Nous commençons lentement à implémenter l'espionnage DHCP sur nos commutateurs HP ProCurve série 2610, tous exécutant le micrologiciel R.11.72. Je vois un comportement étrange où les paquets dhcp-request ou dhcp-renouvellement sont abandonnés lorsqu'ils proviennent de commutateurs "en aval" en raison des "informations de relais non fiables du client".
L'erreur complète:
Received untrusted relay information from client <mac-address> on port <port-number>
Plus en détail, nous avons un HP2610 à 48 ports (commutateur A) et un HP2610 à 24 ports (commutateur B). Le commutateur B est "en aval" du commutateur A grâce à une connexion DSL à l'un des ports du commutateur A. Le serveur DHCP est connecté au commutateur A. Les bits pertinents sont les suivants:
Commutateur A
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
name "Server"
dhcp-snooping trust
exit
Commutateur B
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
dhcp-snooping trust
exit
Les commutateurs sont configurés pour approuver le port auquel le serveur DHCP autorisé est connecté et son adresse IP. C'est très bien pour les clients attachés au commutateur A, mais les clients attachés au commutateur B sont refusés en raison de l'erreur «informations de relais non approuvées». C'est étrange pour plusieurs raisons 1) le relais DHCP n'est configuré sur aucun des commutateurs, 2) le réseau de couche 3 ici est plat, même sous-réseau. Les paquets DHCP ne doivent pas avoir d'attribut d'option 82 modifié.
dhcp-relay semble être activé par défaut cependant:
SWITCH A# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
0 0 0 0
SWITCH B# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
40156 0 0 0
Et assez intéressant, l'agent relais DHCP semble très occupé sur le commutateur B, mais pourquoi? Autant que je sache, il n'y a aucune raison pour que les requêtes DHCP nécessitent un relais avec cette topologie. Et en outre, je ne peux pas dire pourquoi le commutateur en amont abandonne les demandes dhcp légitimes pour les informations de relais non fiables lorsque l'agent de relais en question (sur le commutateur B) ne modifie pas les attributs de l'option 82 de toute façon.
L'ajout du no dhcp-snooping option 82
commutateur A activé permet au trafic DHCP du commutateur B d'être approuvé par le commutateur A, en vertu de la simple désactivation de cette fonctionnalité. Quelles sont les répercussions de la non- validation du trafic DHCP modifié par l'option 82? Si je désactive l'option 82 sur tous mes commutateurs "en amont" - transmettra-t-il le trafic DHCP à partir de n'importe quel commutateur en aval, quelle que soit la légitimité de ce trafic?
Ce comportement est indépendant du système d'exploitation client. Je le vois avec les clients Windows et Linux. Nos serveurs DHCP sont des machines Windows Server 2003 ou Windows Server 2008 R2. Je vois ce comportement indépendamment du système d'exploitation des serveurs DHCP.
Quelqu'un peut-il faire la lumière sur ce qui se passe ici et me donner des recommandations sur la façon de procéder pour configurer le paramètre de l'option 82? Je sens que je n'ai tout simplement pas complètement gokked relais DHCP et l'option 82 attributs.
Réponses:
Vous avez dit que "le relais DHCP n'est pas activé" ... mais c'est clairement le cas, sur la base de votre sortie show dhcp-relay.
Essayez de le désactiver explicitement; sur la base des commentaires ci-dessus, je pense que votre problème disparaîtra :)
la source
En fait, le paquet sur le commutateur A est tombé parce que vous avez reçu un paquet client DHCP avec l'option 82 sur un port non approuvé. Cette option-82 est insérée par le switchB.
Je pense que ci-dessous devrait fonctionner -
On, SwitchB - désactive l'option 82 afin que cela n'insère pas ces options. marquez l'interface-25 comme une approbation pour permettre au paquet du serveur DHCP de descendre vers le.
On, SwitchA- Vous pouvez garder l'option-82 activée / désactivée ici. ça ne devrait pas avoir d'importance. marquez le port connecté à switchB comme non fiable. marquez le port connecté au serveur DHCP comme étant de confiance.
la source
Je pense que vous pourriez mal interpréter l'idée d'un port de confiance. Je suis d'accord que faire confiance uniquement aux ports d'où proviennent les offres est intuitif mais je comprends que vous devez également faire confiance au port de jonction sur le commutateur A. Vous marquez les ports approuvés qui sont connectés à des équipements que vous connaissez et auxquels vous faites confiance. Ce n'est pas parce que vous marquez le tronc du commutateur A comme approuvé que vous autoriserez un serveur DHCP non autorisé à exister sur le commutateur B. ont toujours empêché un serveur DHCP non autorisé de s'asseoir sur le commutateur B et d'envoyer des offres aux clients sur le commutateur A.
En bref, vous êtes censé faire confiance aux ports connectés à vos propres serveurs DHCP et aux ports connectés aux autres commutateurs que vous gérez (vous pouvez donc être sûr qu'il n'y a pas d'autres ports approuvés).
la source