gard Опубликовано 18 ноября, 2020 (изменено) · Жалоба Друзья, всем привет! Настраиваю SNR-S2985G-48T и возник вопрос по настройке DHCP snooping. Настраиваю максимально просто: SNR-S2985G-48T(config)#ip dhcp snooping enable SNR-S2985G-48T(config)#ip dhcp snooping vlan 1 SNR-S2985G-48T(config)#ip dhcp snooping blocked record enable SNR-S2985G-48T(config)#interface ethernet 1/0/48 SNR-S2985G-48T(config-if-ethernet1/0/48)#ip dhcp snooping trust SNR-S2985G-48T(config-if-ethernet1/0/48)# SNR-S2985G-48T(config)#interface ethernet 1/0/1-47 SNR-S2985G-48T(config-if-port-range)#ip dhcp snooping action blackhole recovery 300 Строка ip dhcp snooping blocked record enable я так понял просто "включает" ведение некой таблицы на коммутаторе? Или что она делает? Далее тестирую и ловлю в лог сообщение: SNR-S2985G-48T(config)#%Jan 01 05:03:01:938 2006 DHCP Snooping:Ethernet1/0/29 (00:03:09 )action: blackhole, (00:08:09 )recovery action: 'delete blackhole' blackhole VID:1 MAC: ac-9e-17-8d-95-50 То есть сработка есть, но при попытке посмотреть заблокированных ничего не вижу: SNR-S2985G-48T(config)#sh ip dhcp snooping blocked all Interface Vlan ID MAC IP address Date ------------------------------------------------------------------------------------------------- ip dhcp snooping blocked record count:0 ------------------------------------------------------------------------------------------------- В то же время при попытке получить информацию о dhcp snooping для конкретного интерфейса есть отображение произошедшего: SNR-S2985G-48T#sh ip dhcp snooping interface ethernet 1/0/29 interface Ethernet1/0/29 user config: trust attribute: untrust action: blackhole binding dot1x: disabled binding user: disabled recovery interval:300(s) Driver user number 0 : Max user number 1024 Alarm info: 2 -------------------------------------------------------- DHCP Snooping:Ethernet1/0/29 (00:01:57 )action: none, (00:03:00 )recovery action: 'none' -------------------------------------------------------- DHCP Snooping:Ethernet1/0/29 (00:03:09 )action: blackhole, (00:08:09 )recovery action: 'delete blackhole' Done blackhole VID:1 MAC: ac-9e-17-8d-95-50 ..... Не могу в таком случае понять что должна возвращать команда sh ip dhcp snooping blocked all ? Как-то можно вывести список всех snooping'ом "заблокированных" маков? И еще вопрос: blackhole отбрасывает все кадры? Или только кадры с ответами левого DHCP-сервера? Изменено 18 ноября, 2020 пользователем gard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 19 ноября, 2020 · Жалоба Добрый день, @gard Команда show ip dhcp snooping blocked all показывает MAC-IP заблокированные функцией ip dhcp snooping binding user-control. Посмотреть все заблокированные снупингом MAC в данный момент нельзя. Blackhole отбрасывает кадры только с заблокированного MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 19 ноября, 2020 · Жалоба Спасибо за ответ, просто все так неоднозначно, что уже путаться начинаешь. А посмотреть таки нашел как: sh mac-address-table blackhole vlan 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 19 ноября, 2020 · Жалоба @gard, спасибо за обратную связь, отразим в документации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 19 ноября, 2020 · Жалоба Похоже у этой функции есть какие-то подводные камни. При включении часть устройств не смогла получить адреса, хотя в mac blackhole было пусто. А при дебаге сыпались какие со сообщения типа 'dhcp flood...' и порт-источник оказался как раз trusted-портом. Я было подумал, что нужно повысить rate для dhcp пакетов для этого порта, но там по дефолту 100 - максимум. Выключил. Думаю стоит ли пробовать включать в принципе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 26 ноября, 2020 · Жалоба @gard Если захотите разобраться, пришлите пример с логами на support.nag.ru - все проверим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 26 ноября, 2020 · Жалоба Наверное только в следующий раз, незнаю когда у рук будет подобный свитч, а этот уже установлен, работает. Экспериментировать на людях не могу =) И может так статься, что я зря грешу на свитч, потому что с SNR S2990X-24FQ, стоящим в ядре, применение dhcp snooping проблем не вызывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...