Kami perlahan mulai menerapkan dhcp-snooping pada switch HP ProCurve 2610 series kami, semua menjalankan firmware R.11.72. Saya melihat beberapa perilaku aneh ketika paket dhcp-request atau dhcp-renew dihapus ketika berasal dari "downstream" beralih karena "informasi relay yang tidak dipercaya dari klien".
Kesalahan penuh:
Received untrusted relay information from client <mac-address> on port <port-number>
Secara lebih rinci kami memiliki 48 port HP2610 (Switch A) dan 24 port HP2610 (Switch B). Switch B adalah "downstream" dari Switch A berdasarkan koneksi DSL ke salah satu port Switch A. Server dhcp terhubung ke Switch A. Bit yang relevan adalah sebagai berikut:
Beralih a
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
name "Server"
dhcp-snooping trust
exit
Beralih B
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
dhcp-snooping trust
exit
Sakelar diatur untuk mempercayai KEDUA port yang dilampirkan oleh server dhcp resmi dan alamat IP-nya. Ini semua baik dan bagus untuk klien yang terhubung ke Switch A, tetapi klien yang terhubung ke Switch B ditolak karena kesalahan "informasi relai yang tidak dipercaya". Ini aneh karena beberapa alasan 1) dhcp-relay tidak dikonfigurasi pada kedua switch, 2) jaringan Layer-3 di sini datar, subnet yang sama. Paket DHCP seharusnya tidak memiliki atribut opsi 82 yang dimodifikasi.
Namun dhcp-relay tampaknya diaktifkan secara default:
SWITCH A# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
0 0 0 0
SWITCH B# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
40156 0 0 0
Dan yang cukup menarik, agen dhcp-relay tampaknya sangat sibuk di Switch B, tapi mengapa? Sejauh yang saya tahu, tidak ada alasan mengapa permintaan dhcp memerlukan relay dengan topologi ini. Dan lebih jauh lagi saya tidak bisa mengatakan mengapa saklar hulu menjatuhkan permintaan dhcp yang sah untuk informasi relay yang tidak dipercaya ketika agen relay yang dimaksud (pada Switch B) tidak mengubah opsi 82 atribut pula.
Menambahkan no dhcp-snooping option 82
pada Switch A memungkinkan lalu lintas dhcp dari Switch B disetujui oleh Switch A, berdasarkan hanya mematikan fitur itu. Apa akibat dari tidak memvalidasi opsi 82 lalu lintas dhcp yang dimodifikasi? Jika saya menonaktifkan opsi 82 pada semua sakelar "hulu" - akankah mereka meneruskan lalu lintas dhcp dari sakelar hilir apa pun terlepas dari keabsahan lalu lintas itu?
Perilaku ini agnostik sistem operasi klien. Saya melihatnya dengan klien Windows dan Linux. Server DHCP kami adalah mesin Windows Server 2003 atau Windows Server 2008 R2. Saya melihat perilaku ini terlepas dari sistem operasi server DHCP.
Adakah yang bisa menjelaskan apa yang terjadi di sini dan memberi saya beberapa rekomendasi tentang bagaimana saya harus melanjutkan dengan mengkonfigurasi pengaturan opsi 82? Saya merasa seperti saya belum benar-benar grokked dhcp-relay dan opsi 82 atribut.