Snooping DHCP no 3com S4210

8

Estou configurando o dhcp snooping com proteção de fonte IP e DAI em alguns switches 3com S4210.

Encontrei um problema com a gravação de ligações no banco de dados bisbilhoteiro. Em alguns casos, eu sei que existe um PC conectado à interface, ele usa o DHCP, até o switch diz na depuração que há tráfego DHCP, a conexão no PC funciona com o endereço atribuído, mas não há registro quando executo o comando display dhcp-snooping .

Ao fazer algumas experiências no laboratório de tabelas, descobri que, se o tráfego DHCP estiver dentro de 2 portas de acesso (cliente e servidor estão na mesma vlan, ambos conectados às portas de acesso), ele será registrado.

Depois que eu conectei o DHCP à interface do tronco (como na rede ao vivo, o servidor DHCP está conectado a outro comutador e há retransmissão no roteador), quando o DHCP está se comunicando na vlan sem marcação desse tronco, a ligação é registrada (o mesmo comportamento se usado cliente na porta de acesso com vlan 1 ou cliente conectado na porta com acesso vlan X e eu defino na porta de comando de porta de tronco porta de tronco pvid vlan X ).

Se o tráfego DHCP for rotulado como throw trunk, a ligação não será registrada no switch. Em todos os casos, não importa como está configurado, o cliente recebe o endereço correto do DHCP e pode se comunicar corretamente.

Sem o db de ligação de trabalho adequado, não posso ativar o protetor de fonte IP e o DAI.

Tenho o FW mais recente para essa opção disponível (não foi fácil encontrá-lo nas páginas da HP, mas o Google ajudou depois de algum tempo)

Pelo Google, descobri que, nos produtos da Cisco, você precisa ativar o dhcp-snooping para vlans, mas na 3com não encontrou nada parecido na documentação ou nenhum comando semelhante na linha de comando do switch.

Alguém teve esses problemas e descobriu onde está o problema?

Não é possível perguntar diretamente à HP porque nossa garantia de suporte técnico já expirou e eles não conversam comigo (tentei em outra situação).

Obrigado pelas respostas.

Michal

security dhcp dhcp-snooping skvedo
fonte
Você pode postar suas configurações de espionagem DHCP relevantes?
Ryan Foley
Fizzle: desculpe pelo atraso, não verifiquei esta página com tanta frequência. A configuração é simples. Apenas permitiu que por -espionagem dhcp comando e um conjunto de confiança da interface interface de GigabitEthernet1 / 0/50 -espionagem dhcp confiança
skvedo
Onde está o agente de retransmissão em referência ao dhcp-snoopingcomutador?
Ryan Foley
Nesta configuração laboratório Tenho ligado diretamente dispositivo servidor DHCP na interface Gi1 / 0/50
skvedo
O switch que você está tentando habilitar dhcp-snoopingem um agente de retransmissão ou roteamento entre as VLANs?
Ryan Foley

Respostas:

2

A fim de que dhcp-snoopingfuncione correctamente, as necessidades de espionagem do dispositivo a ser configurado como apenas um dispositivo de camada 2 (ou seja, não realizando funções DHCP em tudo ). Existem algumas dicas da documentação da 3Com, Guia de Configuração da Família 3Com® Switch 4500G (p. 405) , que ainda devem ser aplicáveis ​​à sua plataforma.

O DHCP Snooping não suporta agregação de links. Se uma porta Ethernet for adicionada a um grupo de agregação, a configuração de DHCP Snooping nela não terá efeito. Quando a porta é removida do grupo, o DHCP Snooping pode entrar em vigor.

Se você tiver portas agregadas de ligação ascendente ( 802.3ax ), o link não será espionado.

O dispositivo habilitado para espionagem DHCP não funciona se estiver entre o agente de retransmissão DHCP e o servidor DHCP e pode funcionar quando estiver entre o cliente e o agente de retransmissão DHCP ou entre o cliente e o servidor DHCP.

No seu cenário de teste, você basicamente tinha um cliente e um servidor conectados a 2 portas de acesso diferentes; uma porta DHCP confiável . Essa é a maneira mais simples de configurar a espionagem DHCP. Se isso desse errado, eu suspeitaria que haja outro erro subjacente de problema / configuração.

O dispositivo habilitado para DHCP Snooping não pode ser um servidor DHCP, agente de retransmissão DHCP, cliente DHCP ou cliente BOOTP. Portanto, o DHCP Snooping deve ser desativado em um servidor DHCP, agente de retransmissão, agente de retransmissão DHCP, cliente DHCP e cliente BOOTP.

O que esse bit final significa é que você realmente não pode ter o seu switch executando nenhuma função DHCP, além do espionagem do DHCP.

Nos comentários, você declarou "é apenas um dispositivo L2" . Eu verificaria suas configurações mais detalhadamente, porque você está tentando implementar essas configurações básicas absolutas necessárias para que a espionagem DHCP funcione. Você o testou em sua rede de teste e funcionou bem. Agora sua rede de produção, com configurações aparentemente idênticas, não está funcionando.

Abaixo estão os procedimentos básicos de configuração da documentação da 3Com ; se isso não funcionar, eu certamente procuraria em outro lugar.

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
Ryan Foley
fonte
Eu verifiquei a configuração novamente. Você pode vê-lo lá (apenas endereços alterados e hashes de senhas, exclui a configuração de interfaces não utilizadas): pastebin.com/uniME5fT . A configuração recente da espionagem DHCP no equipamento Cisco encontra no documento que você precisa ter a inserção da opção 82 ativada. Tentei na 3com, mas nenhuma diferença. Ainda o mesmo problema. Se as respostas do servidor DHCP forem enviadas para o switch nos quadros marcados com 802.1q, o limite não será registrado no switch.
precisa saber é o seguinte