Добрый день!
Решаю задачу: в один из портов коммутатора MES2124M подключено радиооборудование доступа для клиентов(точка-многоточка).
Радиооборудование отправляет через коммутатор DHCP-запросы со своим Agent-Information Option 82 для авторизации запроса.
Хочу, чтобы MES2124M реализовывал функцию ip-source-guard на интерфейсе с радиооборудованием, пропуская DHCP запросы с options 82.
Произвожу настройки:
#ip dhcp snooping
#ip source-guard
#ip dhcp snooping vlan 52
interface gigabitethernet 1/0/7 /порт в сторону радиоточек/
ip source-guard
switchport access vlan 52
spanning-tree disable
spanning-tree bpdu filtering
interface gigabitethernet 1/0/13 /порт в сторону DHCP - сервера/
...
ip dhcp snooping trust
switchport mode trunk
...
С данными настройками не проходят DHCP запросы с options82 от радиоточек.
Данная конфигурация работает полностью, если в DHCP-запросе будет отсутствовать options82. DHCP snooping базу в коммутаторе заполняет, guard работает, но мне так нельзя.
Если убрать строчку ip dhcp snooping vlan 52, то запросы с opt82 проходят, но естественно перестает работать ip source-guard. Так тоже нельзя. Подскажите, что я делаю неправильно?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
MES2124M DHCP snooping и чужой DHCP options 82
Re: MES2124M DHCP snooping и чужой DHCP options 82
Здравствуйте.
Уточните, с вами только что по телефону решали похожий вопрос?
Уточните, с вами только что по телефону решали похожий вопрос?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: MES2124M DHCP snooping и чужой DHCP options 82
Большое спасибо техподдержке - оперативно решили проблему.
Re: MES2124M DHCP snooping и чужой DHCP options 82
Решено.
Кратко - проблема заключалась в том, что в заголовке 2-го уровня DHCP-запроса прописан mac-адрес устройства, которое добавляет opt.82 в основной запрос. В теле же самого запроса - mac-адрес абонентского роутера (например).
В логе eltex'a:
12-Mar-2018 11:42:48 :%DHCPSNOOP-E-HDRMAC: DHCP packet mac addresses verification problem - packet dropped: vlan - 52, port - gi1/0/7, mac source address - 78:8a:20:3e:0f:70, mac dest address - ff:ff:ff:ff:ff:ff, hw client address - 00:0c:29:d0:1d:92, error - Source MAC address is not equal to client hardware address
Две команды в глобальном режиме позволили пропускать эти фреймы:
no ip dhcp snooping verify
ip dhcp snooping information option allowed-untrusted
Кратко - проблема заключалась в том, что в заголовке 2-го уровня DHCP-запроса прописан mac-адрес устройства, которое добавляет opt.82 в основной запрос. В теле же самого запроса - mac-адрес абонентского роутера (например).
В логе eltex'a:
12-Mar-2018 11:42:48 :%DHCPSNOOP-E-HDRMAC: DHCP packet mac addresses verification problem - packet dropped: vlan - 52, port - gi1/0/7, mac source address - 78:8a:20:3e:0f:70, mac dest address - ff:ff:ff:ff:ff:ff, hw client address - 00:0c:29:d0:1d:92, error - Source MAC address is not equal to client hardware address
Две команды в глобальном режиме позволили пропускать эти фреймы:
no ip dhcp snooping verify
ip dhcp snooping information option allowed-untrusted
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей