Wir beginnen langsam mit der Implementierung von DHCP-Snooping auf unseren Switches der HP ProCurve 2610-Serie, auf denen alle die Firmware R.11.72 ausgeführt wird. Ich sehe ein seltsames Verhalten, bei dem DHCP-Anforderungs- oder DHCP-Erneuerungspakete verworfen werden, wenn sie von "Downstream" -Schaltern aufgrund von "nicht vertrauenswürdigen Relay-Informationen vom Client" stammen.
Der volle Fehler:
Received untrusted relay information from client <mac-address> on port <port-number>
Im Detail haben wir einen 48-Port HP2610 (Switch A) und einen 24-Port HP2610 (Switch B). Switch B ist aufgrund einer DSL-Verbindung zu einem der Switch A-Ports "Downstream" von Switch A. Der DHCP-Server ist mit Switch A verbunden. Die relevanten Bits lauten wie folgt:
Schalter A.
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
name "Server"
dhcp-snooping trust
exit
Schalter B.
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
dhcp-snooping trust
exit
Die Switches sind so eingestellt, dass sie sowohl dem Port, an den der autorisierte DHCP-Server angeschlossen ist, als auch seiner IP-Adresse vertrauen. Dies ist alles gut und schön für die an Switch A angeschlossenen Clients, aber die an Switch B angeschlossenen Clients werden aufgrund des Fehlers "Nicht vertrauenswürdige Relay-Informationen" abgelehnt. Dies ist aus einigen Gründen seltsam. 1) DHCP-Relay ist auf keinem der Switches konfiguriert. 2) Das Layer-3-Netzwerk ist hier flach, dasselbe Subnetz. DHCP-Pakete sollten kein modifiziertes Attribut der Option 82 haben.
DHCP-Relay scheint jedoch standardmäßig aktiviert zu sein:
SWITCH A# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
0 0 0 0
SWITCH B# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
40156 0 0 0
Interessanterweise scheint der DHCP-Relay-Agent auf Switch B sehr beschäftigt zu sein, aber warum? Soweit ich das beurteilen kann, gibt es keinen Grund, warum DHCP-Anforderungen ein Relay mit dieser Topologie benötigen. Außerdem kann ich nicht sagen, warum der Upstream-Switch legitime DHCP-Anforderungen für nicht vertrauenswürdige Relay-Informationen löscht, wenn der betreffende Relay-Agent (auf Switch B) die Attribute der Option 82 ohnehin nicht ändert.
Durch Hinzufügen des no dhcp-snooping option 82
On-Switch A kann der DHCP-Verkehr von Switch B von Switch A genehmigt werden, indem diese Funktion nur deaktiviert wird. Was sind die Auswirkungen der nicht - Option 82 geändert DHCP - Verkehr Validierung? Wenn ich Option 82 für alle meine "Upstream" -Switches deaktiviere, werden sie dann DHCP-Verkehr von jedem Downstream-Switch weiterleiten, unabhängig von der Legitimität dieses Verkehrs?
Dieses Verhalten ist unabhängig vom Client-Betriebssystem. Ich sehe es sowohl bei Windows- als auch bei Linux-Clients. Unsere DHCP-Server sind entweder Windows Server 2003- oder Windows Server 2008 R2-Computer. Ich sehe dieses Verhalten unabhängig vom Betriebssystem der DHCP-Server.
Kann jemand etwas Licht ins Dunkel bringen und mir einige Empfehlungen geben, wie ich mit der Konfiguration der Option 82 fortfahren soll? Ich habe das Gefühl, dass ich die DHCP-Relaying- und Option 82-Attribute einfach nicht vollständig überprüft habe.
Antworten:
Sie sagten, dass "DHCP-Relay nicht aktiviert ist" ... aber es ist klar, basierend auf Ihrer Show-DHCP-Relay-Ausgabe.
Versuchen Sie, es explizit zu deaktivieren. Aufgrund der obigen Kommentare vermute ich, dass Ihr Problem verschwinden wird :)
quelle
Tatsächlich wird das Paket auf Switch A nicht mehr unterstützt, da Sie ein DHCP-Client-Paket mit Option 82 an einem nicht vertrauenswürdigen Port empfangen haben. Diese Option-82 wird vom Schalter B eingefügt.
Ich denke unten sollte funktionieren -
Ein, SwitchB - Deaktivieren Sie Option 82, damit diese Optionen nicht eingefügt werden. Markieren Sie die Schnittstelle-25 als vertrauenswürdig, damit das DHCP-Serverpaket zum.
Ein, SwitchA - Hier können Sie Option 82 aktiviert / deaktiviert lassen. es sollte keine Rolle spielen. Markieren Sie den Port, der mit SwitchB verbunden ist, als nicht vertrauenswürdig. Markieren Sie den Port, der mit dem DHCP-Server verbunden ist, als vertrauenswürdig.
quelle
Ich denke, Sie könnten die Idee eines vertrauenswürdigen Ports falsch interpretieren. Ich bin damit einverstanden, dass es intuitiv ist, nur den Ports zu vertrauen, von denen die Angebote stammen, aber ich verstehe, dass Sie auch dem Trunk-Port auf Switch A vertrauen müssen. Sie markieren vertrauenswürdige Ports, die mit Geräten verbunden sind, die Sie kennen und denen Sie vertrauen. Nur weil Sie die Amtsleitung auf Switch A als vertrauenswürdig markieren, bedeutet dies nicht, dass Sie zulassen, dass auf Switch B ein nicht autorisierter DHCP-Server vorhanden ist. Bei korrekter Einrichtung vertraut Switch B keinem anderen Port als seiner Amtsleitung haben immer noch verhindert, dass ein nicht autorisierter DHCP-Server auf Switch B sitzt und Angebote an Clients auf Switch A sendet.
Kurz gesagt, Sie sollten Ports vertrauen, die mit Ihren eigenen DHCP-Servern verbunden sind, und Ports, die mit anderen von Ihnen verwalteten Switches verbunden sind (damit Sie sicher sein können, dass keine anderen vertrauenswürdigen Ports vorhanden sind).
quelle