MES2124MB: show ip dhcp binding

[amorting]

Добрый день!

Используем на доступе MES2124MB (SW: 1.1.36) , на аггрегации MES3124F (SW: 2.5.34).

2124 добавляет только Opt82, а 3124 уже общается с DHCP Relay сервером.

Кусок конфигурации на 2124:

Код: Выделить всё

ip dhcp relay enable
ip dhcp information option
ip dhcp information option suboption-type custom
ip dhcp information option format-type option bin
ip dhcp relay information policy replace
ip dhcp snooping
ip dhcp snooping vlan 2030
!
!
!
interface gigabitethernet 1/0/2
 ip source-guard
 ip dhcp relay enable                                 
 loopback-detection enable
 switchport access vlan 2030
 service-acl input garbage
 switchport forbidden default-vlan
 ip dhcp information option format-type remote-id 10.27.11.252
exit
!
interface vlan 1
 no ip address dhcp
exit
!
interface vlan 2030
 ip address 10.27.11.252 255.255.252.0
 ip dhcp relay enable                                 
exit
!
ip default-gateway 10.27.11.254

Абонент получает адрес и трафик вроде есть, смущает такой момент:

Если смотреть ip source-guard то четко фиксируем наличие адреса клиента.

Код: Выделить всё

sw#show ip source-guard status
IP Source Guard: Disabled


Interface Filter  Status    IP address       MAC address    VLAN  Type 
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/1   IP     active    Deny All
gi1/0/2   IP     active   10.27.8.106     60:c5:47:94:bc:ee 2030 DHCP   
gi1/0/3   IP     active    Deny All
gi1/0/4   IP     active    Deny All
gi1/0/5   IP     active    Deny All
gi1/0/6   IP     active    Deny All
gi1/0/7   IP     active    Deny All
gi1/0/8   IP     active    Deny All
gi1/0/9   IP     active    Deny All
gi1/0/10  IP     active    Deny All
gi1/0/11  IP     active    Deny All
gi1/0/12  IP     active    Deny All
gi1/0/13  IP     active    Deny All
gi1/0/14  IP     active    Deny All
gi1/0/15  IP     active    Deny All
gi1/0/16  IP     active    Deny All
gi1/0/17  IP     active    Deny All
gi1/0/18  IP     active    Deny All                   
gi1/0/19  IP     active    Deny All
gi1/0/20  IP     active    Deny All
gi1/0/21  IP     active    Deny All
gi1/0/22  IP     active    Deny All
gi1/0/23  IP     active    Deny All
gi1/0/24  IP     active    Deny All

sw#

Но таблица dhcp binding остается пустой:

Код: Выделить всё

sw#show ip dhcp binding
DHCP server disabled.
The number of used (all types) entries is 0
The number of preallocated entries is 0
The number of allocated entries is 0
The number of expired entries is 0
The number of declined entries is 0
The number of static entries is 0
The number of dynamic entries is 0
The number of automatic entries is 0

   IP address      Hardware address     Lease expiration     Type      State 
---------------- --------------------- ------------------ ----------- -------

sw#


Вопрос: Это корректное поведение или ошибка ?

[Голубцов Дмитрий]

Это команда для DHCP сервера.
console#sh ip dhcp
binding Display DHCP Server address bindings
Попробуйте так:
console#sh ip dhcp snooping
binding DHCP snooping binding database information

[amorting]

Вот:

Код: Выделить всё

sw#show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping is configured on following VLANs: 2030
DHCP snooping database is Disabled
Relay agent Information option 82 is Enabled
Option 82 on untrusted port is forbidden
Verification of hwaddr field is Enabled
DHCP snooping file update frequency is configured to: 1200 seconds

 Interface    Trusted   
----------- ------------
gi1/0/25    Yes         
gi1/0/26    Yes         
gi1/0/27    Yes         
gi1/0/28    Yes


И поправка, доступа у абонента к сети нет

[amorting]

Со списком snooping binding разобрался:

Код: Выделить всё

sw#show ip dhcp snooping binding
Total number of binding: 3

   MAC Address       IP Address    Lease (sec)     Type    VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------
00:26:2d:99:45:c3  10.27.8.106     171142       learned    2030 gi1/0/2
60:c5:47:94:bc:ee  10.27.8.106     82819        learned    2030 gi1/0/2
f0:7b:cb:7c:38:83  10.27.8.106     171687       learned    2030 gi1/0/2


И проблема видать в том, что клиентское оборудование ( стоит роутер ) транслирует MAC адрес клиента внутри сети.

После того как сбросил таблицу биндингов и клиент установил повторно сессию - всё заработало, по крайней мере клиент стал пингатся с коммутатора агрегации.

Вопрос уже в другом, на сколько логично применять ip source-guard и snooping одновременно ?

Заранее прошу прощения за вопросы, новичок в фиксированном ШПД

[Александр Селезнев]

ip source-guard - защита от arp spoofing, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
DHCP snooping - защита от dhcp spoofing, защита от атак с использованием протокола DHCP.
Выдержка из документации

Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика,
принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических
соответствий IP Source Guard.

[amorting]

Возможно ли настроить работу коммутатора таким образом, чтобы при падении порта чистилась таблица ip source-guard и dhcp snooping для сценария, когда абонент меняет оконечное устройство подключенное на порту.

[Александр Селезнев]

Думаю, в данном случае нужно настроить работу DHCP сервера, а именно время аренды IP(lease-time)

[Vans]

Либо ловить snmptrap и по нему принудительно убивать аренды адресов, которые выдаются для данного порта.

[amorting]

Уменьшили "лизу" до 10 мин Будем наблюдать за обращаемостью и нагрузкой на DHCP сервер.

Попутный вопрос. dhcp relay предполагает релей unicast запросов ? Сейчас наблюдаем не нулевое количество запросов в unicast напрямую к серверу на который ссылается релей.

На всех коммутаторах доступа только добавление opt 82, т.е. включен dhcp snooping на абонентском VLAN, на агрегации (3124) включен dhcp relay на абонентском VLAN.

[Sansanich]

dhcp relay предполагает релей unicast запросов ?

Нет, работает только c DHCP. Unicast счетчики на сервере наблюдаете из-за DHCP relay, dhcp запросы-ответы, как раз юникастовые.

[amorting]

Так я DHCP Unicast и имею в виду. Т.е. DHCP клиент делает DHCP запрос broadcast который релеится на коммутаторе аггрегации, а потом все запросы на продление "лизы" идут от DHCP клиента unicast напрямую на DHCP сервер.

Предполагается, что DHCP сервер не должен быть доступен из абонентского VLAN, для чего и делается DHCP RELAY.

[Александр Селезнев]

Посмотрите другую тему viewtopic.php?f=10&t=4899. Если правильно понял проблему, то сообщения лучше адресовать туда