DHCP-Snooping auf 3com S4210

8

Ich richte DHCP-Snooping mit IP Source Guard und DAI auf einigen 3com S4210-Switches ein.

Ich habe ein Problem beim Aufzeichnen von Bindungen in der Snooping-Datenbank gefunden. In einigen Fällen weiß ich, dass ein PC mit der Schnittstelle verbunden ist. Er verwendet den DHCP-Schalter und sagt sogar beim Debbuging, dass DHCP-Verkehr besteht. Die Verbindung auf dem PC funktioniert mit der zugewiesenen Adresse, aber es gibt keinen Datensatz, wenn ich den Befehl display dhcp-snooping ausführe .

Bei einigen Experimenten im Tabellenlabor stellte ich fest, dass DHCP-Datenverkehr innerhalb von zwei Zugriffsports (sowohl Client als auch Server befinden sich im selben VLAN, beide mit Zugriffsports verbunden) aufgezeichnet wird.

Nachdem ich DHCP mit der Trunk-Schnittstelle verbunden habe (wie im Live-Netzwerk, ist der DHCP-Server mit einem anderen Switch verbunden und es gibt ein Relay am Router), wird die Bindung aufgezeichnet, wenn DHCP mit einem nicht getaggten VLAN dieses Trunks kommuniziert (dasselbe Verhalten bei Verwendung) Client am Zugriffsport mit VLAN 1 oder Client am Port mit Zugriff VLAN X und ich setzen den Befehl für den Trunk-Port Port Trunk Pvid VLAN X ).

Wenn der DHCP-Verkehr mit einem Tag-Throw-Trunk versehen ist, wird die Bindung nicht auf dem Switch aufgezeichnet. Unabhängig von der Konfiguration erhält der Client in allen Fällen die richtige Adresse von DHCP und kann korrekt kommunizieren.

Ohne ordnungsgemäß funktionierende Bindungsdatenbank kann ich IP Source Guard und DAI nicht aktivieren.

Ich habe die neueste FW für diesen Schalter verfügbar (war auf HP-Webseiten nicht leicht zu finden, aber Google hat nach einiger Zeit geholfen).

Bei Google habe ich festgestellt, dass Sie bei Cisco-Produkten das DHCP-Snooping für vlans aktivieren müssen, bei 3com jedoch nichts Ähnliches in der Dokumentation oder einen ähnlichen Befehl in der Switch-Befehlszeile gefunden haben.

Hatte jemand diese Probleme und fand heraus, wo das Problem liegt?

Ich kann HP nicht direkt fragen, da unsere Garantie für den technischen Support bereits abgelaufen ist und sie nicht mit mir sprechen (in einer anderen Situation ausprobiert).

Danke für die Antworten.

Michal

security dhcp dhcp-snooping Skvedo
quelle
Können Sie Ihre relevanten DHCP-Snooping-Konfigurationen veröffentlichen?
Ryan Foley
Fizzle: Entschuldigung für die Verzögerung, habe diese Seite nicht so häufig überprüft. Die Konfiguration ist einfach. Einfach durch den Befehl dhcp-snooping aktiviert und die vertrauenswürdige Schnittstellenschnittstelle GigabitEthernet1 / 0/50 festgelegt. Dhcp-snooping trust
skvedo
Wo befindet sich der Relaisagent in Bezug auf den dhcp-snoopingSchalter?
Ryan Foley
In dieser Laborkonfiguration habe ich das DHCP-Servergerät direkt an die Schnittstelle Gi1 /
0/50 angeschlossen
Ist der Switch, den Sie aktivieren dhcp-snoopingmöchten, ein Relay Agent oder ein Routing zwischen den VLANs?
Ryan Foley

Antworten:

2

Um dhcp-snoopingkorrekt zu funktionieren, werden die Snooping - Gerät Bedürfnisse Setup als nur eine Schicht - 2 - Gerät (dh nicht DHCP Funktionen ausführen überhaupt ). Es gibt einige Fallstricke aus der 3Com-Dokumentation, 3Com® Switch 4500G Family Configuration Guide (S. 405) , die weiterhin für Ihre Plattform gelten sollten.

Das DHCP-Snooping unterstützt keine Link-Aggregation. Wenn ein Ethernet-Port zu einer Aggregationsgruppe hinzugefügt wird, wird die DHCP-Snooping-Konfiguration nicht wirksam. Wenn der Port aus der Gruppe entfernt wird, kann DHCP-Snooping wirksam werden.

Wenn Sie Uplink-Ports ( 802.3ax ) zusammengefasst haben, wird der Link nicht abgehört.

Das DHCP-Snooping-fähige Gerät funktioniert nicht, wenn es sich zwischen dem DHCP-Relay-Agenten und dem DHCP-Server befindet, und es kann funktionieren, wenn es sich zwischen dem DHCP-Client und dem Relay-Agenten oder zwischen dem DHCP-Client und dem Server befindet.

In Ihrem Prüfstandsszenario hatten Sie im Grunde einen Client und einen Server, die mit zwei verschiedenen Zugangsports verbunden waren. ein vertrauenswürdiger DHCP-Port. Dies ist der einfachste Weg, um DHCP-Snooping einzurichten. Wäre dies schiefgegangen, würde ich vermuten, dass es einen weiteren zugrunde liegenden Problem- / Konfigurationsfehler gibt.

Das DHCP-Snooping-fähige Gerät kann kein DHCP-Server, DHCP-Relay-Agent, DHCP-Client oder BOOTP-Client sein. Daher muss DHCP-Snooping auf einem DHCP-Server, einem Relay-Agenten, einem DHCP-Relay-Agenten, einem DHCP-Client und einem BOOTP-Client deaktiviert sein.

Was dieses letzte Bit bedeutet, ist, dass Ihr Switch außer DHCP-Snooping wirklich keine DHCP-Funktionen ausführen kann .

In den Kommentaren haben Sie angegeben, dass es sich nur um ein L2-Gerät handelt . Ich würde Ihre Konfigurationen gründlicher überprüfen, da Sie versuchen, die absoluten Grundkonfigurationen zu implementieren, die für das Funktionieren von DHCP-Snooping erforderlich sind. Sie haben es in Ihrem Testnetzwerk getestet und es hat einwandfrei funktioniert. Jetzt funktioniert Ihr Produktionsnetzwerk mit scheinbar identischen Konfigurationen nicht mehr.

Nachfolgend finden Sie grundlegende Konfigurationsverfahren aus der 3Com-Dokumentation . Wenn diese nicht funktionieren, würde ich sicherlich woanders suchen.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
quelle
Ich habe die Konfiguration erneut überprüft. Sie können es dort sehen (nur geänderte Adressen und Kennwort-Hashes, löscht die Konfiguration der nicht verwendeten Schnittstellen): pastebin.com/uniME5fT . Wenn Sie kürzlich DHCP-Snooping für Cisco-Geräte konfigurieren, finden Sie in doc, dass die Einfügung von Option 82 aktiviert sein muss. Versuchte es auf 3com, aber überhaupt kein Unterschied. Immer noch das gleiche Problem. Wenn Antworten vom DHCP-Server in mit 802.1q-Tags versehenen Frames an den Switch gesendet werden, wird die Begrenzung nicht im Switch aufgezeichnet.
Skvedo