[FAQ] Настройка и типичные проблемы DHCP snooping

591 0 1 0

Сегодня рассмотрим такую технологию безопасности сети 2 уровня, как DHCP snooping.

Технология предотвращает использование не авторизованного DHCP сервера в сети.

Она следит за DHCP коммуникацией в сети, которая состоит из четырех пакетов: Discover, Offer, Request и ACK. Перед активацией DHCP snooping мы указываем доверенные (trusted) интерфейсы, за которыми находится DHCP сервер, так как только доверенный интерфейс может передавать сообщения Offer и ACK. И благодаря этому другие устройства в сети не смогут работать в качестве DHCP сервера. Также необходимо помнить, что после активации DHCP snooping, коммутатор начнет привязывать выданные IP адреса к MAC-адресам запрашивающих устройств и записывать эту информацию в базу dhcp snooping binding.

Базовая настройка DHCP snooping.

DHCP snooping

Рассмотрим пример настройки DHCP snooping по схеме с картинки.

1) Активируем глобально DHCP snooping на оборудовании:

<SW> system-view
[SW] dhcp enable
[SW] dhcp snooping enable

2) Далее активируем DHCP на интерфейсе:

§  Vlan интерфейс:

[SW] vlan 10
[SW-vlan10] dhcp snooping enable
[SW-vlan10] dhcp snooping trusted interface GigabitEthernet 0/0/1

§  Физический интерфейс:

[SW] interface gigabitethernet 0/0/2
[SW-GigabitEthernet 0/0/2] dhcp snooping enable
[SW] interface gigabitethernet 0/0/3
[SW-GigabitEthernet 0/0/3] dhcp snooping enable
[SW] interface gigabitethernet 0/0/4
[SW-GigabitEthernet 0/0/4] dhcp snooping enable

3) И объявляем доверенный порт, за которым находится наш DHCP сервер:

[SW] interface gigabitethernet 0/0/1
[SW-GigabitEthernet 0/0/1] dhcp snooping trusted

Бывает, что после настройки DHCP snooping пользователи перестают получать IP адреса от сервера, давайте посмотрим, что можно сделать в таком случае:

1.   Проверим, появляется ли запись в таблице MAC адресов.

Введем команду display mac-address <mac-address>.

Если искомый адрес отсутствует в таблице MAC адресов, скорее всего, на оборудовании не был создан необходимый VLAN, либо пакеты не могут пройти через него. В этом случае, проверьте план сети и создайте необходимый VLAN.

Если искомый MAC адрес присутствует в таблице, переходите к шагу 2.

2.   Проверим, возможно число записей на оборудовании достигло максимального значения.

Введем команду display dhcp snooping user-bind all и проверим сколько адресов запомнило устройство.

[SW] display dhcp snooping user-bind all
DHCP  Dynamic  Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan
IP Address         MAC Address      VSI/VLAN(O/I/P)     Interface     Lease
------------------------------------------------------------------
1.1.1.254            5489-9874-32d3   100/-- /--                    GE0/0/4   2019.02.17-16:36
------------------------------------------------------------------
print count:                   1                          total count:                           1

[SW] display dhcpv6 snooping user-bind all
Info: The number of dhcpv6 snooping bind-table is zero.

Введем команду display dhcp snooping. Обратите внимание на поле Dhcp user max numberоно показывает максимальное число записей, которые запоминает оборудование.

[SW] display dhcp snooping
DHCP snooping global running information :
DHCPv4 snooping                                          : Enable
DHCPv6 snooping                                          : Disable (default)
Static user max number                                   : 4096
Current static user number                               : 0
Dhcp user max number                                 : 32768 (default)
Current dhcp user number                           : 1

Если число записей достигло максимально доступного значения, то мы можем при помощи команды dhcp snooping max-user-number увеличить его.

Если число записей не достигло максимального значения, то переходите к шагу 3.

3.   Проверим, настроен ли uplink интерфейс как доверенный (trusted).

[SW-vlan10] display this
vlan 10
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/1

[SW-GigabitEthernet0/0/1] display this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
dhcp snooping trusted

Если интерфейс не был настроен как trusted, то в режиме конфигурирования интерфейса выполните команду dhcp snooping trusted.

Если DHCP snooping был настроен корректно, то переходите к шагу 4.

4.   Проверим, есть ли свободные адреса в пуле DHCP сервера.

§  Введем команду display ip pool. Обратите внимание на колонку Idle – это число свободных адресов. Если оно равно 0, значит адресов в пуле не осталось.

<SW> display ip pool interface Vlanif10
Pool-name           : Vlanif10
Pool-No               : 0
...
-------------------------------------------------------------------------------
Network section
              Start               End             Total        Used  Idle(Expired)  Conflict Disabled
-------------------------------------------------------------------------------
         192.168.4.1  192.168.4.254     254              1          253(0)            0          0
-------------------------------------------------------------------------------

§  Если число Idle адресов не равно 0, то переходите к шагу 5.

§  Если число Idle адресов равно 0, то попробуйте решить проблему по таблице ниже.

Решение

Interface Address Pool

Global Address Pool

Увеличьте число IP адресов

§  Уменьшите маску.

§  Увеличьте число Vlan, чтобы увеличить число интерфейсов в пуле.

§  Увеличьте число DHCP серверов.

Уменьшите время аренды IP адресов

Введите команду dhcp server lease <lease-time>

Введите команду lease <lease-time>

5.     Если ничего из вышенаписанного не помогло, то соберите следующую информацию и обращайтесь к нам в ТАС - CISsupport@huawei.com:

§  Результаты процесса решения проблемы.

§  Файлы конфигурации, логи, алармы с оборудования

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх