Jump to content
Калькуляторы

Настройка DHCP Snooping

Reply to this topic

rychagov   

rychagov
Posted

Всем привет!

Настраиваю DHCP Snooping на SNR-S2982G-24TE. В конфиге прописал:

ip dhcp snooping enable
 ip dhcp snooping binding enable
 ip dhcp snooping blocked record enable
 ip dhcp snooping information enable

где 23 порт — TRUST, а 24 порт UNTRUSTED action shutdown.

При подключении к 24 порту DHCP-клиент получает сетевые настройки, а сам порт не уходит в шатдаун, хоть и является нелегетивным. Почему так происходит?

 

Я молодой игрок в этой теме, поэтому возникают такие непонятки. Спасибо))

Share this post

Link to post
Share on other sites

Evgeny Mirhasanov   

Evgeny Mirhasanov
Posted

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Share this post

Link to post
Share on other sites

rychagov   

rychagov
Posted
В 28.06.2022 в 11:30, Evgeny Mirhasanov сказал:

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Так точно) Но DHCP OFFER у меня принимает и с untrusted. Вот я про что вам

Share this post

Link to post
Share on other sites

Evgeny Mirhasanov   

Evgeny Mirhasanov
Posted

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Share this post

Link to post
Share on other sites

MrNv   

MrNv
Posted

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Share this post

Link to post
Share on other sites

rychagov   

rychagov
Posted
В 28.06.2022 в 12:16, MrNv сказал:

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Ну, всё верно. Вот схема:

Безымянный.png

 

В 28.06.2022 в 12:09, Evgeny Mirhasanov сказал:

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Вот, пожалуйста:

conf.txt

Share this post

Link to post
Share on other sites

rychagov   

rychagov
Posted
В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал:

@rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'.

Решил попробовать с blackhole. Вот такое сообщение пришло и ничего не происходит. Сетку не отбрасывает.
SNR-S2982G-24TE-1#%Jun 28 13:22:20:791 2022 DHCP Snooping:Ethernet1/0/24 (00:11:13 )action: blackhole
blackhole VID:3 MAC: *-*-*-*-f8-63

 

Share this post

Link to post
Share on other sites

Evgeny Mirhasanov   

Evgeny Mirhasanov
Posted

Покажите вывод дебага 'debug ip dhcp snooping packet interface e1/0/1' и 'debug ip dhcp snooping packet interface e1/0/24', когда подключаете клиента к порту e1/0/1 и он получает IP-адрес по DHCP.

 

Share this post

Link to post
Share on other sites

ShumBor   

ShumBor
Posted

Странно это, только что на столе проверил.

 

Да со стороны сервера видно  

Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPDISCOVER from a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1
Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPOFFER on 192.168.1.23 to a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1

 но клиент адрес не получает

Share this post

Link to post
Share on other sites

ShumBor   

ShumBor
Posted

@Evgeny Mirhasanov Ну да, как и должно быть.

 

Вот обмен со стороны клиента  

root@shumbor:/var/log# tcpdump -nieth2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.717769 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:39.728104 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:42.737573 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429

вот сервер  

root@shumbor:/var/log# tcpdump -nieth1 port 67 or 68
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.720208 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:36.720501 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:39.730523 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:39.730877 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:42.739974 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:42.740386 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309

вот настройка железки касаемо dhcp. 1 - ложный dhcp сервер, 3 клиент, 7 - нормальный dhcp 

ip dhcp snooping enable
 ip dhcp snooping binding enable
!
 ip dhcp snooping information enable
 ip dhcp snooping information option subscriber-id format hex
!
Interface Ethernet1/0/1
 switchport access vlan 3
!
Interface Ethernet1/0/3
 switchport access vlan 3
!
Interface Ethernet1/0/7
 switchport access vlan 3
 ip dhcp snooping trust
!

 

Share this post

Link to post
Share on other sites

andpuxa   

andpuxa
Posted
В 29.06.2022 в 18:53, rychagov сказал:

и какой смысл, если это DHCP-клиент?

а смысл в том, что у вас в первом посте написано, что на порту dhcp клиент

Share this post

Link to post
Share on other sites

rychagov   

rychagov
Posted
В 29.06.2022 в 20:54, Evgeny Mirhasanov сказал:

@rychagov В итоге вопрос решен или все на том же месте стоит?

Всё на том же месте стою, вопрос не решён, к сожалению

 

Share this post

Link to post
Share on other sites

rychagov   

rychagov
Posted
В 30.06.2022 в 08:55, Evgeny Mirhasanov сказал:

@rychagov Можете создать тикет на support.nag.ru? Оперативно проработаем и отпишемся здесь по результату.

Готово. Отправил запрос.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Коммутаторы SNR, коммутаторы Orion Networks