DHCP-Snooping sur 3com S4210

8

Je configure la surveillance DHCP avec la protection de source IP et DAI sur certains commutateurs 3com S4210.

J'ai trouvé un problème avec l'enregistrement des liaisons dans la base de données d'espionnage. Dans certains cas, je sais qu'il y a un PC connecté à l'interface, il utilise le DHCP, même le commutateur dit dans le débogage qu'il y a du trafic DHCP, la connexion sur le PC fonctionne avec l'adresse assignée mais il n'y a aucun enregistrement lorsque j'exécute la commande display dhcp-snooping .

En faisant quelques expériences sur le laboratoire de table, j'ai trouvé que si le trafic DHCP passe dans 2 ports d'accès (le client et le serveur sont au même vlan, tous deux connectés aux ports d'accès), il est enregistré.

Après que j'ai connecté DHCP à l'interface de jonction (comme il est dans le réseau en direct, le serveur DHCP est connecté à un autre commutateur et il y a un relais sur le routeur), lorsque DHCP communique à un vlan non balisé de cette jonction, la liaison est enregistrée (même comportement si utilisation client sur le port d'accès avec vlan 1 ou client connecté sur le port avec accès vlan X et j'ai mis sur le tronc port commande port trunk pvid vlan X ).

Si le trafic DHCP vient jeté jeté tronc la liaison n'est pas enregistrée sur le commutateur. Dans tous les cas, quelle que soit sa configuration, le client reçoit l'adresse correcte de DHCP et peut communiquer correctement.

Sans une liaison de travail appropriée, je ne peux pas activer la protection de source IP et DAI.

J'ai le dernier FW pour ce commutateur disponible (ce n'était pas facile de le trouver sur les pages Web HP mais Google a aidé après un certain temps)

Par Google, j'ai trouvé que sur les produits Cisco, vous devez activer la surveillance DHCP pour les réseaux locaux virtuels, mais sur 3com, vous n'avez rien trouvé de similaire dans la documentation ou une commande similaire dans la ligne de commande du commutateur.

Quelqu'un at-il eu ces problèmes et compris où est le problème?

Impossible de demander directement à HP car notre garantie de support technique a déjà expiré et ils ne me parleront pas (essayé dans une situation différente).

Merci pour les réponses.

Michal

security dhcp dhcp-snooping skvedo
la source
Pouvez-vous publier vos configurations d'espionnage DHCP pertinentes?
Ryan Foley
Fizzle: désolé pour le retard, n'a pas consulté cette page si fréquemment. La configuration est simple. Juste activé par la commande dhcp-snooping et définir l'interface d' interface de confiance GigabitEthernet1 / 0/50 dhcp -snooping trust
skvedo
Où est l'agent relais par rapport au dhcp-snoopingcommutateur?
Ryan Foley
Dans cette configuration de laboratoire, j'ai directement connecté un périphérique serveur DHCP sur l'interface Gi1 /
0/50
Le commutateur que vous essayez d'activer dhcp-snoopingsur un agent de relais ou de routage entre les VLAN?
Ryan Foley

Réponses:

2

Pour dhcp-snoopingpouvoir fonctionner correctement, les besoins de l' appareil snooping être configuré comme un simple dispositif de couche 2 (c. -à ne pas exécuter les fonctions DHCP du tout ). Il existe quelques pièges dans la documentation de 3Com, 3Com® Switch 4500G Family Configuration Guide (p. 405) , qui devraient toujours être applicables à votre plate-forme.

DHCP Snooping ne prend en charge aucune agrégation de liens. Si un port Ethernet est ajouté à un groupe d'agrégation, la configuration DHCP Snooping ne prendra pas effet. Lorsque le port est supprimé du groupe, DHCP Snooping peut prendre effet.

Si vous avez des ports de liaison montante agrégés ( 802.3ax ), le lien ne sera pas espionné.

Le périphérique activé pour l'espionnage DHCP ne fonctionne pas s'il se trouve entre l'agent de relais DHCP et le serveur DHCP, et il peut fonctionner lorsqu'il se trouve entre le client DHCP et l'agent de relais ou entre le client DHCP et le serveur.

Dans votre scénario de banc d'essai, vous aviez essentiellement un client et un serveur connectés à 2 ports d'accès différents; un port DHCP de confiance . C'est le moyen le plus simple de configurer la surveillance DHCP. Si cela avait mal tourné, je soupçonne qu'il y a une autre erreur sous-jacente de problème / configuration.

Le périphérique DHCP Snooping ne peut pas être un serveur DHCP, un agent de relais DHCP, un client DHCP ou un client BOOTP. Par conséquent, DHCP Snooping doit être désactivé sur un serveur DHCP, un agent de relais, un agent de relais DHCP, un client DHCP et un client BOOTP.

Ce que signifie ce dernier bit, c'est que vous ne pouvez vraiment pas avoir votre commutateur exécutant des fonctions DHCP, en dehors de l'espionnage DHCP.

Dans les commentaires, vous avez déclaré "ce n'est qu'un appareil L2" . Je voudrais vérifier vos configurations de manière plus approfondie, car vous essayez d'implémenter les configurations de base absolues nécessaires au fonctionnement de l'espionnage DHCP. Vous l'avez testé sur votre réseau de test et cela a bien fonctionné. Maintenant, votre réseau de production, avec des configurations apparemment identiques, ne fonctionne pas.

Voici les procédures de configuration de base de la documentation 3Com ; si cela ne fonctionne pas, je chercherais certainement ailleurs.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
la source
J'ai vérifié à nouveau la configuration. Vous pouvez le voir là (juste les adresses modifiées et les mots de passe hachés, supprime la configuration des interfaces inutilisées): pastebin.com/uniME5fT . La configuration récente de l'espionnage DHCP sur l'équipement Cisco trouve dans la doc, que vous devez activer l'option 82 insertion. Je l'ai essayé sur 3com, mais aucune différence du tout. Toujours le même problème. Si les réponses du serveur DHCP sont envoyées au commutateur dans des trames marquées 802.1q, la limite n'est pas enregistrée dans le commutateur.
skvedo