DHCP-Snooping en 3com S4210

8

Estoy configurando dhcp snooping con protección de fuente IP y DAI en algunos conmutadores 3com S4210.

Encontré un problema con la grabación de enlaces en la base de datos de espionaje. En algunos casos sé que hay una PC conectada a la interfaz, usa el DHCP, incluso cambia en la depuración que hay tráfico DHCP, la conexión en la PC funciona con la dirección asignada pero no hay registro cuando ejecuto el comando display dhcp-snooping .

Al hacer algunos experimentos en el laboratorio de mesa, descubrí que si el tráfico DHCP entra dentro de 2 puertos de acceso (tanto el cliente como el servidor están en el mismo vlan, ambos conectados a los puertos de acceso) de lo que se registra.

Después de que conecté DHCP a la interfaz troncal (como está en la red en vivo, el servidor DHCP está conectado a otro conmutador y hay un relé en el enrutador), cuando DHCP se comunica en un vlan sin etiquetar de esa troncal, se registra el enlace (mismo comportamiento si se usa cliente en el puerto de acceso con vlan 1 o cliente conectado en el puerto con acceso vlan X y configuré en el puerto troncal comando puerto troncal pvid vlan X ).

Si el tráfico DHCP viene etiquetado como troncal, el enlace no se registra en el conmutador. En todos los casos, sin importar cómo esté configurado, el cliente recibe la dirección correcta de DHCP y puede comunicarse correctamente.

Sin el enlace de trabajo adecuado db, no puedo habilitar la protección de fuente IP y DAI.

Tengo disponible el último FW para este interruptor (no fue fácil encontrarlo en las páginas web de HP, pero Google me ayudó después de un tiempo)

Por Google descubrí que en los productos de Cisco necesita habilitar dhcp-snooping para vlans, pero en 3com no encontré nada similar en la documentación ni ningún comando similar en la línea de comando del switch.

¿Alguien tuvo estos problemas y descubrió dónde está el problema?

No puedo preguntarle a HP directamente porque nuestra garantía de soporte técnico ya expiró y no me hablarán (lo intenté en una situación diferente).

Gracias por las respuestas

Michal

security dhcp dhcp-snooping skvedo
fuente
¿Puedes publicar tus configuraciones de espionaje DHCP relevantes?
Ryan Foley
Fizzle: perdón por la demora, no revisé esta página con tanta frecuencia. La configuración es simple. Simplemente habilítelo mediante el comando dhcp-snooping y configure la interfaz de interfaz confiable GigabitEthernet1 / 0/50 dhcp-snooping trust
skvedo
¿Dónde está el agente de retransmisión en referencia al dhcp-snoopingconmutador?
Ryan Foley
En esta configuración de laboratorio, he conectado directamente el dispositivo del servidor DHCP en la interfaz Gi1 /
0/50
¿El conmutador que está intentando habilitar dhcp-snoopingen un agente de retransmisión o enrutamiento entre las VLAN?
Ryan Foley

Respuestas:

2

Para que dhcp-snoopingfuncione correctamente, las necesidades de dispositivos snooping a ser configurado como un dispositivo de capa 2 (es decir, no realizar funciones de DHCP en absoluto ). Hay algunos gotcha de la documentación de 3Com, 3Com® Switch 4500G Family Configuration Guide (p. 405) , que aún deberían ser aplicables a su plataforma.

El DHCP Snooping no admite agregación de enlaces. Si se agrega un puerto Ethernet a un grupo de agregación, la configuración de DHCP Snooping no tendrá efecto. Cuando se elimina el puerto del grupo, la inspección DHCP puede surtir efecto.

Si ha agregado puertos de enlace ascendente ( 802.3ax ), no se activará el enlace.

El dispositivo habilitado para la inspección DHCP no funciona si está entre el agente de retransmisión DHCP y el servidor DHCP, y puede funcionar cuando está entre el cliente DHCP y el agente de retransmisión o entre el cliente y el servidor DHCP.

En su escenario de banco de pruebas, básicamente tenía un cliente y un servidor conectados a 2 puertos de acceso diferentes; uno un puerto DHCP de confianza . Esta es la forma más sencilla de configurar la inspección DHCP. Si esto hubiera salido mal, sospecharía que hay otro problema subyacente / error de configuración.

El dispositivo habilitado para DHCP Snooping no puede ser un servidor DHCP, un agente de retransmisión DHCP, un cliente DHCP o un cliente BOOTP. Por lo tanto, DHCP Snooping debe deshabilitarse en un servidor DHCP, un agente de retransmisión, un agente de retransmisión DHCP, un cliente DHCP y un cliente BOOTP.

Lo que significa este último bit es que realmente no puede hacer que su conmutador realice ninguna función DHCP, aparte de la inspección DHCP.

En los comentarios, usted dijo "es solo un dispositivo L2" . Verificaría sus configuraciones más a fondo, porque está tratando de implementar las configuraciones básicas absolutas necesarias para que la inspección DHCP funcione. Lo probó en su red de prueba y funcionó bien. Ahora su red de producción, con configuraciones aparentemente idénticas, no funciona.

A continuación se detallan los procedimientos de configuración básicos de la documentación de 3Com ; Si esto no funciona, ciertamente estaría buscando en otro lado.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
fuente
He comprobado la configuración de nuevo. Puede verlo allí (solo direcciones alteradas y hash de contraseñas, elimina la configuración de las interfaces no utilizadas): pastebin.com/uniME5fT . La configuración reciente de la inspección DHCP en el equipo de Cisco encuentra en el documento, que necesita tener habilitada la inserción de la opción 82. Lo probé en 3com, pero no hubo ninguna diferencia. Sigue siendo el mismo problema. Si las respuestas del servidor DHCP se envían al conmutador en tramas etiquetadas 802.1q, el límite no se registra en el conmutador.
skvedo