Элтекс

решил выполнить настройку ARP Inspection на основании таблицы соответствий dhcp snooping



при этом в руководстве указано, что по умолчанию ip dhcp information option включено
я ставлю no ip dhcp information option поскольку коммутатор используется не для акцесса а для агрегации
но когда смотрю конфиг no ip dhcp information option - нету !!!! я поменял с дефолтного значения, в конфиге должно показать !!!

но не работает, судя по логам

как только включаю ip arp inspection в консоль валит такое

22-Feb-2019 16:01:57 %ARPINSP-I-PCKTLOG: ARP packet dropped from port gi1/0/6 with VLAN tag 500 and reason: packet verification failed
SRC MAC 00:25:22:a5:80:ac SRC IP 172.16.5.190 DST MAC 00:00:00:00:00:00 DST IP 172.16.0.1

да и айпи адреса абоненты на акцессовых коммутаторах не получают, пока не выключу ip dhcp snooping

вопрос.
что я делаю не так ?

ip dhcp information option - разрешает устройству добавление опции 82 при работе протокола DHCP. Это не значит что опция будет добавлена. Там нужен еще ряд настроек. Так что делать no ip dhcp information option не обязательно.

Для работы arp inspection нужно включите ее глобально :
console(config)# ip arp inspection

какой именно еще ряд настроек нужен
когда включаю глобально - не работает

"Там нужен еще ряд настроек."- речь шла про настройку опции 82. Вам это настраивать не нужно.
Клиент получает ip-адрес по dhcp? Если по dhcp то покажите вывод: sh ip dhcp snooping binding
Покажите вывод команды: sh running-config interface GigabitEthernet 1/0/6

айпи адреса клиенты получают на акцессовых коммутаторах, которые включены с портов этого коммутатора.
вот этот коммутатор 2324fb он в роли агрегирующего включен
айпи адреса получают до тех пор пока на агрегирующем не включаю дхсп снупинг
а как только включаю арп инспекцию, он рубит еще и трафик как я понимаю

Покажите вывод команды: sh ip dhcp snooping binding
Покажите вывод команды: sh running-config interface GigabitEthernet 1/0/6

console#sh ip dhcp snooping binding
Total number of binding: 0

MAC Address IP Address Lease (sec) Type VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------

console#sh running-config interface GigabitEthernet 1/0/6
interface gigabitethernet1/0/6
loopback-detection enable
switchport protected gigabitethernet1/0/24
switchport mode trunk
switchport trunk allowed vlan add 100,500
switchport forbidden default-vlan
!
console#

Ответьте пожалуйста по каждому пункту. Не совсем понял всех тонкостей вашей сети.
1) По умолчанию ip dhcp information option выключено. В документации допущена ошибка. Мы её исправим в ближайшей версии документации.
2) На какой модели коммутатора производите настройки. Покажите с него sh ver
3) Зачем Вы пытаетесь настроить arp inspection на коммутаторе уровня агрегации? Данный функционал имеет смысл только на коммутаторах доступа, куда напрямую включены клиенты.
4) Какое оборудование установлено в качестве коммутатора доступа? Прошу предоставить его конфигурацию (для экономии места оставьте конфигурацию только 1 клиентского порта)
Настроено ли на доступе добавление опции 82 для клиентского трафика?
5) Сообщения 22-Feb-2019 16:01:57 %ARPINSP-I-PCKTLOG: ARP packet dropped from port gi1/0/6 with VLAN tag 500 and reason: packet verification failed SRC MAC 00:25:22:a5:80:ac SRC IP 172.16.5.190 DST MAC 00:00:00:00:00:00 DST IP 172.16.0.1 появляются из-за того, что на коммутаторе не создана запись в таблице dhcp snooping для этого клиента. Запись создастся когда клиент получит адрес по dhcp или продлит аренду.
Сам факт включения dhcp snooping или arp inspection не может инициировать продление аренды адреса клиентом. Для этого надо выполнить на порту свича, куда напрямую включен клиент команды shutdown/no shutdown. После этого прошу с коммутатора показать вывод sh ip dhcp snooping binding (при включенном snooping и arp inspection)

Спасибо за ответ
2.


3. не подумал. уберу
4. коммутаторы доступа. edge-core 3526xa-v2, 3510-28t, dlink dgs1100-06/me,dgs1100-10/me


вывод с пустой таблицей дхсп биндинга я показывал с включенными на элтексе дхсп снупинг и по моему, с арп инспекцией. время аренды у меня 20 минут, включено через элтекс 300 человек, прождал минут 10 так что попытки получить ип были, но таблица пуста

Прошу ответить на ранее заданный вопрос: опция 82 подставляется на коммутаторах доступа?

Если я правильно понял, за это в приложенном Вами отрывке конфига отвечает ip dhcp information option.
Если так, то рекомендую на MES добавить (config)#ip dhcp snooping information option allowed-untrusted
Она служит для того что бы разрешать пропускать DHCP пакеты от коммутатора доступа с уже добавленной опцией 82 с недоверенных портов (по умолчанию дропает, поэтому таблица снупинга пуста).

Рекомендую полностью убрать настройку ARP Inspection c коммутатора агрегации (MES2324FB). И произвести данную настройку на коммутаторах доступа(edge-core 3526xa-v2, 3510-28t, dlink dgs1100-06/me,dgs1100-10/me).

После всех действий прошу проверить получение адресов клиентами и заполнение таблицы снупинга на коммутаторе MES.

Сообщите,пожалуйста, мне в ЛС свои контактные данные и название организации.

1. да, 82 опция инжектится на коммутаторах доступа
2. включил ip dhcp snooping information option allowed-untrusted
ip arp inspection убрал
в show ip dhcp binding опять пусто, но абоненты не падают.
как проверить, что работает ?
если где-то на антрастед портах всплывет левый дхсп сервер, в логах сообщение будет?

в show ip dhcp binding опять пусто, но абоненты не падают.

Вы не корректно вели команду. Эта таблица и должна быть пуста. Так как эта команда выводит информацию о клиентах подключенных к серверу. А ваш коммутатор MES2324FB не является DHCP-сервером.

Вам нужно посмотреть вывод команды show ip dhcp snooping binding на MES2324FB. После выполнения команд на коммутаторе доступа shutdown/no shutdown на порту куда подключен клиент.

если где-то на антрастед портах всплывет левый дхсп сервер, в логах сообщение будет?

В логах сообщения не будет.

простите балбеса.
есть
show ip dhcp snooping binding выводит список, т.е. видно, что контроль идет.
хорошо, на удаленный сервер сообщение о том, что клиент развернул роутер тоже не поступит?
или может быть где-то на свиче можно увидеть, что сработала блокировка левого дхсп сервера на таком-то порту?
по поводу arp inspection задам дурацкий вопрос.
если на акцессовых коммутаторах есть такой функционал, но не на всех, например эджкор 3526 такого не умеет, есть ли смысли включать это на 2324 при использовании его аггрегирующем, как у меня?

хорошо, на удаленный сервер сообщение о том, что клиент развернул роутер тоже не поступит?
или может быть где-то на свиче можно увидеть, что сработала блокировка левого дхсп сервера на таком-то порту?

Функционал dhcp snooping подразумевает следующий принцип работы: все клиентские запросы (dhcp discover) отправляются только на трастовый порт. Если кто-то развернет сервер на "недоверенном" потру запросы от клиентов на него просто не попадут, поэтому сервер не сможет выдать адрес. Коммутатор в этом случае не узнает о существовании некорректного сервера.

если на акцессовых коммутаторах есть такой функционал, но не на всех, например эджкор 3526 такого не умеет, есть ли смысли включать это на 2324 при использовании его аггрегирующем, как у меня?

По поводу настройки arp inspection на коммутаторах доступа, это была лишь рекомендация. Данная схема является более правильной, но если на доступе данного функционала нет, можно произвести настройки и на агрегирующем коммутаторе.