D-Link • Просмотр темы - DES-3028 + dhcp snooping

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3028 + dhcp snooping

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 24 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Lut

Заголовок сообщения: DES-3028 + dhcp snooping

Добавлено: Пт мар 13, 2009 15:00

Зарегистрирован: Пт мар 13, 2009 14:30
Сообщений: 13

Имеется: Cisco 3550, Dlink 3028.
Хочется: В 3550 воткнут DHCP сервер, 3550 является DHCP Relay.

Как настроить 3028, для того чтобы заработал dhcp snooping - т.е, заполнялась dhcp snooping binding table + с untrusted портов запрещено рассылать dhcp ответы.

Сейчас:
3550

Код:

!
ip routing
!
interface f0/5
description [user port]
switchport access vlan 5
!
interface f0/10
description [DHCP port]
switchport access vlan 10
!
interface g0/1
description [trunk port]
switchport mode trunk
!
interface vlan 5
description [user vlan]
ip address 5.1.1.1 255.0.0.0
ip helper-address 10.1.1.1
!
interface vlan 10
description [DHCP server]
ip address 10.1.1.254
!

3028

Код:

config vlan VLAN5 add tagged 25
config vlan VLAN5 add untagged 5

enable address_binding dhcp_snoop

не совсем понятно за что отвечает forward_dhcppkt, это аналог цисковского ip dhcp snooping trust? т.е. надо включать только на аплинковом порту?

Код:

DES-3028:4#show address_binding dhcp_snoop   
Command: show address_binding dhcp_snoop

DHCP_Snoop : Enabled

DES-3028:4#

Код:

DES-3028:4#show address_binding ports        
Command: show address_binding ports

Enabled ports                 :  
Enabled ports (Loose)         :  
Allow ZeroIP ports            : 1-28 
Forward DHCP packet ports     : 25 

кроме того объясните за что отвечает Allow ZeroIP ports

ну и в итоге при таких настройках ничего не работает. Клиент, подключенный в 5 порт не получает адреса (dhcp discover доходит до сервера, сервер выдает адрес, но до получателя он не доходит). чтение документации не дает ответов на вопросы.

зы.

Код:

DES-3028:4#sh sw 
Command: show switch

Device Type        : DES-3028 Fast Ethernet Switch
MAC Address        : 00-1E-58-A7-79-40
IP Address         : 1.1.1.1 (Manual)
VLAN Name          : default
Subnet Mask        : 255.255.255.0
Default Gateway    : 0.0.0.0
Boot PROM Version  : Build 1.00-B04
Firmware Version   : Build 2.00.B27
Hardware Version   : A1

Вернуться наверх

Lut

Заголовок сообщения:

Добавлено: Пт мар 13, 2009 16:36

Зарегистрирован: Пт мар 13, 2009 14:30
Сообщений: 13

2 shicoy > не знаю как в длинке, но в циске на untrusted портах автоматом дропаются пакеты содержащие DHCPOFFER, DHCPACK, DHCPNAK или DHCPLEASEQUERY...
вопрос: в длинке при включении dhc snooping тоже самое? или еще до кучи надо включать IPM или ACL, котрые обрабатываются процессором?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс мар 15, 2009 00:57

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

По порядку:

To shicoy:

А у Вас DHCP Relay не включён при этом? Если нет то пришлите описание ситуации со схемой с указанием портво подключения и конфигом устройства.

To Lut:

Приведите пожалуйста полные настройки DHCP Snooping включая IMP на порту. Allow_zero_ip enable позволяет пропускать с порта пакеты с source IP = 0.0.0.0. ACL и IMP за исключением анализа каждого первого нового ARP пакета на наших свитчах реализованы в железе.

Вернуться наверх

Lut

Заголовок сообщения:

Добавлено: Чт мар 19, 2009 08:33

Зарегистрирован: Пт мар 13, 2009 14:30
Сообщений: 13

подскажите почему не работает DHCP-snooping на 3028?

Код:

config vlan default delete 1-28
config vlan default add untagged 1-9,11-28
config vlan default advertisement enable
create vlan VLAN10 tag 10
config vlan VLAN10 add tagged 25
config vlan VLAN10 add untagged 10

# ADDRBIND

config address_binding ip_mac ports 1 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 1 limit 5
config address_binding ip_mac ports 2 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 2 limit 5
config address_binding ip_mac ports 3 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 3 limit 5
config address_binding ip_mac ports 4 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 4 limit 5
config address_binding ip_mac ports 5 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 5 limit 5
config address_binding ip_mac ports 6 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 6 limit 5
config address_binding ip_mac ports 7 state disable allow_zeroip enable forward_dhcppkt enable                                                                             
config address_binding dhcp_snoop max_entry ports 7 limit 5
config address_binding ip_mac ports 8 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 8 limit 5
config address_binding ip_mac ports 9 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 9 limit 5
config address_binding ip_mac ports 10 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 10 limit 5
config address_binding ip_mac ports 11 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 11 limit 5
config address_binding ip_mac ports 12 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 12 limit 5
config address_binding ip_mac ports 13 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 13 limit 5
config address_binding ip_mac ports 14 state disable allow_zeroip enable forward_dhcppkt enable                                                                            
config address_binding dhcp_snoop max_entry ports 14 limit 5
config address_binding ip_mac ports 15 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 15 limit 5
config address_binding ip_mac ports 16 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 16 limit 5
config address_binding ip_mac ports 17 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 17 limit 5
config address_binding ip_mac ports 18 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 18 limit 5
config address_binding ip_mac ports 19 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 19 limit 5
config address_binding ip_mac ports 20 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 20 limit 5
config address_binding ip_mac ports 21 state disable allow_zeroip enable forward_dhcppkt enable                                                                            
config address_binding dhcp_snoop max_entry ports 21 limit 5
config address_binding ip_mac ports 22 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 22 limit 5
config address_binding ip_mac ports 23 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 23 limit 5
config address_binding ip_mac ports 24 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 24 limit 5
config address_binding ip_mac ports 25 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 25 limit 5
config address_binding ip_mac ports 26 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 26 limit 5
config address_binding ip_mac ports 27 state disable allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 27 limit 5
config address_binding ip_mac ports 28 state disable allow_zeroip enable forward_dhcppkt enable                                                                            
config address_binding dhcp_snoop max_entry ports 28 limit 5
enable address_binding dhcp_snoop
disable address_binding trap_log

# DHCP_RELAY

disable dhcp_relay
config dhcp_relay hops 4 time 0 
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default

Код:

DES-3028:4#sh vlan
Command: show vlan


VID             : 1           VLAN Name       : default
VLAN Type       : Static      Advertisement   : Enabled
Member Ports    : 1-9,11-28           
Static Ports    : 1-9,11-28           
Current Tagged Ports   :                     
Current Untagged Ports : 1-9,11-28           
Static Tagged Ports    :                     
Static Untagged Ports  : 1-9,11-28           
Forbidden Ports        :                     

VID             : 10          VLAN Name       : VLAN10
VLAN Type       : Static      Advertisement   : Disabled
Member Ports    : 10,25               
Static Ports    : 10,25               
Current Tagged Ports   : 25                  
Current Untagged Ports : 10                  
Static Tagged Ports    : 25                  
Static Untagged Ports  : 10                  
Forbidden Ports        :                     


Total Entries  : 2

DES-3028:4#sh addr dhcp 
Command: show address_binding dhcp_snoop

DHCP_Snoop : Enabled

DES-3028:4#show address_binding ports   
Command: show address_binding ports

Enabled ports                 :  
Enabled ports (Loose)         :  
Allow ZeroIP ports            : 1-28 
Forward DHCP packet ports     : 1-28 

DES-3028:4#show address_binding dhcp_snoop binding_entry 
Command: show address_binding dhcp_snoop binding_entry

IP Address      MAC Address       Lease Time (secs) Port  Status
--------------- ----------------- ----------------- ----  --------

Total Entries : 0 

DES-3028:4#
DES-3028:4#sh fdb
Command: show fdb

Unicast MAC Address Aging Time  = 300

VID  VLAN Name                        MAC Address       Port Type  
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-0F-24-82-6C-19 25   Dynamic
1    default                          00-1E-58-A7-79-40 CPU  Self
10   VLAN10                           00-04-61-51-35-58 10   Dynamic
10   VLAN10                           00-0F-24-82-6C-00 25   Dynamic
10   VLAN10                           00-0F-24-82-6C-19 25   Dynamic

Total Entries  : 5

лог с dhcp-relay

Код:

*Mar  1 00:37:01.087: DHCPD: checking for expired leases.
*Mar  1 00:37:28.483: DHCPD: incoming interface name is Vlan10
*Mar  1 00:37:28.483: DHCPD: Looking up binding using address 1.1.1.1
*Mar  1 00:37:28.483: DHCPD: setting giaddr to 1.1.1.1.
*Mar  1 00:37:28.483: DHCPD: BOOTREQUEST from 0100.0461.5135.58 forwarded to 9.9.9.9.
*Mar  1 00:37:28.575: DHCP: XID did NOT MATCH in dhcpc_for_us()
*Mar  1 00:37:28.575: DHCPD: incoming interface name is Vlan99
*Mar  1 00:37:28.575: DHCPD: forwarding BOOTREPLY to client 0004.6151.3558.
*Mar  1 00:37:28.575: DHCPD: Forwarding reply on numbered intf
*Mar  1 00:37:28.579: DHCPD: Check for IPe on Vlan10
*Mar  1 00:37:28.579: DHCPD: creating ARP entry (1.1.1.20, 0004.6151.3558).
*Mar  1 00:37:28.579: DHCPD: unicasting BOOTREPLY to client 0004.6151.3558 (1.1.1.20).
*Mar  1 00:37:28.579: DHCP: Received a BOOTREP pkt Not for us..:  xid: 0x425BA8B1
*Mar  1 00:37:28.579: DHCPD: incoming interface name is Vlan10
*Mar  1 00:37:28.579: DHCPD: Looking up binding using address 1.1.1.1
*Mar  1 00:37:28.579: DHCPD: setting giaddr to 1.1.1.1.
*Mar  1 00:37:28.579: DHCPD: BOOTREQUEST from 0100.0461.5135.58 forwarded to 9.9.9.9.
*Mar  1 00:37:28.727: DHCP: XID did NOT MATCH in dhcpc_for_us()
*Mar  1 00:37:28.727: DHCPD: incoming interface name is Vlan99
*Mar  1 00:37:28.727: DHCPD: forwarding BOOTREPLY to client 0004.6151.3558.
*Mar  1 00:37:28.727: DHCPD: Forwarding reply on numbered intf
*Mar  1 00:37:28.727: DHCPD: unicasting BOOTREPLY to client 0004.6151.3558 (1.1.1.20).
*Mar  1 00:37:28.727: DHCPD: Sending notification of ASSIGNMENT:
*Mar  1 00:37:28.727:  DHCPD: address 1.1.1.20 mask 255.0.0.0
*Mar  1 00:37:28.727:   DHCPD: htype 1 chaddr 0004.6151.3558
*Mar  1 00:37:28.727:   DHCPD: remote id 020a0000090909010b000000
*Mar  1 00:37:28.727:   DHCPD: lease time remaining (secs) = 172800
*Mar  1 00:37:28.727:   DHCPD: giaddr = 1.1.1.1

*Mar  1 00:37:28.727:   DHCPD: interface = Vlan10

клиент спокойно получает адрес, но записи в dhcp_snoop binding database не появляется.

еще так пробовал

Код:

DES-3028:4#show address_binding ports                            
Command: show address_binding ports

Enabled ports                 : 1-24 
Enabled ports (Loose)         :  
Allow ZeroIP ports            : 1-28 
Forward DHCP packet ports     : 25 

DES-3028:4#show address_binding ip_mac     
Command: show address_binding ip_mac

Next possible completions: 
all                 ipaddress           

DES-3028:4#show address_binding ip_mac all   
Command: show address_binding ip_mac all


IP Address      MAC Address       Mode Ports                          Status
--------------- ----------------- ---- ------------------------------ --------

Total Entries : 0

DES-3028:4#show address_binding                                  
Command: show address_binding

Trap/Log   : Disabled
DHCP_Snoop : Enabled


DES-3028:4#show address_binding ip_mac all   
Command: show address_binding ip_mac all


IP Address      MAC Address       Mode Ports                          Status
--------------- ----------------- ---- ------------------------------ --------

Total Entries : 0

DES-3028:4#show address_binding dhcp_snoop binding_entry 
Command: show address_binding dhcp_snoop binding_entry

IP Address      MAC Address       Lease Time (secs) Port  Status
--------------- ----------------- ----------------- ----  --------

Total Entries : 0 

DES-3028:4#

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт мар 20, 2009 00:11

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Попробуйте пожалуйста прошивку которую я Вам выслал.

Вернуться наверх

Lut

Заголовок сообщения:

Добавлено: Пт мар 20, 2009 08:10

Зарегистрирован: Пт мар 13, 2009 14:30
Сообщений: 13

Demin Ivan писал(а):

Попробуйте пожалуйста прошивку которую я Вам выслал.

Код:

DES-3028:4#sh sw
Command: show switch

Device Type        : DES-3028 Fast Ethernet Switch
MAC Address        : 00-1E-58-A7-79-40
IP Address         : 10.90.90.90 (Manual)
VLAN Name          : default
Subnet Mask        : 255.0.0.0
Default Gateway    : 0.0.0.0
Boot PROM Version  : Build 1.00-B04
Firmware Version   : Build 2.10.B10
Hardware Version   : A1
System Name        : 
System Location    : 
System Contact     : 
Spanning Tree      : Disabled
GVRP               : Disabled
IGMP Snooping      : Disabled
VLAN trunk         : Disabled
802.1x             : Disabled
TELNET             : Enabled(TCP  23)
WEB                : Enabled(TCP  80)
RMON               : Disabled
SSH                : Disabled
SSL                : Disabled
Clipaging          : Enabled                                                   
Syslog Global State: Disabled
Dual Image         : Supported
Password Encryption Status : Disabled

результат тот же.
соответственно со сключенным на портах IPM

Код:

DES-3028:4#show address_binding ports                            
Command: show address_binding ports 

Enabled ports                 : 1-24 
Enabled ports (Loose)         :  
Allow ZeroIP ports            : 1-28 
Forward DHCP packet ports     : 25

мак адрес блокируется (так как не создана запись в dhcp binding database)

конфиг 3028 по ссылке. кроме того, могли бы сказать какой вариант конфга правильный? (со включенным или отключенным IPM) и за что отвечает параметр forward dhcp packet?

http://depositfiles.com/files/atm9gorp5

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт мар 20, 2009 11:19

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

В Вашем конфиге по ссылке попробуйте на клиентских портах включить: 'config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable'

Вернуться наверх

Lut

Заголовок сообщения:

Добавлено: Пт мар 20, 2009 13:04

Зарегистрирован: Пт мар 13, 2009 14:30
Сообщений: 13

заработало.
вопрос: что было не так? когда пробовал включать IPM на порту выключал на портах 1-24 fwd_dhcp_pckt... за что это команда отвечает?
на длинках кроме включения dhcp_snooping необходимо еще и вешать ACL на остальные порты, чтобы на них резать dhcp ответы?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб мар 21, 2009 22:18

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать! У Вас функция IMP на порту была просто выключена. По поводу forward_dhcppkt этот параметр отвечает за то будут ли оригинальные DHCP Broadcast запросы распространться в клиентском VLAN-е при включении DHCP Snooping и DHCP Relay, но в принципе сейчас это делается автоматически при включении DHCP Relay. Лучше её оставлять в умолчальном значении enable. По поводу блокировки ответа серверов с клиентских портов нужно использовать ACL.

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Пн мар 23, 2009 12:10

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

Итак проверил. При включенном dhcp snooping фильтрация по ACL 67 и 68 порт не работает.

Настоящий DHCP сервер включен в 28 порт.
Включаю ноутбук в 1 порт.
Получаю на ноутбуке IP адрес от DHCP сервера.
Включаю DHCP сервер на ноутбуке.
Выключаю настоящий DHCP сервер из 28 порта.
И клиенты включенные в этот свич начинают получать настройки от DHCP на ноутбуке.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Последний раз редактировалось Ivantey Чт мар 26, 2009 23:33, всего редактировалось 2 раз(а).

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт мар 26, 2009 01:33

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Бигаров Руслан занимается этой проблемой. Как только будут новости он сразу же сообщит.

Вернуться наверх

Lut

Заголовок сообщения:

Добавлено: Вс мар 29, 2009 10:55

Зарегистрирован: Пт мар 13, 2009 14:30
Сообщений: 13

Ivantey писал(а):

как дела? проблема еще не решена? скинте куски конфига у себя тоже проверим.
хотя принцип работы DHCP snooping на D-Link вызвал полное разочарование.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс мар 29, 2009 21:27

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

В чём же разочарование? Укажите пожалуйста в личку Ваш телефон пообщаемся.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн мар 30, 2009 13:18

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 Ivantey > Есть правила форума, пожалуйста, прочитайте их, особенно пункт 5. Если быть точнее, то меня интересует какими конкретно ACL правилами Вы фильтруете нелегальные DHCP. Пожалуйста, предоставьте подробную информацию по данной проблеме. Заранее спасибо.

2 All > Убедительная просьба не отписываться в темах, если это не ответ на первый пост или у Вас не подобная проблема, в противном случае лично я буду удалять такие посты.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Пн мар 30, 2009 14:21

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

create access_profile ip udp src_port 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-24 deny

Вернуться наверх

Страница 1 из 2

[ Сообщений: 24 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 73

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения