D-Link • Просмотр темы - enable address_binding dhcp

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

enable address_binding dhcp_snoop?

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 5

[ Сообщений: 62 ]

На страницу 1, 2, 3, 4, 5 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

sirmax1

Заголовок сообщения: enable address_binding dhcp_snoop?

Добавлено: Пт май 02, 2008 14:48

Зарегистрирован: Сб июн 09, 2007 13:12
Сообщений: 257

Блин, я в ауте.
Где почитать описание работы этой ф-и, если в мануале ни слова нет, а гугль по dhcp_snoop находит одну страницу?

Про то что б присылать список изменений в прошивке я уже молчу...

PS
Ресь про коммутатор DES-3526.

PPS
С праэдниками всех )

Вернуться наверх

Kuznetsov_t

Заголовок сообщения:

Добавлено: Вс май 04, 2008 08:45

Зарегистрирован: Пт апр 06, 2007 11:27
Сообщений: 99

DHCP Snooping.

Код:

enable address_binding dhcp_snoop\disable address_binding dhcp_snoop

– функция реализована чакстично в софте, для её использования достаточно включить на порту IP-MAC-Port Binding, если на порту присутствуют клиенты с ОС VISTA, тогда ещё нужно включить на порту функцию allow_zeroip, при запросе клиент будет получать настройки от DHCP и привязка автоматически будет заноситься в таблицу, у данной привязки будет время жизни Lease Time, если по истечении времени клиент не пошлёт запрос на DHCP сервер на обновление, то привязка будет автоматически заблокирована. Если клиент изменит MAC адрес, то он получит новые настройки и в таблице появится новая запись, если клиент поменяет IP адрес, он будет заблокирован.

Код:

config address_binding dhcp_snoop max_entry ports <portlist> limit <value 1-10>

- данной командой можно на каждом порту коммутатора в отдельности настроить количество динамических связок от 1 до 10.

Пример настройки:

Код:

enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1 limit 2
config address_binding ip_mac ports 1 state enable loose allow_zeroip enable

Описание настроек: Включили DHCP Snooping, включили его на первом порту и настроили две динамические связки, далее включили IP-MAC-Port Binding на первом порту с режимом прохождения первого DHCP пакета и разрешением DHCP пакета с нулевым МАС-ом.

_________________
best regards
kuznetsov timofey

Вернуться наверх

sirmax1

Заголовок сообщения:

Добавлено: Пн май 05, 2008 21:42

Зарегистрирован: Сб июн 09, 2007 13:12
Сообщений: 257

Это, черт возьми, замечательно.
но все же мне хотелось бы услышать ответ от представителей д-линка о логике работы этой ф-и.

Например, как долго живет запись о связке mac-ip-port в коммутаторе? Насколько это ф-я стабильна. И, самое главное, где почитать информацию - или надо писать письма и выпрашивать мануал?

PS
Я-то уже разобрался как натроить, но как узнать работает она так как задумал производитель или нет если нет описания?
Если честно, такой подход немного злит.

Вернуться наверх

sirmax1

Заголовок сообщения:

Добавлено: Пн май 05, 2008 21:47

Зарегистрирован: Сб июн 09, 2007 13:12
Сообщений: 257

Цитата:

у данной привязки будет время жизни Lease Time

Какое? Это Lease Time dhcp? Свич беоет его из ответа сервера?

Цитата:

если по истечении времени клиент не пошлёт запрос на DHCP сервер на обновление, то привязка будет автоматически заблокирована.

Что значит заблокирована?

Цитата:

Если клиент изменит MAC адрес, то он получит новые настройки и в таблице появится новая запись,

А если не получит? у меня клиент получает IP не на основе мака а на основе option 82, с одного и того же порта клиент ВСЕГДА получает тот же IP. (или один IP из пула). Как поведет себя коммутатор в этом случае?

Цитата:

если клиент поменяет IP адрес, он будет заблокирован.

А если клиент попытается прописать себе статический адрес? Блокируются все неизвестные IP? А маки? Что будет при попытке сделать arp-poisoning свитча с этого порта? Порт-секюрити-то включить не вышло..

Вобщем, вопросов явно больше чем ответов...

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Пн май 05, 2008 22:12

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

sirmax1 писал(а):

Какое? Это Lease Time dhcp? Свич беоет его из ответа сервера?

да

sirmax1 писал(а):

Что значит заблокирована?

это значит что ничего не будет работать

sirmax1 писал(а):

не получит не будет работать, однотипные вопросы

sirmax1 писал(а):

попытается и сразу откажется от этой затеи. работать не будет у него.

сдается мне вы вообще не понимаете принцип работы ip-mac-binding и этой фичи dhcp_snoop...
почитайте про ip-mac-binding - тогда многое прояснится. dhcp_snoop только и делает что автоматически заносит записи в таблицу биндинга.

_________________
LiveComm

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн май 05, 2008 22:14

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

По порядку:

1) Lease time берётся с сервера.
2) Запись блокируется в случае если клиент сменит IP-адрес.
3) Если клиент будет менять MAC-адрес он будет получать IP-адреса из пула пока не выберет ограничение по MAC-адресам на порту max_entry ports 1 limit 2.
4) Если у вас клиент получает адрес с применением Option 82 то он сменит MAC-адрес и получит тот же IP. И будет работать.
5) Прописывание статического валидного IP-адреса будет работать до истечения Lease Time.

Вернуться наверх

sirmax1

Заголовок сообщения:

Добавлено: Вт май 06, 2008 19:41

Зарегистрирован: Сб июн 09, 2007 13:12
Сообщений: 257

Во-первых, в очередной раз спасибо Ивану.

Теперь к вопросам.

1. Можете привести выдержку из конфига коммутатора для работы этой ф-и?
Полный, с описанием ВСЕХ возможных вариантов настройки.

Например, следует ли делать

Код:

enable address_binding acl_mode

и что значит strict/loose - и чем отличается (опять в мануале ни слова)

2. Я не знаю какой смысл этой фичи с привязками, но коммутатор впадает в каматоз если начать генерить ему на порту кучу маков.
(утилита arppoison из пакета net-analyzer/arptools)
Пинги на коммутатор - 4-5 секунд, потери 95%, зайти невозможно.

При включении порт-секюрити этого не происходит, коммутатор недает себе засохнуть ), но это ж несовместимые фичи?

Вобщем, просьба к Длинку - привести РАБОЧИЙ конфиг, который
1. не позволит менять IP на IP отличный от выданного DHCP
2. не позволит "положить" коммутатор простыми атаками.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт май 06, 2008 22:20

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вот пожалуйста.

enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports <portlist> limit <value 1-10>
config address_binding ip_mac ports <portlist> state enable loose allow_zeroip enable

Единственный момент Вы пробовали задать ограничение по MAC-адресам именно в этой функции? Ещё вопрос Вы Relay используете? Касаемо ACL mode не нужно потому что это два взаимоисключающих режима IMP. По поводу опций strict и loose. В режиме strict каждый первый ARP-пакет с новым адресом блокируется, т.е. невозможен ARP spoofing, в режиме loose пропускается. Но это актуально для режимов ARP и ACL, но не для DHCP Snooping.

Вернуться наверх

sirmax1

Заголовок сообщения:

Добавлено: Ср май 07, 2008 10:32

Зарегистрирован: Сб июн 09, 2007 13:12
Сообщений: 257

Иван, а Вы проверяли то что пишете?

я делаю

Код:

enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1 limit 2
config address_binding ip_mac ports 1 state enable loose allow_zeroip enable

при этом на коммутаторе

Код:

# IPBIND
config address_binding ip_mac ports 1-24 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
config address_binding ip_mac ports 1-24 state enable loose
disable address_binding acl_mode
disable address_binding trap_log
enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1 limit 2
config address_binding dhcp_snoop max_entry ports 2 limit 2
config address_binding dhcp_snoop max_entry ports 3 limit 2
config address_binding dhcp_snoop max_entry ports 4 limit 2
config address_binding dhcp_snoop max_entry ports 5 limit 2
config address_binding dhcp_snoop max_entry ports 6 limit 2
config address_binding dhcp_snoop max_entry ports 7 limit 2
config address_binding dhcp_snoop max_entry ports 8 limit 2
config address_binding dhcp_snoop max_entry ports 9 limit 2
config address_binding dhcp_snoop max_entry ports 10 limit 2
config address_binding dhcp_snoop max_entry ports 11 limit 2
config address_binding dhcp_snoop max_entry ports 12 limit 2
config address_binding dhcp_snoop max_entry ports 13 limit 2
config address_binding dhcp_snoop max_entry ports 14 limit 2
config address_binding dhcp_snoop max_entry ports 15 limit 2
config address_binding dhcp_snoop max_entry ports 16 limit 2
config address_binding dhcp_snoop max_entry ports 17 limit 2
config address_binding dhcp_snoop max_entry ports 18 limit 2
config address_binding dhcp_snoop max_entry ports 19 limit 2
config address_binding dhcp_snoop max_entry ports 20 limit 2
config address_binding dhcp_snoop max_entry ports 21 limit 2
config address_binding dhcp_snoop max_entry ports 22 limit 2
config address_binding dhcp_snoop max_entry ports 23 limit 2
config address_binding dhcp_snoop max_entry ports 24 limit 2
config address_binding dhcp_snoop max_entry ports 25 limit 5
config address_binding dhcp_snoop max_entry ports 26 limit 5

Проверяю:

Код:

DES-3526:admin#show address_binding dhcp_snoop
Command: show address_binding dhcp_snoop

DHCP_Snoop : Enabled

Код:

DES-3526:admin#show address_binding dhcp_snoop max_entry
Command: show address_binding dhcp_snoop max_entry
Port  Max entry
----  ---------
1     2
2     2
3     2
....

в логах dhcpd

Код:

dhcpd: Lease for 192.168.200.17 is connected to interface 0/1 , VLAN 4 on switch 0:1c:f0:f:b0:e4
dhcpd: Lease for 192.168.200.17        raw option-82 info is CID: 0.4.0.4.0.1 AID: 0.6.0.1c.f0.f.b0.e4
dhcpd: DHCPDISCOVER from 00:0e:7f:73:dc:ec via 172.16.31.55
dhcpd: DHCPOFFER on 192.168.200.17 to 00:0e:7f:73:dc:ec via 172.16.31.55

Ноут нормально получил адрес, в моем примере это 192.168.200.17

На свитче при этом

Код:

DES-3526:admin#show address_binding dhcp_snoop binding_entry
Command: show address_binding dhcp_snoop binding_entry

IP Address      MAC Address       Lease Time Port Status
--------------- ----------------- ---------- ---- --------
192.168.200.17  00-0E-7F-73-DC-EC 30629      1    Active

потом я делаю на нем ifconfig eth0 192.168.200.18 netmask 255.255.255.0 и продолжаю работать с новым IP - совершенно нормально.

Потом запускаю
arppoison eth0 и все, свитч перестает пингаться, куча маков на порту (что естественно), и он продолжает их изучать до впадания в ступор.

Вопрос - где ошибка в конфигурировании?

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Ср май 07, 2008 16:29

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

Цитата:

В режиме strict каждый первый ARP-пакет с новым адресом блокируется, т.е. невозможен ARP spoofing, в режиме loose пропускается. Но это актуально для режимов ARP и ACL, но не для DHCP Snooping.

Если это не актуально, зачем тогда делать так?

Цитата:

config address_binding ip_mac ports <portlist> state enable loose allow_zeroip enable

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср май 07, 2008 20:39

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

To sirmax1:

Проверяли и не раз. А у Вас какая версия прошивки?

To NoFX:

Это нужно чтобы задать параметр allow_zero_ip enable, потому что в противном случае DHCP пакеты не будут пропускаться во всех необходимых случаях.

Вернуться наверх

CryoZ

Заголовок сообщения:

Добавлено: Чт май 08, 2008 08:58

Зарегистрирован: Ср ноя 14, 2007 16:11
Сообщений: 41

Иван, то есть я правильно понял, что при использовании режима DHCP-Snooping необходимо выключать ACL-Mode? А также strict\loose никак не влияют на тот же DHCP-snooping? И ограничения маков на порту учитываются при снупинге?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт май 08, 2008 10:37

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 sirmax1 > На тестовом стенде проблема не подтвердилась, поэтому, пожалуйста, пришлите на rbigarov(a)dlink(.)ru конфигурационный файл DES-3526, подробное описание, включающее к какому порту подключён клиент и DHCP сервер, вывод sudo ifconfig eth0 во время динамического получения, а также после задания статически и лог ping-а и во время ping-а, пожалуйста снимите и пришлите полный вывод команд:
show address_binding ip_mac
show address_binding blocked
Заранее спасибо.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

sirmax1

Заголовок сообщения:

Добавлено: Чт май 08, 2008 14:25

Зарегистрирован: Сб июн 09, 2007 13:12
Сообщений: 257

Повторяю весь эксперемент с начала, описываю максимально подробно каждый шаг.

1. Схема.
Роутер на базе linux 2 сетевые карты
eth0 - смотрит дальше в сеть (не важно для примера.)
eth1 - несколько вланов
1-й - для управления коммутатором, в этот же влан будут пересылаться dhcp -запросы
4-й - для клиентского траффика
Номер клиентского влана выбран "от балды"
На роутере:

Код:

# ifconfig
<то что не касается eth1  поскипано>
eth1.1    Link encap:Ethernet  HWaddr 00:1C:C0:06:8B:C7
          inet addr:172.16.0.1  Bcast:172.16.0.127    Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:448582 errors:0 dropped:0 overruns:0 frame:0
          TX packets:246621 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:31858790 (30.3 Mb)  TX bytes:26700035 (25.4 Mb)

eth1.4    Link encap:Ethernet  HWaddr 00:1C:C0:06:8B:C7
          inet addr:192.168.200.1  Bcast:192.168.200.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3164394 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3916 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:145630423 (138.8 Mb)  TX bytes:302984 (295.8 Kb)

Коммутатор

Код:

DES-3526:admin#show switch
<лишенее поскипано>
Command: show switch
Device Type       : DES-3526 Fast-Ethernet Switch
Combo Port Type   : 1000Base-T + 1000Base-T
MAC Address       : 00-1C-F0-XX-XX-XX
IP Address        : 172.16.0.1 (Manual)
VLAN Name         : default
Subnet Mask       : 255.255.255.128
Default Gateway   : 0.0.0.0
Boot PROM Version : Build 3.00.008
Firmware Version  : Build 5.01-B27
Hardware Version  : 0A3G
Device S/N        :

Коммутатор включен в роутер порт 26, остальные порт настроены как "клиентские"
Настаиваю так:
1. Вланы

Код:

create vlan vlanid 4
config vlan vlanid 1 delete 1-26
config vlan vlanid 1 add tagged 26
config vlan vlanid 4 add tagged 26
config vlan vlanid 4 add untagged 1-25
config ipif System ipaddress 172.16.0.2/25

2. Dhcp-Reley+option82

Код:

config dhcp_relay add ipif System 172.16.0.1
config dhcp_relay option_82 state enable
config dhcp_relay option_82 policy replace
enable dhcp_relay

3. dhcp_snoop как писали выше.

Код:

config address_binding dhcp_snoop max_entry ports 1-24 limit 2
config address_binding ip_mac ports 1-24 state enable forward_dhcppkt enable allow_zeroip enable
enable address_binding dhcp_snoop

4. Сохраняю конфиг, перезагружаю коммутатор

Код:

DES-3526:admin#save
Saving all configurations to NV-RAM... Done.

Насколько я понимаю, при таой конфигурации должно быть следующее:
1. Клиенты получают IP от dhcpd, свитч видит ответы и разрешает тройку
mac-ip-port для тех портов где задействован dhcp_snoop
2. Весь остальной траффик с этих портов должен блокироваться. Это помешает клиенту менять IP произвольным образом.

Теперь проверяем:
1. Тест 1 - winxp.
Пробую получить адрес, успешно (192.168.200.15 в мокм примере)
(в логах dhcpd:

Код:

dhcpd: Lease for 192.168.200.15 is connected to interface 0/1 , VLAN 4 on switch 0:1c:f0:f:b0:e4
dhcpd: Lease for 192.168.200.15        raw option-82 info is CID: 0.4.0.4.0.1 AID: 0.6.0.1c.f0.f.b0.e4
dhcpd: DHCPREQUEST for 192.168.200.15 (172.16.0.1) from 00:1c:23:95:8d:8b via 172.16.0.2
dhcpd: DHCPACK on 192.168.200.15 to 00:1c:23:95:8d:8b via 172.16.0.2
)

При этом на коммутаторе:

Код:

DES-3526:admin#show address_binding dhcp_snoop binding_entry
Command: show address_binding dhcp_snoop binding_entry
IP Address      MAC Address       Lease Time Port Status
--------------- ----------------- ---------- ---- --------
192.168.200.15  00-1C-23-95-8D-8B 30835      1    Active
Total entries : 1

Пробую руками сменить адрес, на 192.168.200.16.
Пиг на шлюз пропадает.
Т.е. на первый взгляд все работает как должно.
На свитче адрес попадает в список блокированных

Код:

DES-3526:admin#show address_binding blocked
Command: show address_binding blocked
 VID  VLAN Name                        MAC Address       Port Type
 ---- -------------------------------- ----------------- ---- ---------------
 4    VLAN4                            00-1C-23-95-8D-8B 1    BlockByAddrBind

возвращаем dhcp-получение, все начинает снова работать.

Теперь переходим к самому интересному
к порту 2 я подключаю ноутбук с OС linux. =)
мак ноутбука сразу попадает в блокированне

Код:

 VID  VLAN Name                        MAC Address       Port Type
 ---- -------------------------------- ----------------- ---- ---------------
 4    VLAN4                            00-0E-7F-73-DC-EC 2    BlockByAddrBind

Потом запускаю arppoison и все =)

На коммутаторе

Код:

DES-3526:admin#show address_binding blocked
Command: show address_binding blocked

 VID  VLAN Name                        MAC Address       Port Type
 ---- -------------------------------- ----------------- ---- ---------------
 4    VLAN4                            00-00-01-6D-1C-BC 2    BlockByAddrBind
 4    VLAN4                            00-00-01-82-72-99 2    BlockByAddrBind
 4    VLAN4                            00-00-03-77-53-61 2    BlockByAddrBind
 4    VLAN4                            00-00-09-50-6F-88 2    BlockByAddrBind
 4    VLAN4                            00-00-1E-3A-4A-12 2    BlockByAddrBind
 4    VLAN4                            00-00-1E-40-20-98 2    BlockByAddrBind
 4    VLAN4                            00-00-23-E5-4F-DC 2    BlockByAddrBind
 4    VLAN4                            00-00-28-93-8F-20 2    BlockByAddrBind
 4    VLAN4                            00-00-2B-7A-C6-68 2    BlockByAddrBind
 4    VLAN4                            00-00-37-B5-90-DD 2    BlockByAddrBind
 4    VLAN4                            00-00-43-1B-B5-B5 2    BlockByAddrBind
 4    VLAN4                            00-00-47-12-AA-3D 2    BlockByAddrBind
 4    VLAN4                            00-00-48-CA-2E-80 2    BlockByAddrBind
 4    VLAN4                            00-00-48-FB-67-4B 2    BlockByAddrBind
 4    VLAN4                            00-00-4E-49-B5-61 2    BlockByAddrBind
 4    VLAN4                            00-00-53-58-2A-75 2    BlockByAddrBind
 4    VLAN4                            00-00-56-61-B5-1E 2    BlockByAddrBind
 4    VLAN4                            00-00-57-A9-25-13 2    BlockByAddrBind
 4    VLAN4                            00-00-58-D7-18-2A 2    BlockByAddrBind
..
 4    VLAN4                            00-03-79-69-F6-03 2    BlockByAddrBind
 4    VLAN4                            00-03-7C-36-34-B5 2    BlockByAddrBind
 4    VLAN4                            00-03-7F-70-4E-F5 2    BlockByAddrBind
 4    VLAN4                            00-03-80-95-BF-84 2    BlockByAddrBind
 4    VLAN4                            00-03-84-1C-05-B0 2    BlockByAddrBind
 4    VLAN4                            00-03-8A-EE-AD-AE 2    BlockByAddrBind
 4    VLAN4                            00-03-8D-6B-12-2F 2    BlockByAddrBind
 4    VLAN4                            00-03-90-5F-86-69 2    BlockByAddrBind
Total entries : 5240

Код:

DES-3526:admin#show utilization cpu
Command: show utilization cpu
CPU utilization :
-------------------------------------------------------------------------------
Five seconds -  100%        One minute -  61%         Five minutes -  12%
CPU Memory Usage: 57%

Ноутбук на 1-м порту при попытке перполучить IP ничего не получает.

Как Вы просили

Код:

DES-3526:admin#show address_binding ip_mac
Command: show address_binding ip_mac
ACL_mode                     : Disabled
Trap/Log                     : Disabled
Enabled ports                : 1-24
Enabled ports (Loose)        :
Enabled allow_zeroip ports   : 1-24
Enabled forward_DHCPpkt ports: 1-26

IP Address      MAC Address       Ports                          Mode
--------------- ----------------- ------------------------------ ----
192.168.200.15  00-1C-23-95-8D-8B 1                              AUTO
Total entries : 1

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Пт май 09, 2008 01:57

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

Цитата:

forward_dhcppkt enable

про это вроде бы никто ничего не говорил

и как это?

Цитата:

IP Address : 172.16.0.1 (Manual)

если

Цитата:

config ipif System ipaddress 172.16.0.2/25

Цитата:

inet addr:172.16.0.1 Bcast:172.16.0.127 Mask:255.255.255.128

Вернуться наверх

Страница 1 из 5

[ Сообщений: 62 ]

На страницу 1, 2, 3, 4, 5 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения