dhcp 스누핑 옵션 82는 2610 시리즈 Procurve 스위치에서 유효한 dhcp 요청을 삭제합니다.


8

R.11.72 펌웨어를 실행하는 HP ProCurve 2610 시리즈 스위치에서 dhcp-snooping을 천천히 구현하기 시작했습니다. "클라이언트의 신뢰할 수없는 릴레이 정보"로 인해 "다운 스트림"스위치에서 발생할 때 dhcp-request 또는 dhcp-renew 패킷이 삭제되는 이상한 동작이 있습니다.

전체 오류 :

Received untrusted relay information from client <mac-address> on port <port-number>

보다 자세하게는 48 포트 HP2610 (스위치 A)과 24 포트 HP2610 (스위치 B)이 있습니다. 스위치 B는 스위치 A 포트 중 하나에 대한 DSL 연결로 인해 스위치 A의 "다운 스트림"입니다. dhcp 서버는 스위치 A에 연결됩니다. 관련 비트는 다음과 같습니다.

스위치 A

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit


스위치 B

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

스위치는 인증 된 DHCP 서버가 연결된 포트와 해당 IP 주소를 모두 신뢰하도록 설정되어 있습니다. 이는 스위치 A에 연결된 클라이언트에 모두 적합하지만 "신뢰할 수없는 릴레이 정보"오류로 인해 스위치 B에 연결된 클라이언트가 거부됩니다. 몇 가지 이유에서 1) dhcp-relay가 어느 스위치에도 구성되어 있지 않습니다. 2) 여기서 Layer-3 네트워크는 평평하고 동일한 서브넷입니다. DHCP 패킷에는 수정 된 옵션 82 속성이 없어야합니다.

그러나 dhcp-relay는 기본적으로 활성화 된 것으로 보입니다 :

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0         

그리고 흥미롭게도 dhcp-relay 에이전트는 스위치 B에서 매우 바쁜 것 같습니다. 왜 그렇습니까? 내가 알 수있는 한 dhcp 요청 에이 토폴로지의 릴레이가 필요한 이유는 없습니다. 또한 문제의 릴레이 에이전트 (스위치 B)가 어쨌든 옵션 82 속성을 수정하지 않을 때 업스트림 스위치가 신뢰할 수없는 릴레이 정보에 대한 합법적 인 dhcp 요청을 삭제하는 이유를 알 수 없습니다.

no dhcp-snooping option 82켜기 스위치 A를 추가하면 스위치 B의 dhcp 트래픽을 해당 기능을 끄는 것만으로 스위치 A에서 승인 할 수 있습니다. 옵션 82 수정 된 dhcp 트래픽의 유효성을 검사 하지 않는 영향은 무엇입니까 ? 모든 "업스트림"스위치에서 옵션 82를 비활성화하면 트래픽의 적법성에 관계없이 다운 스트림 스위치에서 dhcp 트래픽을 전달합니까?

이 동작은 클라이언트 운영 체제에 구애받지 않습니다. Windows 및 Linux 클라이언트 모두에서 볼 수 있습니다. DHCP 서버는 Windows Server 2003 또는 Windows Server 2008 R2 시스템입니다. DHCP 서버 운영 체제에 관계없이이 동작이 나타납니다.

누구든지 여기서 일어나고있는 일에 대해 밝힐 수 있고 옵션 82 설정 구성을 진행하는 방법에 대한 권장 사항을 알려 주실 수 있습니까? 방금 dhcp-relaying 및 옵션 82 속성을 완전히 파악하지 않은 것 같습니다.


DHCP 서버가 동일한 서브넷에 있거나 라우터에 의해 릴레이되고 있습니까? cisco routers / l3 스위치는 dhcp forward를 수행하는 경우 ip dhcp relay information trust-all 명령이 필요하다는 것을 알고 있습니다.
나쁜

그들은 같은 서브넷에 있습니다. 레이어 3 관점에서 모든 것이 완전히 평평합니다.

DHCP 서버에 직접 연결된 스위치에 랩탑을 연결하면 DHCP가 제대로 작동합니까? 스위치 토폴로지의 업 링크 중 하나가 신뢰할 수 없습니다.
나쁜

예. 기기가 DHCP 서버와 동일한 스위치에 연결된 경우 작동합니다. 업스트림 스위치의 업 링크 포트를 신뢰하지 않습니다. DHCPOFFER 또는 DHCPACK 패킷이 들어오는 포트 (DHCP 서버가 연결된 포트) 만 신뢰합니다. 업스트림 스위치에서 트렁크 포트를 신뢰 한 경우 스위치를 통해 dhcp 서버가 해당 업 링크를 통해 클라이언트에 응답 할 수 있습니다. FWIW, HP와 관련하여 지원 요청을 받았으며 비슷하게 당황한 것 같습니다.

나는 HP에 익숙하지 않지만 Cisco에서는 액세스 스위치의 업 링크 포트를 신뢰하지만 연결 스위치는 해당 포트를 신뢰하지 않습니다. 이렇게하면 dhcp 오퍼가 액세스 스위치로 흐를 수 있지만 액세스 스위치에서 아무것도 나오지 않고 액세스 스위치의 다른 포트도 신뢰할 수 없습니다.
나쁜

답변:


1

"dhcp relay가 활성화되어 있지 않습니다"라고 말했지만 show dhcp-relay 출력을 기반으로합니다.

명시 적으로 비활성화하십시오. 위의 의견을 바탕으로 문제가 사라질 것입니다 :)


1

실제로 신뢰할 수없는 포트에서 옵션 82가있는 DHCP 클라이언트 패킷을 수신했기 때문에 스위치 A의 패킷이 줄어 듭니다. 이 옵션 82는 스위치 B에 의해 삽입됩니다.

아래에서 작동해야한다고 생각합니다.

On, SwitchB-옵션 82를 비활성화하여 이러한 옵션을 삽입하지 않습니다. DHCP 서버 패킷이 아래로 흐르도록 인터페이스 -25를 신뢰로 표시하십시오.

On, SwitchA- 여기에서 옵션 82를 활성화 / 비활성화 할 수 있습니다. 중요하지 않습니다. switchB에 연결된 포트를 신뢰할 수없는 것으로 표시하십시오. dhcp-server에 연결된 포트를 신뢰할 수있는 것으로 표시하십시오.


0

나는 당신이 신뢰할 수있는 포트의 아이디어를 잘못 해석하고 있다고 생각합니다. 오퍼가 제공되는 포트만 신뢰한다는 것은 직관적이지만 스위치 A의 트렁크 포트도 신뢰해야한다는 것을 이해합니다. 알고 있고 신뢰할 수있는 장비에 연결된 신뢰할 수있는 포트를 표시합니다. 스위치 A의 트렁크를 신뢰할 수있는 것으로 표시한다고해서 스위치 B에 불량 DHCP 서버가 존재한다는 의미는 아닙니다. 올바르게 설정하면 스위치 B는 트렁크 이외의 다른 포트를 신뢰하지 않습니다. 불량 DHCP 서버가 스위치 B에 앉아 스위치 A의 클라이언트에게 오퍼를 보내는 것을 여전히 방지했습니다.

즉, 자신의 DHCP 서버에 연결된 포트와 관리하는 다른 스위치에 연결된 포트를 신뢰해야하므로 다른 신뢰할 수있는 포트가 없는지 확인할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.