Opsi dhcp-snooping 82 menjatuhkan permintaan dhcp yang valid pada 2610 switch Procurve series

8

Kami perlahan mulai menerapkan dhcp-snooping pada switch HP ProCurve 2610 series kami, semua menjalankan firmware R.11.72. Saya melihat beberapa perilaku aneh ketika paket dhcp-request atau dhcp-renew dihapus ketika berasal dari "downstream" beralih karena "informasi relay yang tidak dipercaya dari klien".

Kesalahan penuh:

Received untrusted relay information from client <mac-address> on port <port-number>

Secara lebih rinci kami memiliki 48 port HP2610 (Switch A) dan 24 port HP2610 (Switch B). Switch B adalah "downstream" dari Switch A berdasarkan koneksi DSL ke salah satu port Switch A. Server dhcp terhubung ke Switch A. Bit yang relevan adalah sebagai berikut:

Beralih a 

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit


Beralih B

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

Sakelar diatur untuk mempercayai KEDUA port yang dilampirkan oleh server dhcp resmi dan alamat IP-nya. Ini semua baik dan bagus untuk klien yang terhubung ke Switch A, tetapi klien yang terhubung ke Switch B ditolak karena kesalahan "informasi relai yang tidak dipercaya". Ini aneh karena beberapa alasan 1) dhcp-relay tidak dikonfigurasi pada kedua switch, 2) jaringan Layer-3 di sini datar, subnet yang sama. Paket DHCP seharusnya tidak memiliki atribut opsi 82 ​​yang dimodifikasi.

Namun dhcp-relay tampaknya diaktifkan secara default:

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0

Dan yang cukup menarik, agen dhcp-relay tampaknya sangat sibuk di Switch B, tapi mengapa? Sejauh yang saya tahu, tidak ada alasan mengapa permintaan dhcp memerlukan relay dengan topologi ini. Dan lebih jauh lagi saya tidak bisa mengatakan mengapa saklar hulu menjatuhkan permintaan dhcp yang sah untuk informasi relay yang tidak dipercaya ketika agen relay yang dimaksud (pada Switch B) tidak mengubah opsi 82 ​​atribut pula.

Menambahkan no dhcp-snooping option 82pada Switch A memungkinkan lalu lintas dhcp dari Switch B disetujui oleh Switch A, berdasarkan hanya mematikan fitur itu. Apa akibat dari tidak memvalidasi opsi 82 ​​lalu lintas dhcp yang dimodifikasi? Jika saya menonaktifkan opsi 82 ​​pada semua sakelar "hulu" - akankah mereka meneruskan lalu lintas dhcp dari sakelar hilir apa pun terlepas dari keabsahan lalu lintas itu?

Perilaku ini agnostik sistem operasi klien. Saya melihatnya dengan klien Windows dan Linux. Server DHCP kami adalah mesin Windows Server 2003 atau Windows Server 2008 R2. Saya melihat perilaku ini terlepas dari sistem operasi server DHCP.

Adakah yang bisa menjelaskan apa yang terjadi di sini dan memberi saya beberapa rekomendasi tentang bagaimana saya harus melanjutkan dengan mengkonfigurasi pengaturan opsi 82? Saya merasa seperti saya belum benar-benar grokked dhcp-relay dan opsi 82 ​​atribut.

networking  dhcp  hp-procurve 
Apakah server dhcp pada subnet yang sama atau mereka sedang diteruskan oleh router? Saya tahu cisco routers / l3 switches membutuhkan ip relay informasi dhcp trust-all command jika mereka melakukan dhcp forward.
Dos Buruk
Mereka berada di subnet yang sama. Semuanya benar-benar datar dari perspektif Layer-3.
Apakah DHCP berfungsi dengan baik jika Anda mencolokkan laptop ke sakelar yang terhubung langsung ke server dhcp? Mungkin salah satu uplink di topologi switch Anda tidak dipercaya.
Dos Buruk
Iya. Ini bekerja ketika mesin terhubung ke saklar yang sama dengan server DHCP. Saya tidak percaya port uplink pada saklar hulu. Anda hanya mempercayai port yang berasal dari paket DHCPOFFER atau DHCPACK - port yang dilampirkan oleh server DHCP. Jika saya mempercayai port Trunk pada sakelar hulu, sakelar itu akan memungkinkan server dhcp untuk merespons seluruh tautan ke klien-kliennya. FWIW, saya memiliki permintaan dukungan di dengan HP dan mereka tampaknya juga bingung.
Saya tidak terbiasa dengan HP, tetapi di Cisco Anda akan mempercayai port uplink pada sakelar akses, tetapi sakelar yang terhubung tidak akan mempercayai port itu. Ini memastikan penawaran dhcp dapat mengalir ke sakelar akses, tetapi tidak ada yang dari sakelar akses yang muncul dan tidak ada port lain pada sakelar akses yang dipercaya.
Bad Dos

Jawaban:

1

Anda mengatakan bahwa "relay dhcp tidak diaktifkan" ... tapi jelas itu, berdasarkan pada output show dhcp-relay Anda.

Coba nonaktifkan secara eksplisit; berdasarkan komentar di atas saya menduga masalah Anda akan hilang :)

Dan Pritts
sumber
1

Sebenarnya, paket pada sakelar A semakin terkulai karena Anda menerima paket klien DHCP dengan option82 pada port yang tidak terpercaya. Opsi-82 ini dimasukkan oleh switchB.

Saya pikir di bawah ini harus bekerja -

Aktif, SwitchB - nonaktifkan opsi 82 ​​sehingga ini tidak memasukkan opsi ini. tandai interface-25 sebagai kepercayaan untuk memungkinkan paket server DHCP mengalir ke bawah.

Aktif, SwitchA- Anda dapat membuat opsi-82 diaktifkan / dinonaktifkan di sini. seharusnya tidak masalah. tandai port yang terhubung ke switchB sebagai tidak tepercaya. tandai port yang terhubung ke dhcp-server sebagai tepercaya.

pengguna256656
sumber
0

Saya pikir Anda mungkin salah mengartikan ide pelabuhan yang tepercaya. Saya setuju bahwa memercayai hanya port tempat asal penawaran itu intuitif, tetapi saya mengerti bahwa Anda perlu mempercayai port trunk pada Switch A juga. Anda menandai port tepercaya yang terhubung ke peralatan yang Anda kenal dan percayai. Hanya karena Anda menandai trunk di Switch A sebagai tepercaya tidak berarti Anda akan mengizinkan server DHCP yang jahat ada di switch B. Jika setup dengan benar, switch B tidak mempercayai port lain yang trunknya juga sehingga Anda masih mencegah server DHCP dari duduk di saklar B dan mengirim penawaran ke klien di saklar A.

Singkatnya, Anda seharusnya mempercayai port yang terhubung ke server DHCP Anda sendiri dan port yang terhubung ke switch lain yang Anda kelola (sehingga Anda dapat yakin bahwa tidak ada port tepercaya lainnya).

Paul Ackerman
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.