 DHCP Snooping, как оградить хосты от нежелательного DHCP,  fomik2, 08-Фев-13, 09:49 [смотреть все]Господа, добрый день. Тривиальная проблема.
Объясните, почему не работает DHCP Snooping.
Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP на нем все равно отрабатывает?ip dhcp snooping vlan 1-2
no ip dhcp snooping information option
ip dhcp snooping
no ip domain-lookup
!
interface Port-channel1
description SW3750-Core-Grafskiy
switchport mode trunk
ip dhcp snooping trust
!
interface FastEthernet0/1
switchport mode access
switchport voice vlan 3
no snmp trap link-status
spanning-tree portfast
!
interface FastEthernet0/2
switchport mode access
switchport voice vlan 3
no snmp trap link-status
spanning-tree portfast
.
.
.
interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.
switchport mode trunk
switchport trunk allow vlan 1,87,200
no snmp trap link-status
spanning-tree portfast interface GigabitEthernet0/3
description SW3750-Core-Grafskiy
switchport mode trunk
duplex full
channel-group 1 mode active
ip dhcp snooping trust
!
interface GigabitEthernet0/4
description SW3750-Core-Grafskiy
switchport mode trunk
channel-group 1 mode active
ip dhcp snooping trust
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan200
ip address 192.168.90.12 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.90.1
!
line con 0
line vty 0 4
password *****
line vty 5 15
password *****
!
ntp clock-period 36028460
ntp server 172.16.214.103 source Vlan200
end
|
- DHCP Snooping, как оградить хосты от нежелательного DHCP, Merridius, 11:59 , 08-Фев-13 (1)
> ip dhcp snooping vlan 1-2
> interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.
> switchport mode trunk
> switchport trunk allow vlan 1,87,200
> no snmp trap link-status
> spanning-tree portfast У вас snooping включен для vlan 1-2, а на порту еще 87 и 200.
В каком влане сервер находится? или он раздает адреса во все три влана?
- DHCP Snooping, как оградить хосты от нежелательного DHCP, fomik2, 14:21 , 08-Фев-13 (3)
>> ip dhcp snooping vlan 1-2
>> interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.
>> switchport mode trunk
>> switchport trunk allow vlan 1,87,200
>> no snmp trap link-status
>> spanning-tree portfast
> У вас snooping включен для vlan 1-2, а на порту еще 87
> и 200.
> В каком влане сервер находится? или он раздает адреса во все три
> влана?Понимаете, мне в принципе не понятно почему DHCP, который подключен в fa0/48, раздает при данной конфигурации DHCPOFFER, ведь явно на порту (на 0/48) не прописано ip dhcp snooping trust. При данной конфигурации DHCP раздал пользователя из 1 влана свои айпишники, хотя мне это совсем не нужно было. Мне надо, чтобы раздал в 87 влан. Ну в 87 он раздает, но почему в 1 влан тоже, я не понимаю?
- DHCP Snooping, как оградить хосты от нежелательного DHCP, mrak, 16:37 , 08-Фев-13 (5)
> Ну в
> 87 он раздает, но почему в 1 влан тоже, я не
> понимаю?И так, бродкаст запрос на получения адреса идёт на другую циску в которой для перевого влана прописан хелпер адрес, циска переделывает бродкаст в юникаст и перенаправляет запрос на сервер, IP адрес которого, очевидно, не находится в 1 влане, иначе не требывалось бы указывать хелпер адрес, так как это не первый влан, DHCPOFFER блогополучно проходит через интерфейс fa0/48 на верхнюю циску и от туда блогополучно возвращаеться обратно, так как интерфейс Po1 являеться трастовым.
Я ясно изъясняюсь? :-) , я конечно сделал несколько предположений, но они очевидно правельные и картина полностью соответствует вышеизложенному.
- DHCP Snooping, как оградить хосты от нежелательного DHCP, mrak, 12:18 , 08-Фев-13 (2)
> Господа, добрый день. Тривиальная проблема.
> Объясните, почему не работает DHCP Snooping.
> Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER
> от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP
> на нем все равно отрабатывает?Ещё можно добавить комманду ip dhcp-server хх.хх.хх.хх даже если ответ прийдёт с трастового интерфейса но не от интересного ip он будет заблокирован. И не понятно, что и где длжно блокироваться, access порты находяться в 1 vlanе, а его L3 интерфейс очевидно находиться на другом устройстве, наверное "description SW3750-Core-Grafskiy" и что там настроенно нам не известно, при этом interface GigabitEthernet0/3
и interface GigabitEthernet0/4 ip dhcp snooping trust
- DHCP Snooping, как оградить хосты от нежелательного DHCP, fomik2, 14:25 , 08-Фев-13 (4)
>[оверквотинг удален]
>> Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER
>> от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP
>> на нем все равно отрабатывает?
> Ещё можно добавить комманду ip dhcp-server хх.хх.хх.хх даже если ответ прийдёт с
> трастового интерфейса но не от интересного ip он будет заблокирован.
> И не понятно, что и где длжно блокироваться, access порты находяться в
> 1 vlanе, а его L3 интерфейс очевидно находиться на другом устройстве,
> наверное "description SW3750-Core-Grafskiy" и что там настроенно нам не известно, при
> этом interface GigabitEthernet0/3
> и interface GigabitEthernet0/4 ip dhcp snooping trust Да, действительно L3 интерфейс находится на другом устройстве, которое вы указали, на на неё (на инт-се) ip helper-address 172.17.214.103 прописан и пакеты идут дальше на DHCP-сервер.
- DHCP Snooping, как оградить хосты от нежелательного DHCP, mrak, 16:40 , 08-Фев-13 (6)
> Да, действительно L3 интерфейс находится на другом устройстве, которое вы указали, на
> на неё (на инт-се) ip helper-address 172.17.214.103 прописан и пакеты идут
> дальше на DHCP-сервер.Хотя может быть, мои предположения и не были верны :(
|
Версия для распечатки
