M-a-x-Z Опубликовано 29 сентября, 2011 · Жалоба Навеяно статьёй http://xgu.ru/wiki/DHCP_snooping Предположим, я хочу использовать опцию 82, чтобы каждый коммутатор сообщал в каком порту болтается клиент. При этом я не хочу, что бы клиент мог самостоятельно вставить опцию 82 в пакет. Для коммутатора sw1 задача решается просто: dhcp-snooping option 82 untrusted-policy replace. Теперь все клиентам опция будет принудительно заменяться. А как быть с коммутатором sw2? Если ему указать ту же команду, то опция 82 будет заменяться в том числе и в пакетах, пришедших на порт a5, т.е. информация о портах клиентов на sw1 будет потеряна. Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82. Каким образом применить разную политику опции 82 к различным недоверенным портам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tunny Опубликовано 30 сентября, 2011 · Жалоба Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82. Каким образом применить разную политику опции 82 к различным недоверенным портам? host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 · Жалоба Если указать команду dhcp-snooping option 82 untrusted-policy keep - то клиент может самовольно изменять значение опции 82. Каким образом применить разную политику опции 82 к различным недоверенным портам? host1 и host2 не смогут самостоятельно изменить опцию, sw1 не даст. Не правильно меня поняли. Если на sw2 будет подключен клиент или сервер - ему нельзя будет запретить изменять опцию 82. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 30 сентября, 2011 · Жалоба не цеплять к sw2 клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 30 сентября, 2011 · Жалоба Сделать downlink порт Sw2 доверенным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 · Жалоба не цеплять к sw2 клиентов. Много портов зря пропадает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 · Жалоба Сделать downlink порт Sw2 доверенным. На доверенном порту не обрабатываются запросв DHCP, как следует из документации. Но стендовые испытания по такой схеме проведу) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 сентября, 2011 · Жалоба "На доверенном порту не обрабатываются запросв DHCP" А зачем их обрабатывать? Он их просто свитчует и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 30 сентября, 2011 · Жалоба "На доверенном порту не обрабатываются запросв DHCP" А зачем их обрабатывать? Он их просто свитчует и все. я хотел написать уничтожаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
said777 Опубликовано 2 октября, 2011 · Жалоба У меня подобная проблема на cisco 2950 до сих пор не могу настроить что бы клиент получал ip адрес при использовании опции 82. То что написано в тех документации для cisco 2950 не помогает. Схема такая же как выше описано. Если подробней, то сначала идёт DHCP сервер 10.90.1.1, подключен к первому порту Cisco 3750, а ко второму порту 3750 подключен cisco 2950 24 портом, клиенты подключены к 2950 с 1-го по 23 порт. Вот конфиг Cisco 3750G Switch#sh run Building configuration... Current configuration : 4488 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Switch ! enable secret 5 $1$lZxt$BNIiyrsbwkm9vUxEt8q5g. ! username saidadmin aaa new-model ! aaa session-id common switch 1 provision ws-c3750g-12s ip subnet-zero ip routing ! ip dhcp snooping vlan 149-503 ip dhcp snooping ip dhcp-server 10.90.1.1 ! ! no errdisable detect cause link-flap no errdisable detect cause sfp-config-mismatch no errdisable detect cause gbic-invalid no errdisable detect cause loopback no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 20,21,149,501-504,550,570,600,601,700,1000 switchport mode trunk ip dhcp snooping trust ! interface GigabitEthernet1/0/3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 15,20,21,149,501-505,507-510,550-552,570,580-583 switchport trunk allowed vlan add 600,601,700,800 switchport mode trunk storm-control broadcast level 80.00 70.00 storm-control multicast level 80.00 70.00 storm-control action trap ip dhcp snooping trust ! ! interface Vlan1 no ip address shutdown ! interface Vlan149 ip address 192.168.3.100 255.255.240.0 ip helper-address 10.90.1.1 ! interface Vlan501 ip address 10.90.1.2 255.255.255.240 ip helper-address 10.90.1.1 ! interface Vlan503 ip address 10.90.3.2 255.255.255.0 ip helper-address 10.90.1.1 ! ! ip classless ip route 0.0.0.0 0.0.0.0 10.90.1.1 ip http server ! radius-server source-ports 1645-1646 ! control-plane ! ! line con 0 line vty 0 4 password 7 013C16105206072124581C594854 line vty 5 15 password 7 013C16105206072124581C594854 ! end Switch# Switch#sh ip dhcp snoop Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 149,200,501-503 Insertion of option 82 is enabled circuit-id format: vlan-mod-port remote-id format: MAC Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/0/1 yes unlimited GigabitEthernet1/0/3 yes unlimited Switch# Вот конфиг Cisco 2950G 2950G#sh run Building configuration... Current configuration : 3404 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname 2950G ! aaa new-model enable secret 5 $1$pC7O$hy5Qf6HjnGWTpPFXHXOz9/ enable password 7 11584A5445445C5555 ! username admin ip subnet-zero ip dhcp relay information option ip dhcp relay forward spanning-tree ! ip dhcp snooping vlan 503 ip dhcp snooping information option allow-untrusted no ip dhcp snooping information option ip dhcp snooping no ip domain-lookup ip dhcp-server 10.90.1.1 ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! ! ! interface FastEthernet0/3 switchport access vlan 503 switchport mode access no cdp enable ip dhcp snooping limit rate 202 ! interface FastEthernet0/4 switchport access vlan 503 switchport mode access no cdp enable ip dhcp snooping limit rate 202 ! interface FastEthernet0/24 switchport trunk allowed vlan 149,503 switchport mode trunk no cdp enable ip dhcp snooping trust ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan149 ip address 192.168.3.229 255.255.240.0 no ip route-cache ! ip default-gateway 192.168.3.3 no ip http server ! line con 0 exec-timeout 0 0 line vty 0 4 password 7 091D1D584B53404B5A line vty 5 15 password 7 08701F1F5B4F524E43 ! ! end 2950G#sh ip dhcp snoop Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 503 Insertion of option 82 is disabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- FastEthernet0/3 no 202 FastEthernet0/4 no 202 FastEthernet0/24 yes unlimited 2950G# Помогите в чём может быть проблема в долгу не останусь. Удалёнку и всё необходимое предоставлю. Заранее буду благодарен. С уважением, Саид. +7 928 877 99 01 Said_admin[собака]mail.ru Аська 304 895 160 В прикреплённом файле есть подробная схема соединения оборудования и сетей настройка cisco 2950 под DCHP 82.doc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 3 октября, 2011 (изменено) · Жалоба Я попал в логичский тупик. Имеется Cisco 2960-24TC-S (LANLITE) sh ver для него: Cisco IOS Software, C2960 Software (C2960-LANLITEK9-M), Version 12.2(58)SE1, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2011 by Cisco Systems, Inc. Compiled Thu 05-May-11 02:53 by prod_rel_team ROM: Bootstrap program is C2960 boot loader BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY, RELEASE SOFTWARE (fc1) KM14-1-0_skivs uptime is 37 minutes System returned to ROM by power-on System restarted at 10:31:44 EKB Mon Oct 3 2011 System image file is "flash:/c2960-lanlitek9-mz.122-58.SE1/c2960-lanlitek9-mz.122-58.SE1.bin" ...license... cisco WS-C2960-24TC-S (PowerPC405) processor (revision F0) with 65536K bytes of memory. Processor board ID FOC1442X5FN Last reset from power-on 2 Virtual Ethernet interfaces 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 64K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : EC:C8:82:71:03:80 Motherboard assembly number : 73-12601-04 Power supply part number : 341-0097-03 Motherboard serial number : FOC14431LWL Power supply serial number : DCA14308BN3 Model revision number : F0 Motherboard revision number : B0 Model number : WS-C2960-24TC-S System serial number : FOC1442X5FN Top Assembly Part Number : 800-32798-01 Top Assembly Revision Number : C0 Version ID : V06 CLEI Code Number : COMSH00ARD Hardware Board Revision Number : 0x0A Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TC-S 12.2(58)SE1 C2960-LANLITEK9-M Configuration register is 0xF Согласно http://tools.cisco.com/ITDIT/CFN/Dispatch функция IP Source guard пристутствует в прошивке "12.2(58)SE LAN LITE WITH WEB BASED DEV MGR c2960-lanlitek9-tar.122-58.SE.tar 64 32" , которая и установлена. Далее мануал по настройке http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swdhcp82.html#wp1328442 от самой Cisco systems. однако необходимая команда "ip verify source" на физическом интерфейсе отсутствует. Как такое может быть? C dhcp snooping проблема - Windows 2008 сервер не отвечает на пакеты с опцией 82. Т.е. он их нето, что бы не обрабатывает (штатно он этого и не должен), он их вообще не видит. Изменено 3 октября, 2011 пользователем M-a-x-Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 3 октября, 2011 · Жалоба У меня подобная проблема В конфигах нету настроек DHCP сервера. Кто выступает в его роли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
said777 Опубликовано 3 октября, 2011 · Жалоба В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 4 октября, 2011 · Жалоба В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать. Я имел ввиду платформу))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
said777 Опубликовано 4 октября, 2011 (изменено) · Жалоба Просмотр сообщенияsaid777 (Вчера, 18:24) писал: В роли DHCP выступает сервер 10.90.1.1 я его указал на обеих коммутаторах ip dhcp-server 10.90.1.1 только вот правильно или нет не могу сказать. Я имел ввиду платформу))) В роли DHCP сервера работает ACP Ideco 3 SoftRouter ( http://ideco-software.ru/products/billing/index.html?l=104 ) сама функция опция 82 работает без проблем на Dlink 3526. Схема такая же как выше описано, только на доступе стоят 3526, которые подключены к Cisco 3750. На 3526 клиент по опциия 82 без проблем получает ip адрес, а вот когда ставлю 2950 результат нулевой. Изменено 4 октября, 2011 пользователем said777 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plaxin Опубликовано 26 марта, 2012 · Жалоба ну как?, проблема решена? так же мучаемся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 27 марта, 2012 · Жалоба какой еще ip dhcp-server 10.90.1.1 на свище? нужно на железке где терминируется vlan, в int vlan сделать ip helper address 10.90.1.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plaxin Опубликовано 27 марта, 2012 · Жалоба проблема все ещё есть: вот конфиг: Switch#show running-config Building configuration... IOS C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA13, RELEASE SOFTWARE (fc2) Current configuration : 3027 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! ! ip subnet-zero ip dhcp relay information option ip dhcp relay forward spanning-tree ! ip dhcp snooping vlan 300 ip dhcp snooping vlan 305 ip dhcp snooping ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! ! ! interface FastEthernet0/1 switchport access vlan 300 switchport mode access no cdp enable ip dhcp snooping limit rate 202 ! ! ! ! interface FastEthernet0/48 switchport trunk allowed vlan 300,305 switchport mode trunk no cdp enable ip dhcp snooping trust ! ! ! ! interface Vlan300 no ip address ip helper-address 172.16.31.253 ip dhcp relay information trusted no ip route-cache shutdown ! interface Vlan305 ip address 172.16.6.38 255.255.224.0 ip helper-address 172.16.31.253 ip dhcp relay information trusted no ip route-cache ! ip http server ! line con 0 line vty 0 4 login line vty 5 15 login ! ! end а это пишет дебаг 00:27:06: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1) 00:27:07: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER 00:27:07: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:27:07: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300) 00:27:07: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48. 00:27:10: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1) 00:27:11: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER 00:27:11: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:27:11: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (300) 00:27:11: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/48. подскажите, мож кто решил эту проблемку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
plaxin Опубликовано 27 марта, 2012 · Жалоба в 48 порт включен DHCP сервер, в 1 порт включен комп, на место циски ставлю любой длинк все отлично работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...