URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 526
[ Назад ]

Исходное сообщение
"DHCP Snooping, как оградить хосты от нежелательного DHCP"

Отправлено fomik2 , 08-Фев-13 09:49 
Господа, добрый день. Тривиальная проблема.
Объясните, почему не работает DHCP Snooping.
Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP на нем все равно отрабатывает?

ip dhcp snooping vlan 1-2
no ip dhcp snooping information option
ip dhcp snooping
no ip domain-lookup
!
interface Port-channel1
description SW3750-Core-Grafskiy
switchport mode trunk
ip dhcp snooping trust
!
interface FastEthernet0/1
switchport mode access
switchport voice vlan 3
no snmp trap link-status
spanning-tree portfast
!
interface FastEthernet0/2
switchport mode access
switchport voice vlan 3
no snmp trap link-status
spanning-tree portfast
.
.
.
interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.
switchport mode trunk
switchport trunk allow vlan 1,87,200
no snmp trap link-status
spanning-tree portfast

interface GigabitEthernet0/3
description SW3750-Core-Grafskiy
switchport mode trunk
duplex full
channel-group 1 mode active
ip dhcp snooping trust
!
interface GigabitEthernet0/4
description SW3750-Core-Grafskiy
switchport mode trunk
channel-group 1 mode active
ip dhcp snooping trust
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan200
ip address 192.168.90.12 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.90.1
!
line con 0
line vty 0 4
password *****
line vty 5 15
password *****
!
ntp clock-period 36028460
ntp server 172.16.214.103 source Vlan200
end


Содержание

Сообщения в этом обсуждении
"DHCP Snooping, как оградить хосты от нежелательного DHCP"
Отправлено Merridius , 08-Фев-13 11:59 

> ip dhcp snooping vlan 1-2
> interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.
>  switchport mode trunk
>  switchport trunk allow vlan 1,87,200
>  no snmp trap link-status
>  spanning-tree portfast

У вас snooping включен для vlan 1-2, а на порту еще 87 и 200.
В каком влане сервер находится? или он раздает адреса во все три влана?


"DHCP Snooping, как оградить хосты от нежелательного DHCP"
Отправлено fomik2 , 08-Фев-13 14:21 
>> ip dhcp snooping vlan 1-2
>> interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.
>>  switchport mode trunk
>>  switchport trunk allow vlan 1,87,200
>>  no snmp trap link-status
>>  spanning-tree portfast
> У вас snooping включен для vlan 1-2, а на порту еще 87
> и 200.
> В каком влане сервер находится? или он раздает адреса во все три
> влана?

Понимаете, мне в принципе не понятно почему DHCP, который подключен в fa0/48, раздает при данной конфигурации DHCPOFFER, ведь явно на порту (на 0/48) не прописано ip dhcp snooping trust. При данной конфигурации DHCP раздал пользователя из 1 влана свои айпишники, хотя мне это совсем не нужно было. Мне надо, чтобы раздал в 87 влан. Ну в 87 он раздает, но почему в 1 влан тоже, я не понимаю?


"DHCP Snooping, как оградить хосты от нежелательного DHCP"
Отправлено mrak , 08-Фев-13 16:37 
> Ну в
> 87 он раздает, но почему в 1 влан тоже, я не
> понимаю?

И так, бродкаст запрос на получения адреса идёт на другую циску в которой для перевого влана прописан хелпер адрес, циска переделывает бродкаст в юникаст и перенаправляет запрос на сервер, IP адрес которого, очевидно, не находится в 1 влане, иначе не требывалось бы указывать хелпер адрес, так как это не первый влан, DHCPOFFER блогополучно проходит через интерфейс fa0/48 на верхнюю циску и от туда блогополучно возвращаеться обратно, так как интерфейс Po1 являеться трастовым.
Я ясно изъясняюсь? :-) , я конечно сделал несколько предположений, но они очевидно правельные и картина полностью соответствует вышеизложенному.


"DHCP Snooping, как оградить хосты от нежелательного DHCP"
Отправлено mrak , 08-Фев-13 12:18 
> Господа, добрый день. Тривиальная проблема.
> Объясните, почему не работает DHCP Snooping.
> Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER
> от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP
> на нем все равно отрабатывает?

Ещё можно добавить комманду ip dhcp-server хх.хх.хх.хх даже если ответ прийдёт с трастового интерфейса но не от интересного ip он будет заблокирован.

И не понятно, что и где длжно блокироваться, access порты находяться в 1 vlanе, а его L3 интерфейс очевидно находиться на другом устройстве, наверное "description SW3750-Core-Grafskiy" и что там настроенно нам не известно, при этом interface GigabitEthernet0/3
и interface GigabitEthernet0/4 ip dhcp snooping trust


"DHCP Snooping, как оградить хосты от нежелательного DHCP"
Отправлено fomik2 , 08-Фев-13 14:25 
>[оверквотинг удален]
>> Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER
>> от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP
>> на нем все равно отрабатывает?
> Ещё можно добавить комманду ip dhcp-server хх.хх.хх.хх даже если ответ прийдёт с
> трастового интерфейса но не от интересного ip он будет заблокирован.
> И не понятно, что и где длжно блокироваться, access порты находяться в
> 1 vlanе, а его L3 интерфейс очевидно находиться на другом устройстве,
> наверное "description SW3750-Core-Grafskiy" и что там настроенно нам не известно, при
> этом interface GigabitEthernet0/3
> и interface GigabitEthernet0/4 ip dhcp snooping trust

Да, действительно L3 интерфейс находится на другом устройстве, которое вы указали, на на неё (на инт-се) ip helper-address 172.17.214.103 прописан и пакеты идут дальше на DHCP-сервер.



"DHCP Snooping, как оградить хосты от нежелательного DHCP"
Отправлено mrak , 08-Фев-13 16:40 
> Да, действительно L3 интерфейс находится на другом устройстве, которое вы указали, на
> на неё (на инт-се) ip helper-address 172.17.214.103 прописан и пакеты идут
> дальше на DHCP-сервер.

Хотя может быть, мои предположения и не были верны :(