Jump to content

Настройка DHCP Snooping

rychagov
 Share

Recommended Posts

rychagov

rychagov

Posted
Posted

Всем привет!

Настраиваю DHCP Snooping на SNR-S2982G-24TE. В конфиге прописал:

ip dhcp snooping enable
 ip dhcp snooping binding enable
 ip dhcp snooping blocked record enable
 ip dhcp snooping information enable

где 23 порт — TRUST, а 24 порт UNTRUSTED action shutdown.

При подключении к 24 порту DHCP-клиент получает сетевые настройки, а сам порт не уходит в шатдаун, хоть и является нелегетивным. Почему так происходит?

 

Я молодой игрок в этой теме, поэтому возникают такие непонятки. Спасибо))

rychagov

rychagov

Posted
  • Author
Posted
В 28.06.2022 в 11:30, Evgeny Mirhasanov сказал:

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Так точно) Но DHCP OFFER у меня принимает и с untrusted. Вот я про что вам

Evgeny Mirhasanov

Evgeny Mirhasanov

Posted
Posted

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

rychagov

rychagov

Posted
  • Author
Posted
В 28.06.2022 в 12:16, MrNv сказал:

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Ну, всё верно. Вот схема:

Безымянный.png

 

В 28.06.2022 в 12:09, Evgeny Mirhasanov сказал:

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Вот, пожалуйста:

conf.txt

rychagov

rychagov

Posted
  • Author
Posted
В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал:

@rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'.

Решил попробовать с blackhole. Вот такое сообщение пришло и ничего не происходит. Сетку не отбрасывает.
SNR-S2982G-24TE-1#%Jun 28 13:22:20:791 2022 DHCP Snooping:Ethernet1/0/24 (00:11:13 )action: blackhole
blackhole VID:3 MAC: *-*-*-*-f8-63

 

ShumBor

ShumBor

Posted
Posted

Странно это, только что на столе проверил.

 

Да со стороны сервера видно  

Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPDISCOVER from a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1
Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPOFFER on 192.168.1.23 to a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1

 но клиент адрес не получает

ShumBor

ShumBor

Posted
Posted

@Evgeny Mirhasanov Ну да, как и должно быть.

 

Вот обмен со стороны клиента  

root@shumbor:/var/log# tcpdump -nieth2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.717769 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:39.728104 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:42.737573 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429

вот сервер  

root@shumbor:/var/log# tcpdump -nieth1 port 67 or 68
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.720208 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:36.720501 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:39.730523 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:39.730877 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:42.739974 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:42.740386 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309

вот настройка железки касаемо dhcp. 1 - ложный dhcp сервер, 3 клиент, 7 - нормальный dhcp 

ip dhcp snooping enable
 ip dhcp snooping binding enable
!
 ip dhcp snooping information enable
 ip dhcp snooping information option subscriber-id format hex
!
Interface Ethernet1/0/1
 switchport access vlan 3
!
Interface Ethernet1/0/3
 switchport access vlan 3
!
Interface Ethernet1/0/7
 switchport access vlan 3
 ip dhcp snooping trust
!

 

andpuxa

andpuxa

Posted
Posted
В 29.06.2022 в 18:53, rychagov сказал:

и какой смысл, если это DHCP-клиент?

а смысл в том, что у вас в первом посте написано, что на порту dhcp клиент

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.