DHCP-Snooping su 3com S4210

8

Sto configurando lo snooping dhcp con IP source guard e DAI su alcuni switch S4210 3com.

Ho riscontrato un problema con la registrazione dei binding nel database di snooping. In alcuni casi so che c'è un PC collegato all'interfaccia, usa il DHCP, anche passare a dire che devono esserci traffico DHCP, la connessione su PC funziona con l'indirizzo assegnato ma non c'è nessun record quando eseguo il comando display dhcp-snooping .

Effettuando alcuni esperimenti sul laboratorio da tavolo, ho scoperto che se il traffico DHCP si sposta all'interno di 2 porte di accesso (sia il client che il server sono allo stesso vlan, entrambi collegati alle porte di accesso) rispetto a quanto viene registrato.

Dopo di ciò ho collegato DHCP all'interfaccia trunk (poiché è nella rete live, il server DHCP è collegato a un altro switch e c'è un router sul router), quando DHCP sta comunicando a vlan senza tag di quel trunk viene registrato il binding (stesso comportamento se si usa client sulla porta di accesso con vlan 1 o client connesso sulla porta con accesso vlan X e ho impostato sulla porta di comando porta trunk trunk pvid vlan X ).

Se il traffico DHCP viene etichettato come trunk trunk, l'associazione non viene registrata sullo switch. In tutti i casi, indipendentemente dalla configurazione, il client riceve l'indirizzo corretto da DHCP e può comunicare correttamente.

Senza un corretto db funzionante non posso abilitare IP source guard e DAI.

Ho l'ultimo FW disponibile per questo switch (non è stato facile trovarlo sulle pagine Web HP ma Google mi ha aiutato dopo qualche tempo)

Da Google ho scoperto che sui prodotti Cisco è necessario abilitare dhcp-snooping per i vlan ma su 3com non ha trovato nulla di simile nella documentazione o comandi simili nella riga di comando di switch.

Qualcuno ha avuto questi problemi e capito dov'è il problema?

Non posso chiedere direttamente ad HP perché la nostra garanzia di supporto tecnico è già scaduta e non mi parleranno (provato in situazioni diverse).

Grazie per le risposte

Michal

security  dhcp  dhcp-snooping 
skvedo
fonte
Puoi pubblicare le tue configurazioni snooping DHCP rilevanti?
Ryan Foley,
Fizzle: scusa per il ritardo, non ho controllato questa pagina così frequentemente. La configurazione è semplice L'ho appena abilitato con il comando dhcp-snooping e imposta l'interfaccia di interfaccia affidabile GigabitEthernet1 / 0/50 dhcp-snooping trust
skvedo
Dove si trova l'agente di inoltro in riferimento allo dhcp-snoopingswitch?
Ryan Foley,
In questa configurazione di laboratorio ho collegato direttamente il dispositivo server DHCP sull'interfaccia Gi1 /
0/50
Lo switch che stai tentando di abilitare dhcp-snoopingsu un relay agent o il routing tra le VLAN?
Ryan Foley,

Risposte:

2

Affinché dhcp-snoopingfunzioni correttamente, le esigenze snooping dispositivo che deve essere configurato come un semplice dispositivo di livello 2 (cioè non eseguire funzioni DHCP affatto ). Ci sono alcuni documenti tratti dalla documentazione di 3Com, la Guida alla configurazione della famiglia Switch 4500G di 3Com® (p. 405) , che dovrebbe essere comunque applicabile alla tua piattaforma.

Lo snooping DHCP non supporta l'aggregazione di collegamenti. Se una porta Ethernet viene aggiunta in un gruppo di aggregazione, la configurazione Snooping DHCP su di essa non avrà effetto. Quando la porta viene rimossa dal gruppo, lo snooping DHCP può avere effetto.

Se si dispone di porte di uplink aggregate ( 802.3ax ), il collegamento non verrà snoopato.

Il dispositivo abilitato con snooping DHCP non funziona se si trova tra l'agente di inoltro DHCP e il server DHCP e può funzionare quando si trova tra il client DHCP e l'agente di inoltro o tra il client e il server DHCP.

Nel tuo scenario del banco di prova, fondamentalmente avevi un client e un server collegati in 2 diverse porte di accesso; una porta DHCP affidabile . Questo è il modo più semplice per impostare lo snooping DHCP. Se ciò fosse andato storto, avrei il sospetto che ci fosse un altro problema di fondo / errore di configurazione.

Il dispositivo abilitato per snooping DHCP non può essere un server DHCP, un agente di inoltro DHCP, un client DHCP o un client BOOTP. Pertanto, lo snooping DHCP deve essere disabilitato su un server DHCP, agente di inoltro, agente di inoltro DHCP, client DHCP e client BOOTP.

Ciò che significa questo bit finale è che non è possibile fare in modo che lo switch esegua alcuna funzione DHCP, a parte lo snooping DHCP.

Nei commenti, hai dichiarato "è solo un dispositivo L2" . Verificherei più approfonditamente le tue configurazioni, perché stai tentando di implementare le configurazioni di base assolute necessarie per il funzionamento dello snooping DHCP. L'hai testato sulla tua rete di test e ha funzionato bene. Ora la tua rete di produzione, con configurazioni apparentemente identiche, non funziona.

Di seguito sono riportate le procedure di configurazione di base dalla documentazione di 3Com ; se questi non funzionano, cercherò sicuramente altrove.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
fonte
Ho ricontrollato la configurazione. Puoi vederlo lì (solo indirizzi e hash delle password modificati, elimina la configurazione delle interfacce inutilizzate): pastebin.com/uniME5fT . La configurazione recente di snooping DHCP su Cisco Gear trova nel documento che è necessario abilitare l'inserimento dell'opzione 82. Ho provato su 3com, ma nessuna differenza. Ancora lo stesso problema. Se le risposte dal server DHCP vengono inviate allo switch nei frame con tag 802.1q, il bounding non viene registrato nello switch.
skvedo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.