option dhcp-snooping 82 supprime les demandes dhcp valides sur les commutateurs Procurve de la série 2610

8

Nous commençons lentement à implémenter l'espionnage DHCP sur nos commutateurs HP ProCurve série 2610, tous exécutant le micrologiciel R.11.72. Je vois un comportement étrange où les paquets dhcp-request ou dhcp-renouvellement sont abandonnés lorsqu'ils proviennent de commutateurs "en aval" en raison des "informations de relais non fiables du client".

L'erreur complète:

Received untrusted relay information from client <mac-address> on port <port-number>

Plus en détail, nous avons un HP2610 à 48 ports (commutateur A) et un HP2610 à 24 ports (commutateur B). Le commutateur B est "en aval" du commutateur A grâce à une connexion DSL à l'un des ports du commutateur A. Le serveur DHCP est connecté au commutateur A. Les bits pertinents sont les suivants:

Commutateur A 

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit


Commutateur B

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

Les commutateurs sont configurés pour approuver le port auquel le serveur DHCP autorisé est connecté et son adresse IP. C'est très bien pour les clients attachés au commutateur A, mais les clients attachés au commutateur B sont refusés en raison de l'erreur «informations de relais non approuvées». C'est étrange pour plusieurs raisons 1) le relais DHCP n'est configuré sur aucun des commutateurs, 2) le réseau de couche 3 ici est plat, même sous-réseau. Les paquets DHCP ne doivent pas avoir d'attribut d'option 82 modifié.

dhcp-relay semble être activé par défaut cependant:

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0

Et assez intéressant, l'agent relais DHCP semble très occupé sur le commutateur B, mais pourquoi? Autant que je sache, il n'y a aucune raison pour que les requêtes DHCP nécessitent un relais avec cette topologie. Et en outre, je ne peux pas dire pourquoi le commutateur en amont abandonne les demandes dhcp légitimes pour les informations de relais non fiables lorsque l'agent de relais en question (sur le commutateur B) ne modifie pas les attributs de l'option 82 de toute façon.

L'ajout du no dhcp-snooping option 82commutateur A activé permet au trafic DHCP du commutateur B d'être approuvé par le commutateur A, en vertu de la simple désactivation de cette fonctionnalité. Quelles sont les répercussions de la non- validation du trafic DHCP modifié par l'option 82? Si je désactive l'option 82 sur tous mes commutateurs "en amont" - transmettra-t-il le trafic DHCP à partir de n'importe quel commutateur en aval, quelle que soit la légitimité de ce trafic?

Ce comportement est indépendant du système d'exploitation client. Je le vois avec les clients Windows et Linux. Nos serveurs DHCP sont des machines Windows Server 2003 ou Windows Server 2008 R2. Je vois ce comportement indépendamment du système d'exploitation des serveurs DHCP.

Quelqu'un peut-il faire la lumière sur ce qui se passe ici et me donner des recommandations sur la façon de procéder pour configurer le paramètre de l'option 82? Je sens que je n'ai tout simplement pas complètement gokked relais DHCP et l'option 82 attributs.

networking dhcp hp-procurve
la source
Les serveurs DHCP sont-ils sur le même sous-réseau ou sont-ils relayés par un routeur? Je sais que les routeurs cisco / commutateurs l3 nécessitent une commande trust-all d'informations de relais ip dhcp s'ils font le dhcp en avant.
Bad Dos
Ils sont sur le même sous-réseau. Tout est complètement plat du point de vue de la couche 3.
Le DHCP fonctionne-t-il correctement si vous branchez, par exemple, un ordinateur portable sur le commutateur qui est directement connecté au serveur DHCP? Peut-être que l'une des liaisons montantes de votre topologie de commutateur n'est pas approuvée.
Bad Dos
Oui. Cela fonctionne lorsque la machine est connectée au même commutateur que le serveur DHCP. Je ne fais pas confiance au port de liaison montante sur le commutateur en amont. Vous ne faites confiance qu'aux ports d'où proviennent les paquets DHCPOFFER ou DHCPACK - le port auquel le serveur DHCP est connecté. Si je faisais confiance au port Trunk sur le commutateur en amont, le commutateur permettrait à un serveur DHCP de répondre sur cette liaison montante à ses clients. FWIW, j'ai une demande d'assistance avec HP et ils semblent tout aussi déconcertés.
Je ne connais pas HP, mais dans Cisco, vous feriez confiance au port de liaison montante du commutateur d'accès, mais le commutateur auquel il se connecte ne ferait pas confiance à ce port. Cela garantit que les offres DHCP peuvent se diriger vers le commutateur d'accès, mais que rien du commutateur d'accès ne monte et qu'aucun autre port du commutateur d'accès n'est approuvé non plus.
Bad Dos

Réponses:

1

Vous avez dit que "le relais DHCP n'est pas activé" ... mais c'est clairement le cas, sur la base de votre sortie show dhcp-relay.

Essayez de le désactiver explicitement; sur la base des commentaires ci-dessus, je pense que votre problème disparaîtra :)

Dan Pritts
la source
1

En fait, le paquet sur le commutateur A est tombé parce que vous avez reçu un paquet client DHCP avec l'option 82 sur un port non approuvé. Cette option-82 est insérée par le switchB.

Je pense que ci-dessous devrait fonctionner -

On, SwitchB - désactive l'option 82 afin que cela n'insère pas ces options. marquez l'interface-25 comme une approbation pour permettre au paquet du serveur DHCP de descendre vers le.

On, SwitchA- Vous pouvez garder l'option-82 activée / désactivée ici. ça ne devrait pas avoir d'importance. marquez le port connecté à switchB comme non fiable. marquez le port connecté au serveur DHCP comme étant de confiance.

user256656
la source
0

Je pense que vous pourriez mal interpréter l'idée d'un port de confiance. Je suis d'accord que faire confiance uniquement aux ports d'où proviennent les offres est intuitif mais je comprends que vous devez également faire confiance au port de jonction sur le commutateur A. Vous marquez les ports approuvés qui sont connectés à des équipements que vous connaissez et auxquels vous faites confiance. Ce n'est pas parce que vous marquez le tronc du commutateur A comme approuvé que vous autoriserez un serveur DHCP non autorisé à exister sur le commutateur B. ont toujours empêché un serveur DHCP non autorisé de s'asseoir sur le commutateur B et d'envoyer des offres aux clients sur le commutateur A.

En bref, vous êtes censé faire confiance aux ports connectés à vos propres serveurs DHCP et aux ports connectés aux autres commutateurs que vous gérez (vous pouvez donc être sûr qu'il n'y a pas d'autres ports approuvés).

Paul Ackerman
la source