Andrey Andruschenko Posted April 24, 2007 Posted April 24, 2007 Доброго времени суток, коллеги! Впервые столкнулся с dhcp snooping , видимо что-то недопонимаю. Вот такая схема: dhcp_server - g1/7(Catalyst 4503)g1/9 - DSLAM часть конфига каталиста: ip dhcp snooping vlan 99,444,555 ip dhcp snooping information option allow-untrusted no ip dhcp snooping information option ip dhcp snooping database tftp://tftp_server/dhcp_snooping.txt ip dhcp snooping database timeout 500 no ip dhcp snooping verify mac-address ip dhcp snooping interface GigabitEthernet1/7 description _dhcp-server_ switchport access vlan 99 switchport mode access ip dhcp snooping trust interface GigabitEthernet1/9 description _DSLAM_ switchport trunk encapsulation dot1q switchport trunk allowed vlan 555,4000 switchport mode trunk switchport nonegotiate switchport block multicast switchport block unicast storm-control broadcast level 5.00 storm-control action trap no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ip verify source vlan dhcp-snooping ip dhcp snooping limit rate 100 interface Vlan99 description _dhcp-server-net_ ip address 192.168.1.254 255.255.255.0 interface Vlan555 description _DSLAM_ ip address 10.10.7.254 255.255.255.0 ip helper-address 192.168.1.1 no ip redirects no ip unreachables c4503#sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 99,444,555 Insertion of option 82 is disabled Option 82 on untrusted port is allowed Verification of hwaddr field is disabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/7 yes unlimited GigabitEthernet1/9 no 100 GigabitEthernet1/16 no 100 Пакеты до DHCP сервера не доходят. Включил отладку на каталисте, вот что имею: Apr 24 11:06:52 MSK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Gi1/9, MAC da: ffff.ffff.ffff, MAC sa: 0080.48df.4358, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0080.48df.4358 Apr 24 11:06:52 MSK: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0080.48df.4358, mat entry type: 1, port cookie: 413559912 Сдется мне, что в данном случае dhcp пакеты на vlan интерфейсе просто не обрабатываются. Но хотелось бы услышать мнение более опытных. Заранее благодарен. Вставить ник Quote
Andrey Andruschenko Posted May 15, 2007 Author Posted May 15, 2007 (edited) А влан DHCP сервера активен? Размеется. Более того, я несколько менял схему. Отключал relay и прямо в этот vlan втыкал dhcp сервер, порт с dhcp сервером прописывал как trusted. Результат тот же самый. Edited May 15, 2007 by Andrey Andruschenko Вставить ник Quote
kuru Posted May 16, 2007 Posted May 16, 2007 А DSLAM не умеет вставлять opt 82? Если умеет, то на eth должно быть ip dhcp snooping trust, убрать snooping rate limit. Вот это не понятно зачем: ip dhcp snooping information option allow-untrusted Вставить ник Quote
Andrey Andruschenko Posted May 16, 2007 Author Posted May 16, 2007 А DSLAM не умеет вставлять opt 82?Если умеет, то на eth должно быть ip dhcp snooping trust, убрать snooping rate limit. Вот это не понятно зачем: ip dhcp snooping information option allow-untrusted DSLAM opt82 как раз умеетip dhcp snooping information option allow-untrusted Это чтобы пакеты с opt82, которую вставляет DSLAM не резались на каталисте. Насчет убрать rate-limit невижу связи... На каком именно eth должно быть trust? Если на том, что смотрит в DSLAM, то тут вы неправы. Вставить ник Quote
kuru Posted May 16, 2007 Posted May 16, 2007 (edited) Я все-таки доверяю своим свичам/dslam, на транковых портах у меня стоит trust. Все работает. На агрегирующем свиче можно сделать по такой схеме... Btw если rate limit будет превышен, интерфейс перейдет в error-disable. Оно вам надо? Транковые порты класть. Edited May 16, 2007 by kuru Вставить ник Quote
Andrey Andruschenko Posted May 16, 2007 Author Posted May 16, 2007 Я все-таки доверяю своим свичам/dslam, на транковых портах у меня стоит trust. Все работает.На агрегирующем свиче можно сделать по такой схеме... Btw если rate limit будет превышен, интерфейс перейдет в error-disable. Оно вам надо? Транковые порты класть. Да я вообщем тоже доверяю... Недоверяю клиентам :) Хотя DSLAM'ы и фильтруют всякие попытки со стороны клиента вставить opt82 и прочее. Но все же. trust я возможно и пробовал ставить, сейчас уже всех телодвижений не упомню, но будет возможно - проверю этот вариант, хотя imho дело не в этом. Насчет errdisable незнал, в документации об этом не сказано(или я был не внимателен), но ставить rate-limit настойчиво рекомендуют в качестве защиты от DoS на DHCP. Вставить ник Quote
kuru Posted May 16, 2007 Posted May 16, 2007 by default: mskswic73#sh errdisable detect ErrDisable Reason Detection status ----------------- ---------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled vmps Enabled loopback Enabled unicast-flood Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled sfp-config-mismat Enabled gbic-invalid Enabled dhcp-rate-limit Enabled storm-control Enabled community-limit Enabled invalid-policy Enabled mskswic73# Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.