevoir son ip et tous les paramètres.
Du coup dans wireshark poru le screnn qui est au dessus.
Tu clique sur la trame 83 ta un truc avec marqué trame 83.
Tu l'agrandis 
Vers le bas tu as un bootstrap protocol.
Dedans tu as une ligne your (client) ip address
Ensuite plus bas tu as des spécificités du genre domain name,server identifier, router...

Ce que j'aimerais savoir c'est ce qu'il y a dans ces champ. Ne les donne par forcément içi (sur le net) mais dit moi juste si il y a quelque chose dans le champ ip adress et quoi et dit moi si dans les champs après (domain name....) si il sont rempli de chose correct.
De même pour la trame 81 et 82.

JeromeTechie · Answer

je vais me rebrancher sur le port 18 je lance wireshark en monitorant le port 3 et je te dis ce qui se passe dans le split screen du bas

kimojo · Answer

Ou le 12 de tout façon c'est la même chose.

JeromeTechie · Answer

Ok voila le screen du bootstrap dans son intégralité

http://tinypic.com/images/goodbye.jpg

http://tinypic.com/images/goodbye.jpg

JeromeTechie · Answer

c'est quoi ça dhcp auto configuration todo? T 116 et sinon y a rien an niveau du nom de domain j'ai posté des screens mais comme tu peux le voire c'est vide!

JeromeTechie · Answer

attends j'ai fait une connerie faut que je click sur le split screen du haut pour avoir des infos mais quelle ligne veux tu que je selectionne?

JeromeTechie · Answer

ok oublie les postes que je viens de faire j'avais pas bien lu ton poste, je recommence

JeromeTechie · Answer

Ok donc sur la trame dhcp acknowledge le nom de domaine est bon le lease est bien celui attribué au poste client 10.0.1.102 la passerelle par default est aussi correcte et donc la on vient de monitor le server side qui attribue une adresses a un client sur la vlan 2.

DHCP offer pareil tout est correct comme dans le ack

dhcp request par contre qui représente la requete cliente y a auncune info si ce n'est la confirmation que l adresse qui lui a été proposé lui convient donc sur le vlan 2 ras tout va bien

JeromeTechie · Answer

Ok donc sur la trame dhcp acknowledge le nom de domaine est bon le lease est bien celui attribué au poste client 10.0.1.102 la passerelle par default est aussi correcte et donc la on vient de monitor le server side qui attribue une adresses a un client sur la vlan 2.

DHCP offer pareil tout est correct comme dans le ack

dhcp request par contre qui représente la requete cliente y a aucune info (mais çà c'est normal sauf si je deviens fou et je perds des neurones a cause de la surchauffe de mes meninges) si ce n'est la confirmation que l adresse qui lui a été proposé lui convient donc sur le vlan 2 ras tout va bien

kimojo · Answer

Donc ton client à bien son adresse 10.0.1.102 tout marche normalement non ?

JeromeTechie · Answer

Ok j ai refais le même test sur le vlan 15 j'ai commencé à examiner les logs apparement le switch envoit dans son discover une requete au serveur dhcp lui demandant si l adresse 192.168.1.108 (j'ai aucune étendue qui correspond à çà) est libre le serveur répond dans son OFFER qu'il peut attribuer 10.0.15.102 le switch dans sa REQUEST lui dit moi je veux l adresse 192.168.1.108 et le DHCP server identifier c'est 192.168.1.1. Suite a ca y a pas d acknoledgement bien sur.

Donc dis moi si je me trompe dans l'analyse que je viens de faire mais on peut déjà dire que çà vient pas du serveur dhcp, çà vient du switch mais ou est ce que çà  pêche ?

kimojo · Answer

Je commence à un peu désespérer.
Quand c'est comme ça, je test tout et n'importe quoi.

Tente sur le port  un : switchport trunk encapsulation dot1q 
Si ça ne marche toujour pas un : switchport mode trunk 

Mais j'ai des doutes pour que ça fonctionne :/

JeromeTechie · Answer

ce que je comprends pas, c'est pourquoi il fait une demande d'adresse 192.168.102 au serveur dhcp, et après le client indique une default gateway 192.168.1.1 on dirait les paramètres par default d un switch qui vient d'être livrer. mais ca correspond pas a ma vlan c'est ca qui est absurde et le pire c'est que c'est l adresse ip du switch sur cette vlan (10.0.15.254) qui fait la demande sur mon serveur dhcp sur une plage d'adresse sortie de nul part. :(

JeromeTechie · Answer

Bon je pense que tu vas pas tarder a rentrer passe une bonne soirée et merci pour ton aide si tu penses a quelque chose fais moi savoir, je pense que vais delete la vlan de test et la récreer depuis le debut sur le serveur vtp (mon 3750) et on verra ce que ca donne y a forcément quelque chose qui cloche. je te dirais si y a une avancée si tu pense a quoi que ce soit je suis preneur et merci pour ton temps même si on solutionne pas le problème je viens d'apprendre pas mal de chose grâce a toi!

kimojo · Answer

C'est bien le port 12 que tu veux mettre dans le vlan 15 mais qu'il obtienne une ip du serveur dhcp qui est dans le vlan 2.

Du coup sur le port 12 :

interface GigabitEthernet1/0/12
switchport access vlan 2
switchport trunk encapsulation dot1q 
switchport mode access 

si ça ne marche toujour pas :
interface GigabitEthernet1/0/12
switchport access vlan 2
switchport trunk encapsulation dot1q 
switchport mode trunk

Enfin bon c'est des idées rapide donc en général ...

Bonne chance (il en faudra)

brupala · Answer

Salut,
j'ai lu rapidement,
c'est qui ce serveur 192.168.1.1 ?
j'ai l'impression que c'est lui qui te fous le bazar sur le vlan 15 en répondant plus vite que les autres serveurs .
il faut que tu vérifies avec son adresse mac sur quel port il est connecté (show mac table) et que tu le retrouves .
je soupçonnerais quelqu'un qui a installé un serveur en VM (virtual machine) et qui répond bien réellement aux requêtes dhcp .
ça m'est déjà arrivé deux fois, alors c'est je me méfie maintenant des zozos qui installent des VM dans leur coin .

kimojo · Answer

Oui c'est possible mais avec le ip helper address, normalement la demande dhcp devrait arrivée directement au serveur dhcp.

kimojo · Answer

Non c'est bon.
SI ça ne marche pas faudrait essayer avec ça switchport trunk encapsulation dot1q

kimojo · Answer

Oui j'ai lu.
C'est vraiment bizarre ce 192.168.1.1 qui ne correspond à rien alors qu'il répond au requête dhcp.
Sinon tu pourrais essayer de faire un truc basique sans le vtp.

vlan database
vlan 15
apply
exit
vlan database
vlan 2
apply
exit
conf t
int vlan 15
name Test-Vlan
ip address 10.0.15.254 255.255.255.0
ip helper-address 10.0.0.1
exit
interface Vlan1
ip address 10.0.253.1 255.255.255.0
exit
conf t
int vlan 2
name Test-Vlan
ip address 10.0.0.254 255.255.255.0
exit
conf t
int gi1/0/18
switchport mode access
switchport trunk encapsulation dot1q
switchport access vlan 15
no sh
exit
conf t
int gi1/0/3
switchport mode access
switchport trunk encapsulation dot1q 
switchport access vlan 2
no sh
exit

Tu branche seulement ton client sur le port 18 et ton serveur dhcp sur le 3
Tu ne raccorde pas le switch aux autres switchs
La ça fonctionne non ?

kimojo · Answer

DHCP auto configuration. 
ins-1 c'est bien ton pc ?
00:20:e0:67:02:74 c'est bien ton pc ?

J'ai l'impression que c'est lui en fait qui fait n'importe quoi.
Tu as essayé de branché un autre pc (un gentil cette fois :) ) sur le port du vlan 15 pour voir ce qu'il se passe.

JeromeTechie · Answer

Voila l'offre dhcp bidon

http://tinypic.com/images/goodbye.jpg

la requete du client a l'offre bidon

http://tinypic.com/images/goodbye.jpg

le acknowledgement bidon

http://tinypic.com/images/goodbye.jpg

et attends je poste la suite des trames dnas le prochain poste

kimojo · Answer

Il y a bien un 192.168.1.1 qui met la merde.
Tu pourrais mettre une ACL pour l'interdire.
Quand ton client est configurer en 192.168.X.X il arrive à ping 192.168.1.1 ?

JeromeTechie · Answer

Donc la encore un truc bizarre le switch fait discover et ensuite au lieu d attendre l'offre du serveur dhcp il fait la requete dans la foulée qui lui dit bah voila je veux 192.168.1.108

http://tinypic.com/images/goodbye.jpg

après ca tu as l'offre du serveur qui bien sur elle correspond a l'étendu configurer pour cette passerelle 

http://tinypic.com/images/goodbye.jpg

et le switch qui forward l'offre du serveur dhcp au client

http://tinypic.com/images/goodbye.jpg

ca c'est la liste des trames fait juste pas attentiona  aux trames 201 202

http://tinypic.com/images/goodbye.jpg

kimojo · Answer

Si lui il ping 192.168.1.1 c'est qu'il y a bien sur le réseau une machine avec cette ip qui existe et qui fait serveur dhcp.
Donc soit tu fais une ACL qui interdit ce sous réseau.
Soit si ça ne fonctionne pas tu isoles tont switch du reste du réseau, tu ne branche que le client et le serveur dhcp sur le switch et tu test.

Et en dernier recour tu copie colle ta configuration dasn un fichier texte, tu supprime la conf et tu créé juste ce que j'ai mis au dessus et la tu test.
Si ça ne fonctionne toujours pas,....

JeromeTechie · Answer

avec any a la fin ca va mieux lol ou la je rentre en mode surchauffe.

conf t 
access-list 150 deny ip 192.168.1.0 0.0.0.255 any
end

conf t
int vlan 15 
ip access-group 150 in
ip access-group 150 out
end

çà parait bon?

JeromeTechie · Answer

Bon je crois que j'ai trouvé le problème, j'ai suivi la pidu server dhcp clandestin, je suis allez voir sur un de mes switch et y avait 2 port sur la vlan 15 qui deja n'aurait pas du etre la car c'est une vlan de test, et deuxiemement les ports étaient connectés je les ai shut et la soudain les vlan remarchent.

Tout de suite à vue d'oeuil je dirais qu'il ya quelqu'un qui a voulu branché un routeur sans fil linksys en point d'accès mais que'il a garder la config par defaut. je vais faire un no shut sur ces ports et si c'est ce que je pense devrait y avoir une interface web donc je vais essayer de me connecter dessus.

par contre mon acl elle me bloque le client mais pas le 192.168.1.1 faudra que je regarde. (si jamais tu as un conseil)

kimojo · Answer

si tu la mets en in ta machine vera jamais la réponse du serveur dhcp qui fout la merde.
Mais l'idée de faire une acl c'était juste une idée comme une autre pour réussir :)

Au final si ta réussi à retrouver ta machine qui faisait serveur dhcp alors qu'elle ne devrait pas c'est bon.

JeromeTechie · Answer

Bon voila, alors déjà un grand merci a tous particulierement a kimojo qui a passé 3 jours avec moi pour règler ce problème, si tu habitais pas loin je dois dire que je te payerais bien volontier un verre voire même le diner :). 

Résultat des courses je réactiver le port 14 de mon 3650 qui se trouvait dans un autre batiment configurer en vtp client de mon 3750 relié par un lien fibre, et le problème a rejaillit. a savoir passerelle par defaut 192.168.1.1 et une adresse ip pour mon poste client dans cette étendue. j'ai donc ouvert un web browser et tapé l'adresse ip et la miracle une interface linksys la je tape les login et mot de passe par defaut sur ce type d'appareil et boom ca marche. je rentre dans l'interface et la fonction dhcp (bizarre) était activé. Apparement y a un petit malin qui ma reset le bazare et il s'est mit en factory default (router) alors qu'il était sensé être en point d'accès.

Donc voilà problème résolu. 

Kimojo je te remercie énormement grâce a toi j'ai appris a me servir des outils diagnostiques et a diagnostiquer une panne, et je dois dire que celà n'a pas de prix. Je te remercie de ton temps et de ta patience celà m'a beaucoup aider.

Je te dis a plus tard car je pense qu on va encore se croiser xD

kimojo · Answer

De rien si tu as un autre problème n'ésite pas à revenir.
Pour l'ACL oui je pense que ça aurait put fonctionner juste avec le in mais je ne suis pas sur a 100%.

++

Problème de VLAN et DHCP

76 réponses

Discussions similaires

Newsletters