web-dev-qa-db-ja.com

dhcp-snoopingオプション82は、2610シリーズProcurveスイッチの有効なdhcp要求をドロップします

HP ProCurve 2610シリーズスイッチでdhcp-snoopingの実装を徐々に開始し、すべてR.11.72ファームウェアを実行しています。 「クライアントからの信頼できないリレー情報」が原因で「ダウンストリーム」スイッチから発信されたときに、dhcp-requestまたはdhcp-renewパケットがドロップされるという奇妙な動作が見られます。

完全なエラー:

Received untrusted relay information from client <mac-address> on port <port-number>

より詳細には、48ポートのHP2610(スイッチA)と24ポートのHP2610(スイッチB)があります。スイッチBは、スイッチAポートの1つへのDSL接続により、スイッチAの「ダウンストリーム」です。 dhcpサーバーはスイッチAに接続されています。関連するビットは次のとおりです。

スイッチA

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit


スイッチB

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

スイッチは、承認されたDHCPサーバーが接続されているポートとそのIPアドレスの両方を信頼するように設定されています。これはすべて、スイッチAに接続されているクライアントには問題ありませんが、スイッチBに接続されているクライアントは、「信頼できないリレー情報」エラーのために拒否されます。これはいくつかの理由で奇妙です1)dhcp-relayがどちらのスイッチでも構成されていない、2)ここのレイヤー3ネットワークがフラットで同じサブネットである。 DHCPパケットには、オプション82の属性を変更しないでください。

ただし、dhcp-relayはデフォルトで有効になっているようです。

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0

興味深いことに、dhcp-relayエージェントはスイッチBで非常にビジーなようですが、なぜですか?私が知る限り、dhcp要求がこのトポロジでリレーを必要とする理由はありません。さらに、問題のリレーエージェント(スイッチB上の)がオプション82属性を変更していないのに、なぜ上流スイッチが信頼できないリレー情報に対する正当なdhcp要求をドロップしているのかわかりません。

no dhcp-snooping option 82 on Switch Aは、その機能をオフにするだけで、Switch BからのdhcpトラフィックをSwitch Aが承認できるようにします。 notオプション82変更されたdhcpトラフィックの検証の影響は何ですか?すべての「アップストリーム」スイッチでオプション82を無効にすると、そのトラフィックの正当性に関係なく、ダウンストリームスイッチからのdhcpトラフィックを渡しますか?

この動作はクライアントオペレーティングシステムに依存しません。 WindowsとLinuxの両方のクライアントで見られます。 DHCPサーバーは、Windows Server 2003またはWindows Server 2008 R2マシンです。 DHCPサーバーのオペレーティングシステムに関係なく、この動作が見られます。

ここで何が起こっているのかを誰かに明かして、オプション82の設定を続行する方法についていくつかの推奨事項を教えてもらえますか? dhcp-relayingとoption 82の属性を完全に理解していないような気がします。

networkingdhcphp-procurve
8
user62491

「dhcpリレーが有効になっていない」とおっしゃっていましたが、show dhcp-relayの出力に基づいて明らかに有効になっています。

明示的に無効にしてみてください。上記のコメントに基づいて、私はあなたの問題がなくなると思います:)

1
Dan Pritts

実際には、信頼できないポートでOption 82を含むDHCPクライアントパケットを受信したため、スイッチAのパケットは垂れ下がっています。このオプション82は、switchBによって挿入されます。

以下はうまくいくと思います-

オン、SwitchB-オプション82を無効にして、これらのオプションが挿入されないようにします。 DHCPサーバーパケットがに流れるように、インターフェイス25を信頼としてマークします。

で、SwitchA-ここでOption 82を有効/無効にしておくことができます。それは問題ではありません。 switchBに接続されているポートを信頼できないものとしてマークします。 dhcp-serverに接続されているポートを信頼できるものとしてマークします。

1
user256656

信頼できるポートの考えを誤って解釈しているのではないかと思います。オファーの送信元のポートのみを信頼することは直感的であることに同意しますが、スイッチAのトランクポートも信頼する必要があることを理解しています。知っている信頼できる機器に接続されているポートを信頼できるものとしてマークします。スイッチAのトランクを信頼済みとしてマークしたからといって、不正なDHCPサーバーがスイッチBに存在することを許可するつもりはありません。正しく設定されている場合、スイッチBはトランク以外のポートも信頼していないため、それでも、不正なDHCPサーバーがスイッチBに座って、スイッチAのクライアントにオファーを送信することを防止しています。

つまり、自分のDHCPサーバーに接続されているポートと、管理している他のスイッチに接続されているポートを信頼することになります(信頼できるポートが他にないことを確認できます)。

0
Paul Ackerman