[M-a-x-Z]

Навеяно статьёй http://xgu.ru/wiki/DHCP_snooping

 

 

Предположим, я хочу использовать опцию 82, чтобы каждый коммутатор сообщал в каком порту болтается клиент. При этом я не хочу, что бы клиент мог самостоятельно вставить опцию 82 в пакет.

Для коммутатора sw1 задача решается просто: dhcp-snooping option 82 untrusted-policy replace. Теперь все клиентам опция будет принудительно заменяться.

А как быть с коммутатором sw2? Если ему указать ту же команду, то опция 82 будет заменяться в том числе и в пакетах, пришедших на порт a5, т.е. информация о портах клиентов на sw1 будет потеряна.

Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82.

Каким образом применить разную политику опции 82 к различным недоверенным портам?

[tunny]

Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82.

Каким образом применить разную политику опции 82 к различным недоверенным портам?

host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст.

[M-a-x-Z]

Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82.

Каким образом применить разную политику опции 82 к различным недоверенным портам?

host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст.

Не правильно меня поняли. Если на sw2 будет подключен клиент или сервер - ему нельзя будет запретить изменять опцию 82.

[zhenya`]

не цеплять к sw2 клиентов.

[vurd]

Сделать downlink порт Sw2 доверенным.

[M-a-x-Z]

не цеплять к sw2 клиентов.

Много портов зря пропадает

[M-a-x-Z]

Сделать downlink порт Sw2 доверенным.

На доверенном порту не обрабатываются запросв DHCP, как следует из документации. Но стендовые испытания по такой схеме проведу)

[Дегтярев Илья]

"На доверенном порту не обрабатываются запросв DHCP"

 

А зачем их обрабатывать? Он их просто свитчует и все.

[M-a-x-Z]

"На доверенном порту не обрабатываются запросв DHCP"

 

А зачем их обрабатывать? Он их просто свитчует и все.

я хотел написать уничтожаются.

[said777]

У меня подобная проблема на cisco 2950 до сих пор не могу настроить что бы клиент получал ip адрес при использовании опции 82.

То что написано в тех документации для cisco 2950 не помогает. Схема такая же как выше описано. Если подробней, то сначала идёт DHCP сервер 10.90.1.1, подключен к первому порту Cisco 3750, а ко второму порту 3750 подключен cisco 2950 24 портом, клиенты подключены к 2950 с 1-го по 23 порт.

 

Вот конфиг Cisco 3750G

 

Switch#sh run

Building configuration...

 

Current configuration : 4488 bytes

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Switch

!

enable secret 5 $1$lZxt$BNIiyrsbwkm9vUxEt8q5g.

!

username saidadmin

aaa new-model

!

aaa session-id common

switch 1 provision ws-c3750g-12s

ip subnet-zero

ip routing

!

ip dhcp snooping vlan 149-503

ip dhcp snooping

ip dhcp-server 10.90.1.1

!

!

no errdisable detect cause link-flap

no errdisable detect cause sfp-config-mismatch

no errdisable detect cause gbic-invalid

no errdisable detect cause loopback

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

interface GigabitEthernet1/0/1

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 20,21,149,501-504,550,570,600,601,700,1000

switchport mode trunk

ip dhcp snooping trust

!

interface GigabitEthernet1/0/3

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 15,20,21,149,501-505,507-510,550-552,570,580-583

switchport trunk allowed vlan add 600,601,700,800

switchport mode trunk

storm-control broadcast level 80.00 70.00

storm-control multicast level 80.00 70.00

storm-control action trap

ip dhcp snooping trust

!

!

interface Vlan1

no ip address

shutdown

!

interface Vlan149

ip address 192.168.3.100 255.255.240.0

ip helper-address 10.90.1.1

!

interface Vlan501

ip address 10.90.1.2 255.255.255.240

ip helper-address 10.90.1.1

!

interface Vlan503

ip address 10.90.3.2 255.255.255.0

ip helper-address 10.90.1.1

!

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.90.1.1

ip http server

!

radius-server source-ports 1645-1646

!

control-plane

!

!

line con 0

line vty 0 4

password 7 013C16105206072124581C594854

line vty 5 15

password 7 013C16105206072124581C594854

!

end

 

Switch#

 

 

Switch#sh ip dhcp snoop

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

149,200,501-503

Insertion of option 82 is enabled

circuit-id format: vlan-mod-port

remote-id format: MAC

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

GigabitEthernet1/0/1 yes unlimited

GigabitEthernet1/0/3 yes unlimited

Switch#

 

Вот конфиг Cisco 2950G

 

2950G#sh run

Building configuration...

 

Current configuration : 3404 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname 2950G

!

aaa new-model

enable secret 5 $1$pC7O$hy5Qf6HjnGWTpPFXHXOz9/

enable password 7 11584A5445445C5555

!

username admin

ip subnet-zero

ip dhcp relay information option

ip dhcp relay forward spanning-tree

!

ip dhcp snooping vlan 503

ip dhcp snooping information option allow-untrusted

no ip dhcp snooping information option

ip dhcp snooping

no ip domain-lookup

ip dhcp-server 10.90.1.1

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/3

switchport access vlan 503

switchport mode access

no cdp enable

ip dhcp snooping limit rate 202

!

interface FastEthernet0/4

switchport access vlan 503

switchport mode access

no cdp enable

ip dhcp snooping limit rate 202

!

interface FastEthernet0/24

switchport trunk allowed vlan 149,503

switchport mode trunk

no cdp enable

ip dhcp snooping trust

!

interface GigabitEthernet0/1

!

interface GigabitEthernet0/2

!

interface Vlan1

no ip address

no ip route-cache

shutdown

!

interface Vlan149

ip address 192.168.3.229 255.255.240.0

no ip route-cache

!

ip default-gateway 192.168.3.3

no ip http server

!

line con 0

exec-timeout 0 0

line vty 0 4

password 7 091D1D584B53404B5A

line vty 5 15

password 7 08701F1F5B4F524E43

!

!

end

 

2950G#sh ip dhcp snoop

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

503

Insertion of option 82 is disabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

FastEthernet0/3 no 202

FastEthernet0/4 no 202

FastEthernet0/24 yes unlimited

2950G#

 

Помогите в чём может быть проблема в долгу не останусь.

Удалёнку и всё необходимое предоставлю.

Заранее буду благодарен.

С уважением, Саид.

+7 928 877 99 01

Said_admin[собака]mail.ru

Аська 304 895 160

 

В прикреплённом файле есть подробная схема соединения оборудования и сетей

настройка cisco 2950 под DCHP 82.doc

[M-a-x-Z]

Я попал в логичский тупик. Имеется Cisco 2960-24TC-S (LANLITE) sh ver для него:

 

Cisco IOS Software, C2960 Software (C2960-LANLITEK9-M), Version 12.2(58)SE1, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2011 by Cisco Systems, Inc.

Compiled Thu 05-May-11 02:53 by prod_rel_team

 

ROM: Bootstrap program is C2960 boot loader

BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY, RELEASE SOFTWARE (fc1)

 

KM14-1-0_skivs uptime is 37 minutes

System returned to ROM by power-on

System restarted at 10:31:44 EKB Mon Oct 3 2011

System image file is "flash:/c2960-lanlitek9-mz.122-58.SE1/c2960-lanlitek9-mz.122-58.SE1.bin"

 

...license...

 

cisco WS-C2960-24TC-S (PowerPC405) processor (revision F0) with 65536K bytes of memory.

Processor board ID FOC1442X5FN

Last reset from power-on

2 Virtual Ethernet interfaces

24 FastEthernet interfaces

2 Gigabit Ethernet interfaces

The password-recovery mechanism is enabled.

 

64K bytes of flash-simulated non-volatile configuration memory.

Base ethernet MAC Address : EC:C8:82:71:03:80

Motherboard assembly number : 73-12601-04

Power supply part number : 341-0097-03

Motherboard serial number : FOC14431LWL

Power supply serial number : DCA14308BN3

Model revision number : F0

Motherboard revision number : B0

Model number : WS-C2960-24TC-S

System serial number : FOC1442X5FN

Top Assembly Part Number : 800-32798-01

Top Assembly Revision Number : C0

Version ID : V06

CLEI Code Number : COMSH00ARD

Hardware Board Revision Number : 0x0A

 

Switch Ports Model SW Version SW Image

------ ----- ----- ---------- ----------

* 1 26 WS-C2960-24TC-S 12.2(58)SE1 C2960-LANLITEK9-M

 

Configuration register is 0xF

 

Согласно http://tools.cisco.com/ITDIT/CFN/Dispatch

функция IP Source guard пристутствует в прошивке

"12.2(58)SE LAN LITE WITH WEB BASED DEV MGR c2960-lanlitek9-tar.122-58.SE.tar 64 32"

, которая и установлена.

 

Далее мануал по настройке http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swdhcp82.html#wp1328442 от самой Cisco systems.

 

однако необходимая команда "ip verify source" на физическом интерфейсе отсутствует. Как такое может быть?

 

 

C dhcp snooping проблема - Windows 2008 сервер не отвечает на пакеты с опцией 82. Т.е. он их нето, что бы не обрабатывает (штатно он этого и не должен), он их вообще не видит.

Изменено 3 октября, 2011 пользователем M-a-x-Z

[M-a-x-Z]

У меня подобная проблема

В конфигах нету настроек DHCP сервера. Кто выступает в его роли?

[said777]

В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать.

[M-a-x-Z]

В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать.

Я имел ввиду платформу)))

[said777]

Просмотр сообщенияsaid777 (Вчера, 18:24) писал:

В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать.

Я имел ввиду платформу)))

В роли DHCP сервера работает ACP Ideco 3 SoftRouter ( http://ideco-software.ru/products/billing/index.html?l=104 ) сама функция опция 82 работает без проблем на Dlink 3526. Схема такая же как выше описано, только на доступе стоят 3526, которые подключены к Cisco 3750. На 3526 клиент по опциия 82 без проблем получает ip адрес, а вот когда ставлю 2950 результат нулевой.

Изменено 4 октября, 2011 пользователем said777

[plaxin]

ну как?, проблема решена?

так же мучаемся

[zhenya`]

какой еще ip dhcp-server 10.90.1.1 на свище?

 

нужно на железке где терминируется vlan, в int vlan сделать ip helper address 10.90.1.1

[plaxin]

проблема все ещё есть:

вот конфиг:

 

Switch#show running-config

Building configuration...

IOS ™ C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA13, RELEASE SOFTWARE (fc2)

 

Current configuration : 3027 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Switch

!

!

ip subnet-zero

ip dhcp relay information option

ip dhcp relay forward spanning-tree

!

ip dhcp snooping vlan 300

ip dhcp snooping vlan 305

ip dhcp snooping

ip ssh time-out 120

ip ssh authentication-retries 3

vtp mode transparent

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/1

switchport access vlan 300

switchport mode access

no cdp enable

ip dhcp snooping limit rate 202

!

!

!

!

interface FastEthernet0/48

switchport trunk allowed vlan 300,305

switchport mode trunk

no cdp enable

ip dhcp snooping trust

!

!

!

!

interface Vlan300

no ip address

ip helper-address 172.16.31.253

ip dhcp relay information trusted

no ip route-cache

shutdown

!

interface Vlan305

ip address 172.16.6.38 255.255.224.0

ip helper-address 172.16.31.253

ip dhcp relay information trusted

no ip route-cache

!

ip http server

!

line con 0

line vty 0 4

login

line vty 5 15

login

!

!

end

 

 

а это пишет дебаг

 

00:27:06: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)

00:27:07: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER

00:27:07: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:27:07: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300)

00:27:07: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48.

00:27:10: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)

00:27:11: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER

00:27:11: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:27:11: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300)

00:27:11: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48.

 

 

подскажите, мож кто решил эту проблемку.

[plaxin]

в 48 порт включен DHCP сервер, в 1 порт включен комп, на место циски ставлю любой длинк все отлично работает.