M-a-x-Z Опубликовано 29 сентября, 2011 Навеяно статьёй http://xgu.ru/wiki/DHCP_snooping Предположим, я хочу использовать опцию 82, чтобы каждый коммутатор сообщал в каком порту болтается клиент. При этом я не хочу, что бы клиент мог самостоятельно вставить опцию 82 в пакет. Для коммутатора sw1 задача решается просто: dhcp-snooping option 82 untrusted-policy replace. Теперь все клиентам опция будет принудительно заменяться. А как быть с коммутатором sw2? Если ему указать ту же команду, то опция 82 будет заменяться в том числе и в пакетах, пришедших на порт a5, т.е. информация о портах клиентов на sw1 будет потеряна. Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82. Каким образом применить разную политику опции 82 к различным недоверенным портам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tunny Опубликовано 30 сентября, 2011 Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82. Каким образом применить разную политику опции 82 к различным недоверенным портам? host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82. Каким образом применить разную политику опции 82 к различным недоверенным портам? host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст. Не правильно меня поняли. Если на sw2 будет подключен клиент или сервер - ему нельзя будет запретить изменять опцию 82. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 30 сентября, 2011 не цеплять к sw2 клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 30 сентября, 2011 Сделать downlink порт Sw2 доверенным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 не цеплять к sw2 клиентов. Много портов зря пропадает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 Сделать downlink порт Sw2 доверенным. На доверенном порту не обрабатываются запросв DHCP, как следует из документации. Но стендовые испытания по такой схеме проведу) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 сентября, 2011 "На доверенном порту не обрабатываются запросв DHCP" А зачем их обрабатывать? Он их просто свитчует и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 "На доверенном порту не обрабатываются запросв DHCP" А зачем их обрабатывать? Он их просто свитчует и все. я хотел написать уничтожаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
said777 Опубликовано 2 октября, 2011 У меня подобная проблема на cisco 2950 до сих пор не могу настроить что бы клиент получал ip адрес при использовании опции 82. То что написано в тех документации для cisco 2950 не помогает. Схема такая же как выше описано. Если подробней, то сначала идёт DHCP сервер 10.90.1.1, подключен к первому порту Cisco 3750, а ко второму порту 3750 подключен cisco 2950 24 портом, клиенты подключены к 2950 с 1-го по 23 порт. Вот конфиг Cisco 3750G Switch#sh run Building configuration... Current configuration : 4488 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Switch ! enable secret 5 $1$lZxt$BNIiyrsbwkm9vUxEt8q5g. ! username saidadmin aaa new-model ! aaa session-id common switch 1 provision ws-c3750g-12s ip subnet-zero ip routing ! ip dhcp snooping vlan 149-503 ip dhcp snooping ip dhcp-server 10.90.1.1 ! ! no errdisable detect cause link-flap no errdisable detect cause sfp-config-mismatch no errdisable detect cause gbic-invalid no errdisable detect cause loopback no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20,21,149,501-504,550,570,600,601,700,1000 switchport mode trunk ip dhcp snooping trust ! interface GigabitEthernet1/0/3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 15,20,21,149,501-505,507-510,550-552,570,580-583 switchport trunk allowed vlan add 600,601,700,800 switchport mode trunk storm-control broadcast level 80.00 70.00 storm-control multicast level 80.00 70.00 storm-control action trap ip dhcp snooping trust ! ! interface Vlan1 no ip address shutdown ! interface Vlan149 ip address 192.168.3.100 255.255.240.0 ip helper-address 10.90.1.1 ! interface Vlan501 ip address 10.90.1.2 255.255.255.240 ip helper-address 10.90.1.1 ! interface Vlan503 ip address 10.90.3.2 255.255.255.0 ip helper-address 10.90.1.1 ! ! ip classless ip route 0.0.0.0 0.0.0.0 10.90.1.1 ip http server ! radius-server source-ports 1645-1646 ! control-plane ! ! line con 0 line vty 0 4 password 7 013C16105206072124581C594854 line vty 5 15 password 7 013C16105206072124581C594854 ! end Switch# Switch#sh ip dhcp snoop Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 149,200,501-503 Insertion of option 82 is enabled circuit-id format: vlan-mod-port remote-id format: MAC Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/0/1 yes unlimited GigabitEthernet1/0/3 yes unlimited Switch# Вот конфиг Cisco 2950G 2950G#sh run Building configuration... Current configuration : 3404 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname 2950G ! aaa new-model enable secret 5 $1$pC7O$hy5Qf6HjnGWTpPFXHXOz9/ enable password 7 11584A5445445C5555 ! username admin ip subnet-zero ip dhcp relay information option ip dhcp relay forward spanning-tree ! ip dhcp snooping vlan 503 ip dhcp snooping information option allow-untrusted no ip dhcp snooping information option ip dhcp snooping no ip domain-lookup ip dhcp-server 10.90.1.1 ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! ! ! interface FastEthernet0/3 switchport access vlan 503 switchport mode access no cdp enable ip dhcp snooping limit rate 202 ! interface FastEthernet0/4 switchport access vlan 503 switchport mode access no cdp enable ip dhcp snooping limit rate 202 ! interface FastEthernet0/24 switchport trunk allowed vlan 149,503 switchport mode trunk no cdp enable ip dhcp snooping trust ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan149 ip address 192.168.3.229 255.255.240.0 no ip route-cache ! ip default-gateway 192.168.3.3 no ip http server ! line con 0 exec-timeout 0 0 line vty 0 4 password 7 091D1D584B53404B5A line vty 5 15 password 7 08701F1F5B4F524E43 ! ! end 2950G#sh ip dhcp snoop Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 503 Insertion of option 82 is disabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- FastEthernet0/3 no 202 FastEthernet0/4 no 202 FastEthernet0/24 yes unlimited 2950G# Помогите в чём может быть проблема в долгу не останусь. Удалёнку и всё необходимое предоставлю. Заранее буду благодарен. С уважением, Саид. +7 928 877 99 01 Said_admin[собака]mail.ru Аська 304 895 160 В прикреплённом файле есть подробная схема соединения оборудования и сетей настройка cisco 2950 под DCHP 82.doc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 3 октября, 2011 (изменено) Я попал в логичский тупик. Имеется Cisco 2960-24TC-S (LANLITE) sh ver для него: Cisco IOS Software, C2960 Software (C2960-LANLITEK9-M), Version 12.2(58)SE1, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2011 by Cisco Systems, Inc. Compiled Thu 05-May-11 02:53 by prod_rel_team ROM: Bootstrap program is C2960 boot loader BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY, RELEASE SOFTWARE (fc1) KM14-1-0_skivs uptime is 37 minutes System returned to ROM by power-on System restarted at 10:31:44 EKB Mon Oct 3 2011 System image file is "flash:/c2960-lanlitek9-mz.122-58.SE1/c2960-lanlitek9-mz.122-58.SE1.bin" ...license... cisco WS-C2960-24TC-S (PowerPC405) processor (revision F0) with 65536K bytes of memory. Processor board ID FOC1442X5FN Last reset from power-on 2 Virtual Ethernet interfaces 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 64K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : EC:C8:82:71:03:80 Motherboard assembly number : 73-12601-04 Power supply part number : 341-0097-03 Motherboard serial number : FOC14431LWL Power supply serial number : DCA14308BN3 Model revision number : F0 Motherboard revision number : B0 Model number : WS-C2960-24TC-S System serial number : FOC1442X5FN Top Assembly Part Number : 800-32798-01 Top Assembly Revision Number : C0 Version ID : V06 CLEI Code Number : COMSH00ARD Hardware Board Revision Number : 0x0A Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TC-S 12.2(58)SE1 C2960-LANLITEK9-M Configuration register is 0xF Согласно http://tools.cisco.com/ITDIT/CFN/Dispatch функция IP Source guard пристутствует в прошивке "12.2(58)SE LAN LITE WITH WEB BASED DEV MGR c2960-lanlitek9-tar.122-58.SE.tar 64 32" , которая и установлена. Далее мануал по настройке http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swdhcp82.html#wp1328442 от самой Cisco systems. однако необходимая команда "ip verify source" на физическом интерфейсе отсутствует. Как такое может быть? C dhcp snooping проблема - Windows 2008 сервер не отвечает на пакеты с опцией 82. Т.е. он их нето, что бы не обрабатывает (штатно он этого и не должен), он их вообще не видит. Изменено 3 октября, 2011 пользователем M-a-x-Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 3 октября, 2011 У меня подобная проблема В конфигах нету настроек DHCP сервера. Кто выступает в его роли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
said777 Опубликовано 3 октября, 2011 В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 4 октября, 2011 В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать. Я имел ввиду платформу))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
said777 Опубликовано 4 октября, 2011 (изменено) Просмотр сообщенияsaid777 (Вчера, 18:24) писал: В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать. Я имел ввиду платформу))) В роли DHCP сервера работает ACP Ideco 3 SoftRouter ( http://ideco-software.ru/products/billing/index.html?l=104 ) сама функция опция 82 работает без проблем на Dlink 3526. Схема такая же как выше описано, только на доступе стоят 3526, которые подключены к Cisco 3750. На 3526 клиент по опциия 82 без проблем получает ip адрес, а вот когда ставлю 2950 результат нулевой. Изменено 4 октября, 2011 пользователем said777 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plaxin Опубликовано 26 марта, 2012 ну как?, проблема решена? так же мучаемся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 27 марта, 2012 какой еще ip dhcp-server 10.90.1.1 на свище? нужно на железке где терминируется vlan, в int vlan сделать ip helper address 10.90.1.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plaxin Опубликовано 27 марта, 2012 проблема все ещё есть: вот конфиг: Switch#show running-config Building configuration... IOS C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA13, RELEASE SOFTWARE (fc2) Current configuration : 3027 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! ! ip subnet-zero ip dhcp relay information option ip dhcp relay forward spanning-tree ! ip dhcp snooping vlan 300 ip dhcp snooping vlan 305 ip dhcp snooping ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! ! ! interface FastEthernet0/1 switchport access vlan 300 switchport mode access no cdp enable ip dhcp snooping limit rate 202 ! ! ! ! interface FastEthernet0/48 switchport trunk allowed vlan 300,305 switchport mode trunk no cdp enable ip dhcp snooping trust ! ! ! ! interface Vlan300 no ip address ip helper-address 172.16.31.253 ip dhcp relay information trusted no ip route-cache shutdown ! interface Vlan305 ip address 172.16.6.38 255.255.224.0 ip helper-address 172.16.31.253 ip dhcp relay information trusted no ip route-cache ! ip http server ! line con 0 line vty 0 4 login line vty 5 15 login ! ! end а это пишет дебаг 00:27:06: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1) 00:27:07: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER 00:27:07: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:27:07: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300) 00:27:07: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48. 00:27:10: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1) 00:27:11: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER 00:27:11: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:27:11: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300) 00:27:11: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48. подскажите, мож кто решил эту проблемку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plaxin Опубликовано 27 марта, 2012 в 48 порт включен DHCP сервер, в 1 порт включен комп, на место циски ставлю любой длинк все отлично работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...