[gard]

Друзья, всем привет!

Настраиваю SNR-S2985G-48T и возник вопрос по настройке DHCP snooping. Настраиваю максимально просто:

SNR-S2985G-48T(config)#ip dhcp snooping enable
SNR-S2985G-48T(config)#ip dhcp snooping vlan 1
SNR-S2985G-48T(config)#ip dhcp snooping blocked record enable
SNR-S2985G-48T(config)#interface ethernet 1/0/48
SNR-S2985G-48T(config-if-ethernet1/0/48)#ip dhcp snooping trust
SNR-S2985G-48T(config-if-ethernet1/0/48)#
SNR-S2985G-48T(config)#interface ethernet 1/0/1-47
SNR-S2985G-48T(config-if-port-range)#ip dhcp snooping action blackhole recovery 300

Строка ip dhcp snooping blocked record enable я так понял просто "включает" ведение некой таблицы на коммутаторе? Или что она делает?

Далее тестирую и ловлю в лог сообщение:

SNR-S2985G-48T(config)#%Jan 01 05:03:01:938 2006 DHCP Snooping:Ethernet1/0/29 (00:03:09 )action: blackhole, (00:08:09 )recovery action: 'delete blackhole'
blackhole VID:1 MAC: ac-9e-17-8d-95-50

То есть сработка есть, но при попытке посмотреть заблокированных ничего не вижу:

SNR-S2985G-48T(config)#sh ip dhcp snooping blocked all

Interface           Vlan ID      MAC                 IP address          Date
-------------------------------------------------------------------------------------------------
ip dhcp snooping blocked record count:0
-------------------------------------------------------------------------------------------------

В то же время при попытке получить информацию о dhcp snooping для конкретного интерфейса есть отображение произошедшего:

SNR-S2985G-48T#sh ip dhcp snooping interface ethernet 1/0/29

interface Ethernet1/0/29 user config:
trust attribute: untrust
action: blackhole
binding dot1x: disabled
binding user: disabled
recovery interval:300(s)
Driver user number 0 : Max user number 1024
Alarm info: 2
--------------------------------------------------------
DHCP Snooping:Ethernet1/0/29 (00:01:57 )action: none, (00:03:00 )recovery action: 'none'
--------------------------------------------------------
DHCP Snooping:Ethernet1/0/29 (00:03:09 )action: blackhole, (00:08:09 )recovery action: 'delete blackhole' Done
blackhole VID:1 MAC: ac-9e-17-8d-95-50
.....

Не могу в таком случае понять что должна возвращать команда sh ip dhcp snooping blocked all ?

Как-то можно вывести список всех snooping'ом "заблокированных" маков?

И еще вопрос: blackhole отбрасывает все кадры? Или только кадры с ответами левого DHCP-сервера?

Изменено 18 ноября, 2020 пользователем gard

[Ivan Tarasenko]

Добрый день, @gard 

Команда show ip dhcp snooping blocked all показывает MAC-IP заблокированные функцией ip dhcp snooping binding user-control.

Посмотреть все заблокированные снупингом MAC в данный момент нельзя.

Blackhole отбрасывает кадры только с заблокированного MAC.

[gard]

Спасибо за ответ, просто все так неоднозначно, что уже путаться начинаешь.

А посмотреть таки нашел как:

sh mac-address-table blackhole vlan 1

 

[Ivan Tarasenko]

@gard, спасибо за обратную связь, отразим в документации. 

[gard]

Похоже у этой функции есть какие-то подводные камни. При включении часть устройств не смогла получить адреса, хотя в mac blackhole было пусто. А при дебаге сыпались какие со сообщения типа 'dhcp flood...' и порт-источник оказался как раз trusted-портом. Я было подумал, что нужно повысить rate для dhcp пакетов для этого порта, но там по дефолту 100 - максимум. Выключил. Думаю стоит ли пробовать включать в принципе.

[Aleksey Sonkin]

@gard Если захотите разобраться, пришлите пример с логами на support.nag.ru - все проверим.

[gard]

Наверное только в следующий раз, незнаю когда у рук будет подобный свитч, а этот уже установлен, работает. Экспериментировать на людях не могу =)

И может так статься, что я зря грешу на свитч, потому что с SNR S2990X-24FQ, стоящим в ядре, применение dhcp snooping проблем не вызывает.