a opção dhcp-snooping 82 descarta solicitações válidas de dhcp nos comutadores Procurve da série 2610

8

Estamos começando lentamente a implementar o dhcp-snooping em nossos switches HP ProCurve 2610 series, todos executando o firmware R.11.72. Estou vendo algum comportamento estranho em que os pacotes dhcp-request ou dhcp-renew são descartados quando originados de switches "downstream" devido a "informações de retransmissão não confiáveis ​​do cliente".

O erro completo:

Received untrusted relay information from client <mac-address> on port <port-number>

Mais detalhadamente, temos um HP2610 de 48 portas (Switch A) e um HP2610 de 24 portas (Switch B). O switch B é "downstream" do switch A em virtude de uma conexão DSL a uma das portas do switch A. O servidor dhcp está conectado ao switch A. Os bits relevantes são os seguintes:

Switch A 

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit


Switch B

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

Os switches estão configurados para confiar na porta à qual o servidor dhcp autorizado está conectado e em seu endereço IP. Isso é bom para os clientes conectados ao Switch A, mas os clientes conectados ao Switch B são negados devido ao erro "informações de retransmissão não confiáveis". Isso é estranho por alguns motivos: 1) o dhcp-relay não está configurado em nenhum dos comutadores; 2) a rede da Camada 3 aqui é plana, na mesma sub-rede. Pacotes DHCP não devem ter um atributo de opção 82 modificado.

No entanto, o dhcp-relay parece estar ativado por padrão:

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0

E, curiosamente, o agente dhcp-relay parece muito ocupado no Switch B, mas por quê? Até onde eu sei, não há razão para que as solicitações dhcp precisem de uma retransmissão com essa topologia. Além disso, não sei dizer por que o switch upstream está descartando solicitações dhcp legítimas para informações de retransmissão não confiáveis ​​quando o agente de retransmissão em questão (no switch B) não está modificando os atributos da opção 82 de qualquer maneira.

A adição do no dhcp-snooping option 82switch A permite que o tráfego dhcp do switch B seja aprovado pelo switch A, simplesmente desativando esse recurso. Quais são as repercussões de não validar o tráfego dhcp modificado na opção 82? Se eu desabilitar a opção 82 em todos os meus switches "upstream" - eles passarão o tráfego dhcp de qualquer switch downstream, independentemente da legitimidade desse tráfego?

Esse comportamento é independente do sistema operacional do cliente. Eu vejo isso com os clientes Windows e Linux. Nossos servidores DHCP são máquinas com Windows Server 2003 ou Windows Server 2008 R2. Eu vejo esse comportamento, independentemente do sistema operacional dos servidores DHCP.

Alguém pode lançar alguma luz sobre o que está acontecendo aqui e me dar algumas recomendações sobre como devo proceder com a configuração da opção 82? Eu sinto que simplesmente não consegui transmitir completamente o dhcp-relaying e os atributos da opção 82.

networking dhcp hp-procurve
fonte
Os servidores dhcp estão na mesma sub-rede ou estão sendo retransmitidos por um roteador? Eu sei que os roteadores cisco / l3 switches exigem o comando trust-all de informações de retransmissão dhcp ip, se estiverem executando o dhcp adiante.
Bad Dos
Eles estão na mesma sub-rede. Tudo é completamente plano da perspectiva da Camada 3.
O DHCP funciona corretamente se você conectar um laptop ao switch conectado diretamente ao servidor dhcp? Talvez um dos uplinks na topologia de seu switch não seja confiável.
Bad Dos
Sim. Funciona quando a máquina está conectada ao mesmo switch do servidor DHCP. Não confio na porta de ligação ascendente no switch upstream. Você confia apenas nas portas das quais os pacotes DHCPOFFER ou DHCPACK são provenientes - a porta à qual o servidor DHCP está conectado. Se eu confiasse na porta Trunk no switch upstream, o switch permitiria que um servidor dhcp respondesse por esse uplink a seus clientes. FWIW, eu tenho uma solicitação de suporte na HP e eles parecem igualmente confusos.
Não conheço a HP, mas na Cisco você confiaria na porta de uplink no switch de acesso, mas o switch ao qual ele se conecta não confiaria nessa porta. Isso garante que as ofertas dhcp possam fluir para o comutador de acesso, mas nada do comutador de acesso é exibido e nenhuma outra porta no comutador de acesso também é confiável.
Bad Dos

Respostas:

1

Você disse que "o dhcp relay não está ativado" ... mas claramente está, com base na saída show dhcp-relay.

Tente desativá-lo explicitamente; com base nos comentários acima, suspeito que o seu problema irá desaparecer :)

Dan Pritts
fonte
1

Na verdade, o pacote no comutador A está ficando inclinado porque você recebeu um pacote de cliente DHCP com a opção82 em uma porta não confiável. Esta opção-82 é inserida pelo switchB.

Eu acho que abaixo deve funcionar -

Ativado, SwitchB - desative a opção 82 para que isso não insira essas opções. marque a interface-25 como confiável para permitir que o pacote do servidor DHCP flua para o.

On, SwitchA- Você pode manter a opção 82 ativada / desativada aqui. isso não deveria importar. marque a porta que está conectada ao switchB como não confiável. marque a porta que está conectada ao servidor dhcp como confiável.

user256656
fonte
0

Eu acho que você pode estar interpretando mal a ideia de uma porta confiável. Concordo que confiar apenas nas portas das quais as ofertas são provenientes é intuitivo, mas entendo que você também precisa confiar na porta de tronco no Switch A. Você marca portas confiáveis ​​que estão conectadas a equipamentos que você conhece e confia. Só porque você marca o tronco no Switch A como confiável, não significa que você permitirá a existência de um servidor DHCP não autorizado no switch B. Se configurado corretamente, o switch B não confia em nenhuma outra porta que não seja o tronco, para que você ainda impediram que um servidor DHCP não autorizado permanecesse no comutador B e enviasse ofertas aos clientes no comutador A.

Em suma, você deve confiar nas portas conectadas aos seus próprios servidores DHCP e nas portas conectadas a outros comutadores que você gerencia (para ter certeza de que não existem outras portas confiáveis).

Paul Ackerman
fonte