Перейти к содержимому
Калькуляторы

Настройка DHCP Snooping

Всем привет!

Настраиваю DHCP Snooping на SNR-S2982G-24TE. В конфиге прописал:

ip dhcp snooping enable
 ip dhcp snooping binding enable
 ip dhcp snooping blocked record enable
 ip dhcp snooping information enable

где 23 порт — TRUST, а 24 порт UNTRUSTED action shutdown.

При подключении к 24 порту DHCP-клиент получает сетевые настройки, а сам порт не уходит в шатдаун, хоть и является нелегетивным. Почему так происходит?

 

Я молодой игрок в этой теме, поэтому возникают такие непонятки. Спасибо))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.06.2022 в 11:30, Evgeny Mirhasanov сказал:

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Так точно) Но DHCP OFFER у меня принимает и с untrusted. Вот я про что вам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.06.2022 в 12:16, MrNv сказал:

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Ну, всё верно. Вот схема:

Безымянный.png

 

В 28.06.2022 в 12:09, Evgeny Mirhasanov сказал:

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Вот, пожалуйста:

conf.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал:

@rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'.

всё равно получает..Не удалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал:

@rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'.

Решил попробовать с blackhole. Вот такое сообщение пришло и ничего не происходит. Сетку не отбрасывает.
SNR-S2982G-24TE-1#%Jun 28 13:22:20:791 2022 DHCP Snooping:Ethernet1/0/24 (00:11:13 )action: blackhole
blackhole VID:3 MAC: *-*-*-*-f8-63

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Покажите вывод дебага 'debug ip dhcp snooping packet interface e1/0/1' и 'debug ip dhcp snooping packet interface e1/0/24', когда подключаете клиента к порту e1/0/1 и он получает IP-адрес по DHCP.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно это, только что на столе проверил.

 

Да со стороны сервера видно 

Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPDISCOVER from a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1
Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPOFFER on 192.168.1.23 to a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1

 но клиент адрес не получает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShumBor Потому что клиент OFFER не получает, верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Evgeny Mirhasanov Ну да, как и должно быть.

 

Вот обмен со стороны клиента 

root@shumbor:/var/log# tcpdump -nieth2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.717769 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:39.728104 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:42.737573 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429

вот сервер 

root@shumbor:/var/log# tcpdump -nieth1 port 67 or 68
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.720208 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:36.720501 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:39.730523 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:39.730877 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:42.739974 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:42.740386 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309

вот настройка железки касаемо dhcp. 1 - ложный dhcp сервер, 3 клиент, 7 - нормальный dhcp

ip dhcp snooping enable
 ip dhcp snooping binding enable
!
 ip dhcp snooping information enable
 ip dhcp snooping information option subscriber-id format hex
!
Interface Ethernet1/0/1
 switchport access vlan 3
!
Interface Ethernet1/0/3
 switchport access vlan 3
!
Interface Ethernet1/0/7
 switchport access vlan 3
 ip dhcp snooping trust
!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

м.б на 3 порт прописать  ip dhcp snooping action shutdown recovery 60?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.06.2022 в 06:49, andpuxa сказал:

м.б на 3 порт прописать  ip dhcp snooping action shutdown recovery 60?

и какой смысл, если это DHCP-клиент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rychagov В итоге вопрос решен или все на том же месте стоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.06.2022 в 18:53, rychagov сказал:

и какой смысл, если это DHCP-клиент?

а смысл в том, что у вас в первом посте написано, что на порту dhcp клиент

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.06.2022 в 20:54, Evgeny Mirhasanov сказал:

@rychagov В итоге вопрос решен или все на том же месте стоит?

Всё на том же месте стою, вопрос не решён, к сожалению

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rychagov Можете создать тикет на support.nag.ru? Оперативно проработаем и отпишемся здесь по результату.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 30.06.2022 в 08:55, Evgeny Mirhasanov сказал:

@rychagov Можете создать тикет на support.nag.ru? Оперативно проработаем и отпишемся здесь по результату.

Готово. Отправил запрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.