Die DHCP-Snooping-Option 82 löscht gültige DHCP-Anforderungen auf Procurve-Switches der Serie 2610

8

Wir beginnen langsam mit der Implementierung von DHCP-Snooping auf unseren Switches der HP ProCurve 2610-Serie, auf denen alle die Firmware R.11.72 ausgeführt wird. Ich sehe ein seltsames Verhalten, bei dem DHCP-Anforderungs- oder DHCP-Erneuerungspakete verworfen werden, wenn sie von "Downstream" -Schaltern aufgrund von "nicht vertrauenswürdigen Relay-Informationen vom Client" stammen.

Der volle Fehler:

Received untrusted relay information from client <mac-address> on port <port-number>

Im Detail haben wir einen 48-Port HP2610 (Switch A) und einen 24-Port HP2610 (Switch B). Switch B ist aufgrund einer DSL-Verbindung zu einem der Switch A-Ports "Downstream" von Switch A. Der DHCP-Server ist mit Switch A verbunden. Die relevanten Bits lauten wie folgt:

Schalter A.

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit


Schalter B.

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

Die Switches sind so eingestellt, dass sie sowohl dem Port, an den der autorisierte DHCP-Server angeschlossen ist, als auch seiner IP-Adresse vertrauen. Dies ist alles gut und schön für die an Switch A angeschlossenen Clients, aber die an Switch B angeschlossenen Clients werden aufgrund des Fehlers "Nicht vertrauenswürdige Relay-Informationen" abgelehnt. Dies ist aus einigen Gründen seltsam. 1) DHCP-Relay ist auf keinem der Switches konfiguriert. 2) Das Layer-3-Netzwerk ist hier flach, dasselbe Subnetz. DHCP-Pakete sollten kein modifiziertes Attribut der Option 82 haben.

DHCP-Relay scheint jedoch standardmäßig aktiviert zu sein:

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0         

Interessanterweise scheint der DHCP-Relay-Agent auf Switch B sehr beschäftigt zu sein, aber warum? Soweit ich das beurteilen kann, gibt es keinen Grund, warum DHCP-Anforderungen ein Relay mit dieser Topologie benötigen. Außerdem kann ich nicht sagen, warum der Upstream-Switch legitime DHCP-Anforderungen für nicht vertrauenswürdige Relay-Informationen löscht, wenn der betreffende Relay-Agent (auf Switch B) die Attribute der Option 82 ohnehin nicht ändert.

Durch Hinzufügen des no dhcp-snooping option 82On-Switch A kann der DHCP-Verkehr von Switch B von Switch A genehmigt werden, indem diese Funktion nur deaktiviert wird. Was sind die Auswirkungen der nicht - Option 82 geändert DHCP - Verkehr Validierung? Wenn ich Option 82 für alle meine "Upstream" -Switches deaktiviere, werden sie dann DHCP-Verkehr von jedem Downstream-Switch weiterleiten, unabhängig von der Legitimität dieses Verkehrs?

Dieses Verhalten ist unabhängig vom Client-Betriebssystem. Ich sehe es sowohl bei Windows- als auch bei Linux-Clients. Unsere DHCP-Server sind entweder Windows Server 2003- oder Windows Server 2008 R2-Computer. Ich sehe dieses Verhalten unabhängig vom Betriebssystem der DHCP-Server.

Kann jemand etwas Licht ins Dunkel bringen und mir einige Empfehlungen geben, wie ich mit der Konfiguration der Option 82 fortfahren soll? Ich habe das Gefühl, dass ich die DHCP-Relaying- und Option 82-Attribute einfach nicht vollständig überprüft habe.


quelle
Befinden sich die DHCP-Server im selben Subnetz oder werden sie von einem Router weitergeleitet? Ich weiß, dass Cisco-Router / 13-Switches den Befehl vertrauenswürdiger IP-DHCP-Relay-Informationen benötigen, wenn sie den DHCP-Forward ausführen.
Bad Dos
Sie befinden sich im selben Subnetz. Aus Layer-3-Sicht ist alles völlig flach.
Funktioniert DHCP ordnungsgemäß, wenn Sie beispielsweise einen Laptop an den Switch anschließen, der direkt mit dem DHCP-Server verbunden ist? Möglicherweise ist einer der Uplinks in Ihrer Switch-Topologie nicht vertrauenswürdig.
Bad Dos
Ja. Dies funktioniert, wenn der Computer mit demselben Switch wie der DHCP-Server verbunden ist. Ich vertraue dem Uplink-Port am Upstream-Switch nicht. Sie vertrauen nur Ports, von denen die DHCPOFFER- oder DHCPACK-Pakete stammen - dem Port, an den der DHCP-Server angeschlossen ist. Wenn ich dem Trunk-Port des Upstream-Switches vertraue, kann ein DHCP-Server über diesen Uplink auf seine Clients antworten. FWIW, ich habe eine Supportanfrage bei HP und sie scheinen ähnlich verblüfft zu sein.
Ich bin mit HP nicht vertraut, aber in Cisco würden Sie dem Uplink-Port des Zugriffsschalters vertrauen, aber dem Switch, mit dem er verbunden ist, würde diesem Port nicht vertrauen. Dadurch wird sichergestellt, dass DHCP-Angebote an den Zugriffsschalter weitergeleitet werden können, dass jedoch nichts vom Zugriffsschalter angezeigt wird und auch keine anderen Ports des Zugriffsschalters als vertrauenswürdig eingestuft werden.
Bad Dos

Antworten:

1

Sie sagten, dass "DHCP-Relay nicht aktiviert ist" ... aber es ist klar, basierend auf Ihrer Show-DHCP-Relay-Ausgabe.

Versuchen Sie, es explizit zu deaktivieren. Aufgrund der obigen Kommentare vermute ich, dass Ihr Problem verschwinden wird :)

Dan Pritts
quelle
1

Tatsächlich wird das Paket auf Switch A nicht mehr unterstützt, da Sie ein DHCP-Client-Paket mit Option 82 an einem nicht vertrauenswürdigen Port empfangen haben. Diese Option-82 wird vom Schalter B eingefügt.

Ich denke unten sollte funktionieren -

Ein, SwitchB - Deaktivieren Sie Option 82, damit diese Optionen nicht eingefügt werden. Markieren Sie die Schnittstelle-25 als vertrauenswürdig, damit das DHCP-Serverpaket zum.

Ein, SwitchA - Hier können Sie Option 82 aktiviert / deaktiviert lassen. es sollte keine Rolle spielen. Markieren Sie den Port, der mit SwitchB verbunden ist, als nicht vertrauenswürdig. Markieren Sie den Port, der mit dem DHCP-Server verbunden ist, als vertrauenswürdig.

user256656
quelle
0

Ich denke, Sie könnten die Idee eines vertrauenswürdigen Ports falsch interpretieren. Ich bin damit einverstanden, dass es intuitiv ist, nur den Ports zu vertrauen, von denen die Angebote stammen, aber ich verstehe, dass Sie auch dem Trunk-Port auf Switch A vertrauen müssen. Sie markieren vertrauenswürdige Ports, die mit Geräten verbunden sind, die Sie kennen und denen Sie vertrauen. Nur weil Sie die Amtsleitung auf Switch A als vertrauenswürdig markieren, bedeutet dies nicht, dass Sie zulassen, dass auf Switch B ein nicht autorisierter DHCP-Server vorhanden ist. Bei korrekter Einrichtung vertraut Switch B keinem anderen Port als seiner Amtsleitung haben immer noch verhindert, dass ein nicht autorisierter DHCP-Server auf Switch B sitzt und Angebote an Clients auf Switch A sendet.

Kurz gesagt, Sie sollten Ports vertrauen, die mit Ihren eigenen DHCP-Servern verbunden sind, und Ports, die mit anderen von Ihnen verwalteten Switches verbunden sind (damit Sie sicher sein können, dass keine anderen vertrauenswürdigen Ports vorhanden sind).

Paul Ackerman
quelle