DHCP-Mengintai pada 3com S4210

8

Saya sedang mengatur dhcp mengintai dengan IP source guard dan DAI pada beberapa switch 3com S4210.

Saya menemukan masalah dengan merekam binding dalam pengintai basis data. Dalam beberapa kasus saya tahu bahwa ada PC yang terhubung ke antarmuka, ia menggunakan DHCP, bahkan beralih mengatakan dalam debbuging bahwa ada lalu lintas DHCP, koneksi pada PC bekerja dengan alamat yang ditugaskan tetapi tidak ada catatan ketika saya menjalankan perintah tampilan dhcp-snooping .

Dengan membuat beberapa percobaan di lab tabel saya menemukan bahwa jika lalu lintas DHCP berjalan dalam 2 port akses (baik klien dan server berada pada vlan yang sama, keduanya terhubung ke port akses) daripada yang direkam.

Setelah daripada saya menghubungkan DHCP ke antarmuka trunk (seperti di jaringan hidup, server DHCP terhubung ke switch lain dan ada relay pada router), ketika DHCP berkomunikasi pada vlan tanpa tanda dari trunk yang mengikat dicatat (perilaku yang sama jika digunakan klien pada port akses dengan vlan 1 atau klien terhubung pada port dengan akses vlan X dan saya set pada port trunk perintah port trunk pvid vlan X ).

Jika trafik DHCP ditandai dengan trunk throw, pengikatan tidak direkam pada sakelar. Dalam semua kasus, tidak peduli bagaimana itu dikonfigurasi, klien menerima alamat yang benar dari DHCP dan dapat berkomunikasi dengan benar.

Tanpa pengikatan db yang berfungsi dengan baik, saya tidak dapat mengaktifkan pelindung sumber IP dan DAI.

Saya memiliki FW terbaru untuk sakelar ini yang tersedia (tidak mudah menemukannya di laman web HP tetapi Google membantu setelah beberapa waktu)

Oleh Google saya menemukan bahwa pada produk-produk Cisco Anda perlu mengaktifkan dhcp-snooping untuk vlan tetapi pada 3com tidak menemukan hal serupa dalam dokumentasi atau perintah serupa di switch command line.

Apakah ada yang punya masalah ini dan mencari tahu di mana masalahnya?

Tidak dapat meminta HP secara langsung karena jaminan dukungan teknis kami sudah kedaluwarsa dan mereka tidak akan berbicara kepada saya (dicoba dalam situasi yang berbeda).

Terima kasih atas jawabannya.

Michal

security  dhcp  dhcp-snooping 
skvedo
sumber
Bisakah Anda memposting konfigurasi DHCP-snooping yang relevan?
Ryan Foley
Fizzle: maaf atas keterlambatan, tidak terlalu sering memeriksa halaman ini. Konfigurasi sederhana. Hanya mengaktifkannya dengan perintah dhcp-snooping dan mengatur antarmuka antarmuka tepercaya GigabitEthernet1 /
0/50
Di mana agen relai mengacu pada dhcp-snoopingsakelar?
Ryan Foley
Dalam konfigurasi lab ini saya telah langsung menghubungkan perangkat server DHCP pada antarmuka Gi1 /
0/50
Apakah sakelar yang Anda coba aktifkan dhcp-snoopingpada agen relai atau perutean di antara VLAN?
Ryan Foley

Jawaban:

2

Agar dhcp-snoopingberfungsi dengan benar, perangkat pengintai perlu diatur sebagai perangkat lapisan 2 (yaitu tidak melakukan fungsi DHCP sama sekali ). Ada beberapa pegambilan dari dokumentasi 3Com, 3Com® Switch 4500G Panduan Konfigurasi Keluarga (hlm. 405) , yang masih harus berlaku untuk platform Anda.

Pengintaian DHCP tidak mendukung agregasi tautan. Jika port Ethernet ditambahkan ke grup agregasi, konfigurasi DHCP Snooping tidak akan berpengaruh. Ketika port dihapus dari grup, DHCP Snooping dapat berlaku.

Jika Anda memiliki agregat port uplink ( 802.3ax ), tautan tidak akan diintip.

Perangkat pengintai DHCP yang diaktifkan tidak berfungsi jika berada di antara agen relai DHCP dan server DHCP, dan itu dapat berfungsi saat berada di antara klien DHCP dan agen relai atau antara klien dan server DHCP.

Dalam skenario tempat tidur pengujian Anda, pada dasarnya Anda memiliki klien dan server yang terhubung ke 2 port akses yang berbeda; satu port DHCP tepercaya . Ini adalah cara paling sederhana untuk mengatur DHCP-snooping. Seandainya ini salah, saya menduga ada kesalahan konfigurasi / masalah mendasar lainnya.

Perangkat yang diaktifkan DHCP Snooping tidak boleh berupa server DHCP, agen relai DHCP, klien DHCP, atau klien BOOTP. Oleh karena itu, Pengintaian DHCP harus dinonaktifkan pada server DHCP, agen relai, agen relai DHCP, klien DHCP, dan klien BOOTP.

Apa bit akhir ini berarti adalah bahwa Anda benar-benar tidak dapat memiliki saklar Anda melakukan setiap fungsi DHCP, selain dari DHCP-mengintai.

Dalam komentar, Anda menyatakan "itu hanya perangkat L2" . Saya akan memeriksa konfigurasi Anda lebih teliti, karena Anda berusaha menerapkan konfigurasi dasar absolut yang diperlukan agar DHCP mengintip agar berfungsi. Anda mengujinya di jaringan pengujian Anda, dan itu berfungsi dengan baik. Sekarang jaringan produksi Anda, dengan konfigurasi yang tampaknya identik, tidak berfungsi.

Di bawah ini adalah prosedur konfigurasi dasar dari dokumentasi 3Com ; jika ini tidak berhasil, saya pasti akan mencari di tempat lain.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
sumber
Saya telah memeriksa konfigurasi lagi. Anda dapat melihatnya di sana (hanya mengubah hash alamat dan kata sandi, menghapus konfigurasi antarmuka yang tidak digunakan): pastebin.com/uniME5fT . Baru-baru ini mengkonfigurasi DHCP mengintai pada Cisco gear temukan di doc, bahwa Anda harus mengaktifkan opsi 82 ​​insertion. Sudah mencoba 3com, tapi tidak ada perbedaan sama sekali. Masalahnya masih sama. Jika jawaban dari server DHCP dikirim untuk beralih dalam bingkai yang ditandai 802.1q, pembatas tidak direkam dalam sakelar.
skvedo
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.