контролирование протокола dhcp без опции 82

[DAnEq]

решил выполнить настройку ARP Inspection на основании таблицы соответствий dhcp snooping

Код: Выделить всё

no spanning-tree
!
vlan database
 vlan 100,500
exit
!
ip dhcp snooping
ip dhcp snooping vlan 500
!
ip arp inspection vlan 500
!
username admin password encrypted ************************************************************************************** privilege 15
!
interface gigabitethernet1/0/1
 loopback-detection enable
 switchport mode trunk
 switchport trunk allowed vlan add 100,500
 switchport protected gigabitethernet1/0/24
 switchport forbidden default-vlan
exit

и так далее, до

interface gigabitethernet1/0/23
 loopback-detection enable
 switchport mode trunk
 switchport trunk allowed vlan add 100,500
 switchport protected gigabitethernet1/0/24
 switchport forbidden default-vlan
exit
!
interface gigabitethernet1/0/24
 description in
 ip arp inspection trust
 ip dhcp snooping trust
 switchport mode trunk
 switchport trunk allowed vlan add 100,500
 switchport forbidden default-vlan
exit
!
interface vlan 100
 ip address 192.168.222.123 255.255.255.0
exit
!
!
ip default-gateway 192.168.222.1
!
end
console#



при этом в руководстве указано, что по умолчанию ip dhcp information option включено
я ставлю no ip dhcp information option поскольку коммутатор используется не для акцесса а для агрегации
но когда смотрю конфиг no ip dhcp information option - нету !!!! я поменял с дефолтного значения, в конфиге должно показать !!!

но не работает, судя по логам

как только включаю ip arp inspection в консоль валит такое

22-Feb-2019 16:01:57 %ARPINSP-I-PCKTLOG: ARP packet dropped from port gi1/0/6 with VLAN tag 500 and reason: packet verification failed
SRC MAC 00:25:22:a5:80:ac SRC IP 172.16.5.190 DST MAC 00:00:00:00:00:00 DST IP 172.16.0.1

да и айпи адреса абоненты на акцессовых коммутаторах не получают, пока не выключу ip dhcp snooping

вопрос.
что я делаю не так ?

[Андрей Есман]

ip dhcp information option - разрешает устройству добавление опции 82 при работе протокола DHCP. Это не значит что опция будет добавлена. Там нужен еще ряд настроек. Так что делать no ip dhcp information option не обязательно.

Для работы arp inspection нужно включите ее глобально :
console(config)# ip arp inspection

[DAnEq]

какой именно еще ряд настроек нужен
когда включаю глобально - не работает

[Андрей Есман]

"Там нужен еще ряд настроек."- речь шла про настройку опции 82. Вам это настраивать не нужно.
Клиент получает ip-адрес по dhcp? Если по dhcp то покажите вывод: sh ip dhcp snooping binding
Покажите вывод команды: sh running-config interface GigabitEthernet 1/0/6

[DAnEq]

айпи адреса клиенты получают на акцессовых коммутаторах, которые включены с портов этого коммутатора.
вот этот коммутатор 2324fb он в роли агрегирующего включен
айпи адреса получают до тех пор пока на агрегирующем не включаю дхсп снупинг
а как только включаю арп инспекцию, он рубит еще и трафик как я понимаю

[Андрей Есман]

Покажите вывод команды: sh ip dhcp snooping binding
Покажите вывод команды: sh running-config interface GigabitEthernet 1/0/6

[DAnEq]

console#sh ip dhcp snooping binding
Total number of binding: 0

MAC Address IP Address Lease (sec) Type VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------

console#sh running-config interface GigabitEthernet 1/0/6
interface gigabitethernet1/0/6
loopback-detection enable
switchport protected gigabitethernet1/0/24
switchport mode trunk
switchport trunk allowed vlan add 100,500
switchport forbidden default-vlan
!
console#

[Андрей Есман]

Ответьте пожалуйста по каждому пункту. Не совсем понял всех тонкостей вашей сети.
1) По умолчанию ip dhcp information option выключено. В документации допущена ошибка. Мы её исправим в ближайшей версии документации.
2) На какой модели коммутатора производите настройки. Покажите с него sh ver
3) Зачем Вы пытаетесь настроить arp inspection на коммутаторе уровня агрегации? Данный функционал имеет смысл только на коммутаторах доступа, куда напрямую включены клиенты.
4) Какое оборудование установлено в качестве коммутатора доступа? Прошу предоставить его конфигурацию (для экономии места оставьте конфигурацию только 1 клиентского порта)
Настроено ли на доступе добавление опции 82 для клиентского трафика?
5) Сообщения 22-Feb-2019 16:01:57 %ARPINSP-I-PCKTLOG: ARP packet dropped from port gi1/0/6 with VLAN tag 500 and reason: packet verification failed SRC MAC 00:25:22:a5:80:ac SRC IP 172.16.5.190 DST MAC 00:00:00:00:00:00 DST IP 172.16.0.1 появляются из-за того, что на коммутаторе не создана запись в таблице dhcp snooping для этого клиента. Запись создастся когда клиент получит адрес по dhcp или продлит аренду.
Сам факт включения dhcp snooping или arp inspection не может инициировать продление аренды адреса клиентом. Для этого надо выполнить на порту свича, куда напрямую включен клиент команды shutdown/no shutdown. После этого прошу с коммутатора показать вывод sh ip dhcp snooping binding (при включенном snooping и arp inspection)

[DAnEq]

Спасибо за ответ
2.

Код: Выделить всё

console#sh ver
Active-image: flash://system/images/rs
  Version: 4.0.10.1
  Commit: fd190e0b
  Build: 16 (master)
  MD5 Digest: 7f2f60dd65a7c68ef6aad1aeeaa97f51
  Date: 08-Oct-2018
  Time: 16:49:03
Inactive-image: flash://system/images/_image1.bin
  Version: 4.0.7
  Commit: 9002953a
  Build: 318 (master)
  MD5 Digest: 4d1b0b7f773ed6633fa145f25e08ed6d
  Date: 22-Aug-2017
  Time: 11:09:20
console#

                          Device
----------------------------------------------------------
        MES2324FB AC 28-port 1G/10G Managed Switch


3. не подумал. уберу
4. коммутаторы доступа. edge-core 3526xa-v2, 3510-28t, dlink dgs1100-06/me,dgs1100-10/me

Код: Выделить всё

вот кусок конфига с 3510-28

это с акцессового порта

interface ethernet 1/1
 spanning-tree loopback-detection trap
 spanning-tree loopback-detection action shutdown 300
 rate-limit input 51200
 rate-limit output 51200
 switchport allowed vlan add 500 untagged
 switchport mode access
 switchport native vlan 500
 switchport allowed vlan remove 1
 ip source-guard sip-mac
 
а это его аплинк которым он включен в элтекс
 
 interface ethernet 1/28
 switchport mode trunk
 switchport allowed vlan add 100,500 tagged
 switchport allowed vlan remove 1
 ip dhcp snooping trust
 
 а это на нем глобально
 
ip dhcp snooping
ip dhcp snooping vlan 500
ip dhcp snooping information option
ip dhcp snooping information option remote-id ip-address encode hex


вывод с пустой таблицей дхсп биндинга я показывал с включенными на элтексе дхсп снупинг и по моему, с арп инспекцией. время аренды у меня 20 минут, включено через элтекс 300 человек, прождал минут 10 так что попытки получить ип были, но таблица пуста

[Андрей Есман]

Прошу ответить на ранее заданный вопрос: опция 82 подставляется на коммутаторах доступа?

Если я правильно понял, за это в приложенном Вами отрывке конфига отвечает ip dhcp information option.
Если так, то рекомендую на MES добавить (config)#ip dhcp snooping information option allowed-untrusted
Она служит для того что бы разрешать пропускать DHCP пакеты от коммутатора доступа с уже добавленной опцией 82 с недоверенных портов (по умолчанию дропает, поэтому таблица снупинга пуста).

Рекомендую полностью убрать настройку ARP Inspection c коммутатора агрегации (MES2324FB). И произвести данную настройку на коммутаторах доступа(edge-core 3526xa-v2, 3510-28t, dlink dgs1100-06/me,dgs1100-10/me).

После всех действий прошу проверить получение адресов клиентами и заполнение таблицы снупинга на коммутаторе MES.

Сообщите,пожалуйста, мне в ЛС свои контактные данные и название организации.

[DAnEq]

1. да, 82 опция инжектится на коммутаторах доступа
2. включил ip dhcp snooping information option allowed-untrusted
ip arp inspection убрал
в show ip dhcp binding опять пусто, но абоненты не падают.
как проверить, что работает ?
если где-то на антрастед портах всплывет левый дхсп сервер, в логах сообщение будет?

[Андрей Есман]

в show ip dhcp binding опять пусто, но абоненты не падают.

Вы не корректно вели команду. Эта таблица и должна быть пуста. Так как эта команда выводит информацию о клиентах подключенных к серверу. А ваш коммутатор MES2324FB не является DHCP-сервером.

Вам нужно посмотреть вывод команды show ip dhcp snooping binding на MES2324FB. После выполнения команд на коммутаторе доступа shutdown/no shutdown на порту куда подключен клиент.

если где-то на антрастед портах всплывет левый дхсп сервер, в логах сообщение будет?

В логах сообщения не будет.

[DAnEq]

простите балбеса.
есть
show ip dhcp snooping binding выводит список, т.е. видно, что контроль идет.
хорошо, на удаленный сервер сообщение о том, что клиент развернул роутер тоже не поступит?
или может быть где-то на свиче можно увидеть, что сработала блокировка левого дхсп сервера на таком-то порту?
по поводу arp inspection задам дурацкий вопрос.
если на акцессовых коммутаторах есть такой функционал, но не на всех, например эджкор 3526 такого не умеет, есть ли смысли включать это на 2324 при использовании его аггрегирующем, как у меня?

[Андрей Есман]

хорошо, на удаленный сервер сообщение о том, что клиент развернул роутер тоже не поступит?
или может быть где-то на свиче можно увидеть, что сработала блокировка левого дхсп сервера на таком-то порту?

Функционал dhcp snooping подразумевает следующий принцип работы: все клиентские запросы (dhcp discover) отправляются только на трастовый порт. Если кто-то развернет сервер на "недоверенном" потру запросы от клиентов на него просто не попадут, поэтому сервер не сможет выдать адрес. Коммутатор в этом случае не узнает о существовании некорректного сервера.

если на акцессовых коммутаторах есть такой функционал, но не на всех, например эджкор 3526 такого не умеет, есть ли смысли включать это на 2324 при использовании его аггрегирующем, как у меня?

По поводу настройки arp inspection на коммутаторах доступа, это была лишь рекомендация. Данная схема является более правильной, но если на доступе данного функционала нет, можно произвести настройки и на агрегирующем коммутаторе.