Jump to content
Калькуляторы

Cisco DHCP snooping использование опции 82

Навеяно статьёй http://xgu.ru/wiki/DHCP_snooping

 

200px-DHCP_snooping.jpg

 

Предположим, я хочу использовать опцию 82, чтобы каждый коммутатор сообщал в каком порту болтается клиент. При этом я не хочу, что бы клиент мог самостоятельно вставить опцию 82 в пакет.

Для коммутатора sw1 задача решается просто: dhcp-snooping option 82 untrusted-policy replace. Теперь все клиентам опция будет принудительно заменяться.

А как быть с коммутатором sw2? Если ему указать ту же команду, то опция 82 будет заменяться в том числе и в пакетах, пришедших на порт a5, т.е. информация о портах клиентов на sw1 будет потеряна.

Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82.

Каким образом применить разную политику опции 82 к различным недоверенным портам?

Share this post


Link to post
Share on other sites

Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82.

Каким образом применить разную политику опции 82 к различным недоверенным портам?

host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст.

Share this post


Link to post
Share on other sites

Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82.

Каким образом применить разную политику опции 82 к различным недоверенным портам?

host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст.

Не правильно меня поняли. Если на sw2 будет подключен клиент или сервер - ему нельзя будет запретить изменять опцию 82.

Share this post


Link to post
Share on other sites

Сделать downlink порт Sw2 доверенным.

Share this post


Link to post
Share on other sites

не цеплять к sw2 клиентов.

Много портов зря пропадает

Share this post


Link to post
Share on other sites

Сделать downlink порт Sw2 доверенным.

На доверенном порту не обрабатываются запросв DHCP, как следует из документации. Но стендовые испытания по такой схеме проведу)

Share this post


Link to post
Share on other sites

"На доверенном порту не обрабатываются запросв DHCP"

 

А зачем их обрабатывать? Он их просто свитчует и все.

я хотел написать уничтожаются.

Share this post


Link to post
Share on other sites

У меня подобная проблема на cisco 2950 до сих пор не могу настроить что бы клиент получал ip адрес при использовании опции 82.

То что написано в тех документации для cisco 2950 не помогает. Схема такая же как выше описано. Если подробней, то сначала идёт DHCP сервер 10.90.1.1, подключен к первому порту Cisco 3750, а ко второму порту 3750 подключен cisco 2950 24 портом, клиенты подключены к 2950 с 1-го по 23 порт.

 

Вот конфиг Cisco 3750G

 

Switch#sh run

Building configuration...

 

Current configuration : 4488 bytes

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Switch

!

enable secret 5 $1$lZxt$BNIiyrsbwkm9vUxEt8q5g.

!

username saidadmin

aaa new-model

!

aaa session-id common

switch 1 provision ws-c3750g-12s

ip subnet-zero

ip routing

!

ip dhcp snooping vlan 149-503

ip dhcp snooping

ip dhcp-server 10.90.1.1

!

!

no errdisable detect cause link-flap

no errdisable detect cause sfp-config-mismatch

no errdisable detect cause gbic-invalid

no errdisable detect cause loopback

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

interface GigabitEthernet1/0/1

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 20,21,149,501-504,550,570,600,601,700,1000

switchport mode trunk

ip dhcp snooping trust

!

interface GigabitEthernet1/0/3

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 15,20,21,149,501-505,507-510,550-552,570,580-583

switchport trunk allowed vlan add 600,601,700,800

switchport mode trunk

storm-control broadcast level 80.00 70.00

storm-control multicast level 80.00 70.00

storm-control action trap

ip dhcp snooping trust

!

!

interface Vlan1

no ip address

shutdown

!

interface Vlan149

ip address 192.168.3.100 255.255.240.0

ip helper-address 10.90.1.1

!

interface Vlan501

ip address 10.90.1.2 255.255.255.240

ip helper-address 10.90.1.1

!

interface Vlan503

ip address 10.90.3.2 255.255.255.0

ip helper-address 10.90.1.1

!

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.90.1.1

ip http server

!

radius-server source-ports 1645-1646

!

control-plane

!

!

line con 0

line vty 0 4

password 7 013C16105206072124581C594854

line vty 5 15

password 7 013C16105206072124581C594854

!

end

 

Switch#

 

 

Switch#sh ip dhcp snoop

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

149,200,501-503

Insertion of option 82 is enabled

circuit-id format: vlan-mod-port

remote-id format: MAC

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

GigabitEthernet1/0/1 yes unlimited

GigabitEthernet1/0/3 yes unlimited

Switch#

 

Вот конфиг Cisco 2950G

 

2950G#sh run

Building configuration...

 

Current configuration : 3404 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname 2950G

!

aaa new-model

enable secret 5 $1$pC7O$hy5Qf6HjnGWTpPFXHXOz9/

enable password 7 11584A5445445C5555

!

username admin

ip subnet-zero

ip dhcp relay information option

ip dhcp relay forward spanning-tree

!

ip dhcp snooping vlan 503

ip dhcp snooping information option allow-untrusted

no ip dhcp snooping information option

ip dhcp snooping

no ip domain-lookup

ip dhcp-server 10.90.1.1

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/3

switchport access vlan 503

switchport mode access

no cdp enable

ip dhcp snooping limit rate 202

!

interface FastEthernet0/4

switchport access vlan 503

switchport mode access

no cdp enable

ip dhcp snooping limit rate 202

!

interface FastEthernet0/24

switchport trunk allowed vlan 149,503

switchport mode trunk

no cdp enable

ip dhcp snooping trust

!

interface GigabitEthernet0/1

!

interface GigabitEthernet0/2

!

interface Vlan1

no ip address

no ip route-cache

shutdown

!

interface Vlan149

ip address 192.168.3.229 255.255.240.0

no ip route-cache

!

ip default-gateway 192.168.3.3

no ip http server

!

line con 0

exec-timeout 0 0

line vty 0 4

password 7 091D1D584B53404B5A

line vty 5 15

password 7 08701F1F5B4F524E43

!

!

end

 

2950G#sh ip dhcp snoop

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

503

Insertion of option 82 is disabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

FastEthernet0/3 no 202

FastEthernet0/4 no 202

FastEthernet0/24 yes unlimited

2950G#

 

Помогите в чём может быть проблема в долгу не останусь.

Удалёнку и всё необходимое предоставлю.

Заранее буду благодарен.

С уважением, Саид.

+7 928 877 99 01

Said_admin[собака]mail.ru

Аська 304 895 160

 

В прикреплённом файле есть подробная схема соединения оборудования и сетей

настройка cisco 2950 под DCHP 82.doc

Share this post


Link to post
Share on other sites

Я попал в логичский тупик. Имеется Cisco 2960-24TC-S (LANLITE) sh ver для него:

 

Cisco IOS Software, C2960 Software (C2960-LANLITEK9-M), Version 12.2(58)SE1, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2011 by Cisco Systems, Inc.

Compiled Thu 05-May-11 02:53 by prod_rel_team

 

ROM: Bootstrap program is C2960 boot loader

BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY, RELEASE SOFTWARE (fc1)

 

KM14-1-0_skivs uptime is 37 minutes

System returned to ROM by power-on

System restarted at 10:31:44 EKB Mon Oct 3 2011

System image file is "flash:/c2960-lanlitek9-mz.122-58.SE1/c2960-lanlitek9-mz.122-58.SE1.bin"

 

...license...

 

cisco WS-C2960-24TC-S (PowerPC405) processor (revision F0) with 65536K bytes of memory.

Processor board ID FOC1442X5FN

Last reset from power-on

2 Virtual Ethernet interfaces

24 FastEthernet interfaces

2 Gigabit Ethernet interfaces

The password-recovery mechanism is enabled.

 

64K bytes of flash-simulated non-volatile configuration memory.

Base ethernet MAC Address : EC:C8:82:71:03:80

Motherboard assembly number : 73-12601-04

Power supply part number : 341-0097-03

Motherboard serial number : FOC14431LWL

Power supply serial number : DCA14308BN3

Model revision number : F0

Motherboard revision number : B0

Model number : WS-C2960-24TC-S

System serial number : FOC1442X5FN

Top Assembly Part Number : 800-32798-01

Top Assembly Revision Number : C0

Version ID : V06

CLEI Code Number : COMSH00ARD

Hardware Board Revision Number : 0x0A

 

Switch Ports Model SW Version SW Image

------ ----- ----- ---------- ----------

* 1 26 WS-C2960-24TC-S 12.2(58)SE1 C2960-LANLITEK9-M

 

Configuration register is 0xF

 

Согласно http://tools.cisco.com/ITDIT/CFN/Dispatch

функция IP Source guard пристутствует в прошивке

"12.2(58)SE LAN LITE WITH WEB BASED DEV MGR c2960-lanlitek9-tar.122-58.SE.tar 64 32"

, которая и установлена.

 

Далее мануал по настройке http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swdhcp82.html#wp1328442 от самой Cisco systems.

 

однако необходимая команда "ip verify source" на физическом интерфейсе отсутствует. Как такое может быть?

 

 

C dhcp snooping проблема - Windows 2008 сервер не отвечает на пакеты с опцией 82. Т.е. он их нето, что бы не обрабатывает (штатно он этого и не должен), он их вообще не видит.

Edited by M-a-x-Z

Share this post


Link to post
Share on other sites

У меня подобная проблема

В конфигах нету настроек DHCP сервера. Кто выступает в его роли?

Share this post


Link to post
Share on other sites

В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать.

Share this post


Link to post
Share on other sites

В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать.

Я имел ввиду платформу)))

Share this post


Link to post
Share on other sites

Просмотр сообщенияsaid777 (Вчера, 18:24) писал:

В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать.

Я имел ввиду платформу)))

В роли DHCP сервера работает ACP Ideco 3 SoftRouter ( http://ideco-software.ru/products/billing/index.html?l=104 ) сама функция опция 82 работает без проблем на Dlink 3526. Схема такая же как выше описано, только на доступе стоят 3526, которые подключены к Cisco 3750. На 3526 клиент по опциия 82 без проблем получает ip адрес, а вот когда ставлю 2950 результат нулевой.

Edited by said777

Share this post


Link to post
Share on other sites

ну как?, проблема решена?

так же мучаемся

Share this post


Link to post
Share on other sites

какой еще ip dhcp-server 10.90.1.1 на свище?

 

нужно на железке где терминируется vlan, в int vlan сделать ip helper address 10.90.1.1

Share this post


Link to post
Share on other sites

проблема все ещё есть:

вот конфиг:

 

Switch#show running-config

Building configuration...

IOS ™ C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA13, RELEASE SOFTWARE (fc2)

 

Current configuration : 3027 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Switch

!

!

ip subnet-zero

ip dhcp relay information option

ip dhcp relay forward spanning-tree

!

ip dhcp snooping vlan 300

ip dhcp snooping vlan 305

ip dhcp snooping

ip ssh time-out 120

ip ssh authentication-retries 3

vtp mode transparent

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/1

switchport access vlan 300

switchport mode access

no cdp enable

ip dhcp snooping limit rate 202

!

!

!

!

interface FastEthernet0/48

switchport trunk allowed vlan 300,305

switchport mode trunk

no cdp enable

ip dhcp snooping trust

!

!

!

!

interface Vlan300

no ip address

ip helper-address 172.16.31.253

ip dhcp relay information trusted

no ip route-cache

shutdown

!

interface Vlan305

ip address 172.16.6.38 255.255.224.0

ip helper-address 172.16.31.253

ip dhcp relay information trusted

no ip route-cache

!

ip http server

!

line con 0

line vty 0 4

login

line vty 5 15

login

!

!

end

 

 

а это пишет дебаг

 

00:27:06: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)

00:27:07: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER

00:27:07: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:27:07: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300)

00:27:07: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48.

00:27:10: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)

00:27:11: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER

00:27:11: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:27:11: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300)

00:27:11: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48.

 

 

подскажите, мож кто решил эту проблемку.

Share this post


Link to post
Share on other sites

в 48 порт включен DHCP сервер, в 1 порт включен комп, на место циски ставлю любой длинк все отлично работает.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this