DHCP-Snooping trên 3com S4210

8

Tôi đang thiết lập dhcp snooping với bộ bảo vệ nguồn IP và DAI trên một số thiết bị chuyển mạch 342 S4210.

Tôi tìm thấy vấn đề với việc ghi lại các ràng buộc trong cơ sở dữ liệu rình mò. Trong một số trường hợp tôi biết rằng có PC được kết nối với giao diện, nó sử dụng DHCP, thậm chí chuyển đổi nói trong việc gỡ lỗi rằng có lưu lượng DHCP, kết nối trên PC hoạt động với địa chỉ được gán nhưng không có bản ghi khi tôi thực hiện lệnh hiển thị dhcp-snooping .

Bằng cách thực hiện một số thử nghiệm trên phòng thí nghiệm bảng, tôi thấy rằng nếu lưu lượng DHCP đi trong 2 cổng truy cập (cả máy khách và máy chủ đều ở cùng một vlan, cả hai đều được kết nối với cổng truy cập) so với ghi lại.

Sau khi tôi kết nối DHCP với giao diện trung kế (như trong mạng trực tiếp, máy chủ DHCP được kết nối với một công tắc khác và có rơle trên bộ định tuyến), khi DHCP đang giao tiếp tại vlan không được bảo vệ của trung kế đó, liên kết được ghi lại (sử dụng tương tự nếu sử dụng máy khách trên cổng truy cập với vlan 1 hoặc máy khách được kết nối trên cổng có quyền truy cập vlan X và tôi đặt trên cổng lệnh trung kế cổng trung kế pvid vlan X ).

Nếu lưu lượng DHCP đi kèm được ném vào thân cây, ràng buộc không được ghi lại trên switch. Trong mọi trường hợp, bất kể nó được cấu hình như thế nào, máy khách sẽ nhận được địa chỉ chính xác từ DHCP và có thể giao tiếp chính xác.

Nếu không có db ràng buộc làm việc thích hợp, tôi không thể kích hoạt bảo vệ nguồn IP và DAI.

Tôi có sẵn FW mới nhất cho công tắc này (không dễ tìm thấy nó trên các trang web của HP nhưng sau một thời gian Google đã giúp đỡ)

Bởi Google tôi thấy rằng trên các sản phẩm của Cisco, bạn cần kích hoạt dhcp-snooping cho vlans nhưng trên 3com không tìm thấy bất cứ điều gì tương tự trong tài liệu hoặc bất kỳ lệnh tương tự nào trong dòng lệnh chuyển đổi.

Có ai có những vấn đề này và tìm ra vấn đề ở đâu không?

Không thể hỏi trực tiếp HP vì bảo hành hỗ trợ kỹ thuật của chúng tôi đã hết hạn và họ sẽ không nói chuyện với tôi (đã thử trong tình huống khác nhau).

Cảm ơn câu trả lời.

Michal

security  dhcp  dhcp-snooping 
skvedo
nguồn
Bạn có thể đăng cấu hình DHCP-snooping liên quan của bạn?
Ryan Foley
Fizzle: xin lỗi vì sự chậm trễ, đã không kiểm tra trang này quá thường xuyên. Cấu hình đơn giản. Chỉ cần kích hoạt nó bằng lệnh dhcp-snooping và thiết lập giao diện giao diện đáng tin cậy GigabitEthernet1 /
0/50
Đại lý chuyển tiếp ở đâu trong tham chiếu đến công dhcp-snoopingtắc?
Ryan Foley
Trong cấu hình phòng thí nghiệm này, tôi đã kết nối trực tiếp thiết bị máy chủ DHCP trên giao diện Gi1 /
0/50
Là công tắc bạn đang cố gắng kích hoạt dhcp-snoopingtrên một tác nhân chuyển tiếp hoặc định tuyến giữa các Vlan?
Ryan Foley

Câu trả lời:

2

Để cho dhcp-snoopingchức năng một cách chính xác, các nhu cầu thiết bị rình mò để được thiết lập như chỉ là một thiết bị lớp 2 (tức là không thực hiện chức năng DHCP ở tất cả ). Có một vài gotcha từ tài liệu của 3Com, Hướng dẫn cấu hình gia đình 3Com® Switch 4500G (trang 405) , vẫn có thể áp dụng cho nền tảng của bạn.

DHCP Snooping không hỗ trợ tổng hợp liên kết. Nếu một cổng Ethernet được thêm vào một nhóm tổng hợp, cấu hình DHCP Snooping trên đó sẽ không có hiệu lực. Khi cổng được xóa khỏi nhóm, DHCP Snooping có thể có hiệu lực.

Nếu bạn đã tổng hợp các cổng đường lên ( 802.3ax ), liên kết sẽ không được rình mò .

Thiết bị hỗ trợ snooping của DHCP không hoạt động nếu nó nằm giữa tác nhân chuyển tiếp DHCP và máy chủ DHCP và nó có thể hoạt động khi ở giữa máy khách DHCP và tác nhân chuyển tiếp hoặc giữa máy khách DHCP và máy chủ.

Trong kịch bản giường thử nghiệm của bạn, về cơ bản, bạn đã có một máy khách và một máy chủ được kết nối thành 2 cổng truy cập khác nhau; một cổng DHCP đáng tin cậy . Đây là cách đơn giản nhất để thiết lập DHCP-snooping. Nếu điều này sai, tôi sẽ nghi ngờ có một lỗi khác, vấn đề cơ bản / cấu hình.

Thiết bị hỗ trợ DHCP Snooping không thể là máy chủ DHCP, tác nhân chuyển tiếp DHCP, máy khách DHCP hoặc máy khách BOOTP. Do đó, DHCP Snooping phải được tắt trên máy chủ DHCP, tác nhân chuyển tiếp, tác nhân chuyển tiếp DHCP, máy khách DHCP và máy khách BOOTP.

Điều cuối cùng này có nghĩa là bạn thực sự không thể có công tắc của mình thực hiện bất kỳ chức năng DHCP nào , ngoài việc rình mò DHCP.

Trong các bình luận, bạn đã nói rằng nó chỉ là thiết bị L2 . Tôi sẽ kiểm tra các cấu hình của bạn kỹ hơn, bởi vì bạn đang cố gắng thực hiện các cấu hình cơ bản tuyệt đối cần thiết cho DHCP snooping để hoạt động. Bạn đã thử nghiệm nó trên mạng thử nghiệm của mình và nó hoạt động tốt. Bây giờ, mạng sản xuất của bạn, với các cấu hình dường như giống hệt nhau, không hoạt động.

Dưới đây là các quy trình cấu hình cơ bản từ tài liệu 3Com ; Nếu chúng không hoạt động, tôi chắc chắn sẽ tìm ở nơi khác.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
nguồn
Tôi đã kiểm tra lại cấu hình. Bạn có thể thấy nó ở đó (chỉ thay đổi địa chỉ và mật khẩu băm, xóa cấu hình giao diện không sử dụng): pastebin.com/uniME5fT . Gần đây, cấu hình DHCP snooping trên thiết bị tìm thấy của Cisco trong doc, rằng bạn cần bật tùy chọn chèn 82. Đã thử nó trên 3com, nhưng không có sự khác biệt nào cả. Vẫn vấn đề tương tự. Nếu câu trả lời từ máy chủ DHCP được gửi để chuyển đổi trong các khung được gắn thẻ 802.1q, thì giới hạn không được ghi lại trong chuyển đổi.
skvedo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.