Andrey Andruschenko Опубликовано 24 апреля, 2007 · Жалоба Доброго времени суток, коллеги! Впервые столкнулся с dhcp snooping , видимо что-то недопонимаю. Вот такая схема: dhcp_server - g1/7(Catalyst 4503)g1/9 - DSLAM часть конфига каталиста: ip dhcp snooping vlan 99,444,555 ip dhcp snooping information option allow-untrusted no ip dhcp snooping information option ip dhcp snooping database tftp://tftp_server/dhcp_snooping.txt ip dhcp snooping database timeout 500 no ip dhcp snooping verify mac-address ip dhcp snooping interface GigabitEthernet1/7 description _dhcp-server_ switchport access vlan 99 switchport mode access ip dhcp snooping trust interface GigabitEthernet1/9 description _DSLAM_ switchport trunk encapsulation dot1q switchport trunk allowed vlan 555,4000 switchport mode trunk switchport nonegotiate switchport block multicast switchport block unicast storm-control broadcast level 5.00 storm-control action trap no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ip verify source vlan dhcp-snooping ip dhcp snooping limit rate 100 interface Vlan99 description _dhcp-server-net_ ip address 192.168.1.254 255.255.255.0 interface Vlan555 description _DSLAM_ ip address 10.10.7.254 255.255.255.0 ip helper-address 192.168.1.1 no ip redirects no ip unreachables c4503#sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 99,444,555 Insertion of option 82 is disabled Option 82 on untrusted port is allowed Verification of hwaddr field is disabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/7 yes unlimited GigabitEthernet1/9 no 100 GigabitEthernet1/16 no 100 Пакеты до DHCP сервера не доходят. Включил отладку на каталисте, вот что имею: Apr 24 11:06:52 MSK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Gi1/9, MAC da: ffff.ffff.ffff, MAC sa: 0080.48df.4358, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0080.48df.4358 Apr 24 11:06:52 MSK: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0080.48df.4358, mat entry type: 1, port cookie: 413559912 Сдется мне, что в данном случае dhcp пакеты на vlan интерфейсе просто не обрабатываются. Но хотелось бы услышать мнение более опытных. Заранее благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PereIks Опубликовано 12 мая, 2007 · Жалоба А влан DHCP сервера активен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Andruschenko Опубликовано 15 мая, 2007 (изменено) · Жалоба А влан DHCP сервера активен? Размеется. Более того, я несколько менял схему. Отключал relay и прямо в этот vlan втыкал dhcp сервер, порт с dhcp сервером прописывал как trusted. Результат тот же самый. Изменено 15 мая, 2007 пользователем Andrey Andruschenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kuru Опубликовано 16 мая, 2007 · Жалоба А DSLAM не умеет вставлять opt 82? Если умеет, то на eth должно быть ip dhcp snooping trust, убрать snooping rate limit. Вот это не понятно зачем: ip dhcp snooping information option allow-untrusted Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Andruschenko Опубликовано 16 мая, 2007 · Жалоба А DSLAM не умеет вставлять opt 82?Если умеет, то на eth должно быть ip dhcp snooping trust, убрать snooping rate limit. Вот это не понятно зачем: ip dhcp snooping information option allow-untrusted DSLAM opt82 как раз умеетip dhcp snooping information option allow-untrusted Это чтобы пакеты с opt82, которую вставляет DSLAM не резались на каталисте. Насчет убрать rate-limit невижу связи... На каком именно eth должно быть trust? Если на том, что смотрит в DSLAM, то тут вы неправы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kuru Опубликовано 16 мая, 2007 (изменено) · Жалоба Я все-таки доверяю своим свичам/dslam, на транковых портах у меня стоит trust. Все работает. На агрегирующем свиче можно сделать по такой схеме... Btw если rate limit будет превышен, интерфейс перейдет в error-disable. Оно вам надо? Транковые порты класть. Изменено 16 мая, 2007 пользователем kuru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Andruschenko Опубликовано 16 мая, 2007 · Жалоба Я все-таки доверяю своим свичам/dslam, на транковых портах у меня стоит trust. Все работает.На агрегирующем свиче можно сделать по такой схеме... Btw если rate limit будет превышен, интерфейс перейдет в error-disable. Оно вам надо? Транковые порты класть. Да я вообщем тоже доверяю... Недоверяю клиентам :) Хотя DSLAM'ы и фильтруют всякие попытки со стороны клиента вставить opt82 и прочее. Но все же. trust я возможно и пробовал ставить, сейчас уже всех телодвижений не упомню, но будет возможно - проверю этот вариант, хотя imho дело не в этом. Насчет errdisable незнал, в документации об этом не сказано(или я был не внимателен), но ставить rate-limit настойчиво рекомендуют в качестве защиты от DoS на DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kuru Опубликовано 16 мая, 2007 · Жалоба by default: mskswic73#sh errdisable detect ErrDisable Reason Detection status ----------------- ---------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled vmps Enabled loopback Enabled unicast-flood Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled sfp-config-mismat Enabled gbic-invalid Enabled dhcp-rate-limit Enabled storm-control Enabled community-limit Enabled invalid-policy Enabled mskswic73# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...