Jump to content

Настройка DHCP Snooping

Всем привет!

Настраиваю DHCP Snooping на SNR-S2982G-24TE. В конфиге прописал:

ip dhcp snooping enable
 ip dhcp snooping binding enable
 ip dhcp snooping blocked record enable
 ip dhcp snooping information enable

где 23 порт — TRUST, а 24 порт UNTRUSTED action shutdown.

При подключении к 24 порту DHCP-клиент получает сетевые настройки, а сам порт не уходит в шатдаун, хоть и является нелегетивным. Почему так происходит?

 

Я молодой игрок в этой теме, поэтому возникают такие непонятки. Спасибо))

Share this post


Link to post
Share on other sites

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Share this post


Link to post
Share on other sites

В 28.06.2022 в 11:30, Evgeny Mirhasanov сказал:

@rychagov добрый день. Trust-порты, это порты, за которыми разрешено находиться DHCP серверам. Только с этих портов клиент может принимать DHCP OFFER и ACK.

Так точно) Но DHCP OFFER у меня принимает и с untrusted. Вот я про что вам

Share this post


Link to post
Share on other sites

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Share this post


Link to post
Share on other sites

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Share this post


Link to post
Share on other sites

В 28.06.2022 в 12:16, MrNv сказал:

@rychagov вам надо не dhcp клиент а dhcp сервер в 24 порт подключить, DHCP Snooping - защита от не легитимных DHCP серверов

Ну, всё верно. Вот схема:

Безымянный.png

 

В 28.06.2022 в 12:09, Evgeny Mirhasanov сказал:

@rychagov Не удалсь воспроивести такое поведение. На стенде клиент только посылает свои DHCP Discover пакеты и ничего не получает в ответ, т.к. trust-портов нет. Желательно показать полный конфиг с указанием портов, за которыми находятся клиент и сервер.

Вот, пожалуйста:

conf.txt

Share this post


Link to post
Share on other sites

В 28.06.2022 в 13:05, Evgeny Mirhasanov сказал:

@rychagov Попробуйте добавить в конфиг 'ip dhcp snooping vlan 3'.

Решил попробовать с blackhole. Вот такое сообщение пришло и ничего не происходит. Сетку не отбрасывает.
SNR-S2982G-24TE-1#%Jun 28 13:22:20:791 2022 DHCP Snooping:Ethernet1/0/24 (00:11:13 )action: blackhole
blackhole VID:3 MAC: *-*-*-*-f8-63

 

Share this post


Link to post
Share on other sites

Покажите вывод дебага 'debug ip dhcp snooping packet interface e1/0/1' и 'debug ip dhcp snooping packet interface e1/0/24', когда подключаете клиента к порту e1/0/1 и он получает IP-адрес по DHCP.

 

Share this post


Link to post
Share on other sites

Странно это, только что на столе проверил.

 

Да со стороны сервера видно 

Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPDISCOVER from a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1
Jun 28 13:37:45 shumbor dhcpd[3988]: DHCPOFFER on 192.168.1.23 to a8:f9:4b:09:3b:4f (TAU-1M.IP) via eth1

 но клиент адрес не получает

Share this post


Link to post
Share on other sites

@Evgeny Mirhasanov Ну да, как и должно быть.

 

Вот обмен со стороны клиента 

root@shumbor:/var/log# tcpdump -nieth2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.717769 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:39.728104 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429
13:59:42.737573 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 429

вот сервер 

root@shumbor:/var/log# tcpdump -nieth1 port 67 or 68
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:59:36.720208 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:36.720501 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:39.730523 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:39.730877 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309
13:59:42.739974 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:09:3b:4f, length 449
13:59:42.740386 IP 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 309

вот настройка железки касаемо dhcp. 1 - ложный dhcp сервер, 3 клиент, 7 - нормальный dhcp

ip dhcp snooping enable
 ip dhcp snooping binding enable
!
 ip dhcp snooping information enable
 ip dhcp snooping information option subscriber-id format hex
!
Interface Ethernet1/0/1
 switchport access vlan 3
!
Interface Ethernet1/0/3
 switchport access vlan 3
!
Interface Ethernet1/0/7
 switchport access vlan 3
 ip dhcp snooping trust
!

 

Share this post


Link to post
Share on other sites

В 29.06.2022 в 18:53, rychagov сказал:

и какой смысл, если это DHCP-клиент?

а смысл в том, что у вас в первом посте написано, что на порту dhcp клиент

Share this post


Link to post
Share on other sites

В 29.06.2022 в 20:54, Evgeny Mirhasanov сказал:

@rychagov В итоге вопрос решен или все на том же месте стоит?

Всё на том же месте стою, вопрос не решён, к сожалению

 

Share this post


Link to post
Share on other sites

В 30.06.2022 в 08:55, Evgeny Mirhasanov сказал:

@rychagov Можете создать тикет на support.nag.ru? Оперативно проработаем и отпишемся здесь по результату.

Готово. Отправил запрос.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.