rychagov Опубликовано 28 июня, 2022 · Жалоба Всем привет! Настраиваю DHCP Snooping на SNR-S2982G-24TE. В конфиге прописал: ip dhcp snooping enable ip dhcp snooping binding enable ip dhcp snooping blocked record enable ip dhcp snooping information enable где 23 порт — TRUST, а 24 порт UNTRUSTED action shutdown. При подключении к 24 порту DHCP-клиент получает сетевые настройки, а сам порт не уходит в шатдаун, хоть и является нелегетивным. Почему так происходит? Я молодой игрок в этой теме, поэтому возникают такие непонятки. Спасибо)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 28 июня, 2022 · Жалоба @rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 28 июня, 2022 · Жалоба В 28.06.2022 в 11:30, Evgeny Mirhasanov сказал: @rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK. Так точно) Но DHCP OFFER у меня принимает и с untrusted. Вот я про что вам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 28 июня, 2022 · Жалоба @rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 28 июня, 2022 · Жалоба @rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 28 июня, 2022 · Жалоба В 28.06.2022 в 12:16, MrNv сказал: @rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов Ну, всё верно. Вот схема: В 28.06.2022 в 12:09, Evgeny Mirhasanov сказал: @rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер. Вот, пожалуйста: conf.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 28 июня, 2022 · Жалоба @rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 28 июня, 2022 · Жалоба В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал: @rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'. всё равно получает..Не удалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 28 июня, 2022 · Жалоба В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал: @rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'. Решил попробовать с blackhole. Вот такое сообщение пришло и ничего не происходит. Сетку не отбрасывает. SNR-S2982G-24TE-1#%Jun 28 13:22:20:791 2022 DHCP Snooping:Ethernet1/0/24 (00:11:13 )action: blackhole blackhole VID:3 MAC: *-*-*-*-f8-63 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 28 июня, 2022 · Жалоба Покажите вывод дебага 'debug ip dhcp snooping packet interface e1/0/1' и 'debug ip dhcp snooping packet interface e1/0/24', когда подключаете клиента к порту e1/0/1 и он получает IP-адрес по DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 28 июня, 2022 · Жалоба Странно это, только что на столе проверил. Да со стороны сервера видно Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPDISCOVER from a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1 Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPOFFER on 192.168.1.23 to a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1 но клиент адрес не получает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 28 июня, 2022 · Жалоба @ShumBor Потому что клиент OFFER не получает, верно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 28 июня, 2022 · Жалоба @Evgeny Mirhasanov Ну да, как и должно быть. Вот обмен со стороны клиента root@shumbor:/var/log# tcpdump -nieth2 tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on eth2, link-type EN10MB (Ethernet), snapshot length 262144 bytes 13:59:36.717769 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429 13:59:39.728104 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429 13:59:42.737573 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429 вот сервер root@shumbor:/var/log# tcpdump -nieth1 port 67 or 68 tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes 13:59:36.720208 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449 13:59:36.720501 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309 13:59:39.730523 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449 13:59:39.730877 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309 13:59:42.739974 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449 13:59:42.740386 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309 вот настройка железки касаемо dhcp. 1 - ложный dhcp сервер, 3 клиент, 7 - нормальный dhcp ip dhcp snooping enable ip dhcp snooping binding enable ! ip dhcp snooping information enable ip dhcp snooping information option subscriber-id format hex ! Interface Ethernet1/0/1 switchport access vlan 3 ! Interface Ethernet1/0/3 switchport access vlan 3 ! Interface Ethernet1/0/7 switchport access vlan 3 ip dhcp snooping trust ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 29 июня, 2022 · Жалоба м.б на 3 порт прописать ip dhcp snooping action shutdown recovery 60? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 29 июня, 2022 · Жалоба В 29.06.2022 в 06:49, andpuxa сказал: м.б на 3 порт прописать ip dhcp snooping action shutdown recovery 60? и какой смысл, если это DHCP-клиент? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 29 июня, 2022 · Жалоба @rychagov В итоге вопрос решен или все на том же месте стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 30 июня, 2022 · Жалоба В 29.06.2022 в 18:53, rychagov сказал: и какой смысл, если это DHCP-клиент? а смысл в том, что у вас в первом посте написано, что на порту dhcp клиент Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 30 июня, 2022 · Жалоба В 29.06.2022 в 20:54, Evgeny Mirhasanov сказал: @rychagov В итоге вопрос решен или все на том же месте стоит? Всё на том же месте стою, вопрос не решён, к сожалению Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 30 июня, 2022 · Жалоба @rychagov Можете создать тикет на support.nag.ru? Оперативно проработаем и отпишемся здесь по результату. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 30 июня, 2022 · Жалоба В 30.06.2022 в 08:55, Evgeny Mirhasanov сказал: @rychagov Можете создать тикет на support.nag.ru? Оперативно проработаем и отпишемся здесь по результату. Готово. Отправил запрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rychagov Опубликовано 1 июля, 2022 · Жалоба Проблема решена. Всем спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 1 июля, 2022 · Жалоба И что в итоге? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 7 июля, 2022 · Жалоба @jffulcrum Проблема была с DHCP клиентом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...