dhcp -窥探选项82在2610系列Pro曲线交换机上删除有效dhcp请求

Question

我们正慢慢开始在我们的HP ProCurve 2610系列交换机上实现dhcp窥探，所有这些都运行R.11.72固件。我看到了一些奇怪的行为，其中dhcp请求或dhcp更新数据包是在源自“下游”交换机时丢弃的，原因是“来自客户端的不可信中继信息”。

完全错误：

Received untrusted relay information from client <mac-address> on port <port-number>

更详细地说，我们有一个48端口HP2610 (开关A)和一个24端口HP2610 (开关B)。开关B是开关A的“下游”，它通过DSL连接到交换机A的一个端口。dhcp服务器连接到交换机A。相关比特如下：

开关A

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit

开关B

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

交换机被设置为信任授权的dhcp服务器所连接的端口及其IP地址。这对连接到交换机A的客户端很好，但是连接到交换机B的客户端由于“不受信任的中继信息”错误而被拒绝。这很奇怪，因为以下几个原因: 1) dhcp中继没有在任何一个交换机上配置，2)这里的第3层网络是扁平的，相同的子网。DHCP数据包不应具有修改后的选项82属性。

但是，dhcp-继电器在默认情况下似乎是启用的：

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0         

有趣的是，dhcp中继代理在开关B上似乎很忙，但为什么？据我所知，dhcp请求没有理由需要具有此拓扑的中继。此外，我不知道为什么上游交换机放弃对不可信中继信息的合法dhcp请求，而所讨论的中继代理(在交换机B上)无论如何都不修改选项82属性。

添加交换机A上的no dhcp-snooping option 82允许交换机B的dhcp通信量通过开关A批准，只需关闭该功能即可。不验证选项82修改的dhcp通信量的后果是什么？如果我在我所有的“上游”交换机上禁用选项82 --它们会通过来自任何下游交换机的dhcp流量吗？

此行为与客户端操作系统无关。我在Windows和Linux客户机上都看到了这种情况。我们的DHCP服务器要么是Windows 2003，要么是Windows 2008 R2机器。无论DHCP服务器的操作系统如何，我都会看到这种行为。

有人能说明一下这里发生了什么，并对我应该如何配置选项82设置给我一些建议吗？我觉得我还没有完全了解dhcp中继和选项82属性。

Answer 1

您说"dhcp中继没有启用“...but显然是，基于您的显示dhcp-中继输出。

尝试显式禁用它；基于上面的注释，我怀疑您的问题会消失:)

Answer 2

实际上，交换机A上的数据包正在下降，因为您在不受信任的端口上接收到了带有option82的DHCP客户端数据包。此选项-82由switchB插入.

我觉得下面应该管用-

On，SwitchB -禁用选项82，这样就不会插入这些选项.将接口-25标记为信任，以允许DHCP服务器数据包向下流到.

打开，开关A-您可以保留选项-82启用/禁用在这里。这不应该重要。将连接到switchB的端口标记为不可信的端口.将连接到dhcp服务器的端口标记为可信端口。

Answer 3

我想你可能误解了可信港口的概念。我同意只信任报价来自的端口是直观的，但我的理解是，您也需要信任交换机A上的主干端口。将连接到已知和信任的设备的端口标记为可信端口。仅仅因为您将交换机A上的主干标记为受信任的，并不意味着您将允许一个流氓DHCP服务器在交换机B上存在。如果设置正确，交换机B也不信任任何其他端口，因此您仍然阻止了流氓DHCP服务器坐在交换机B上并向交换机A上的客户发送报价。

简而言之，您应该信任连接到您自己的DHCP服务器的端口和连接到您管理的其他交换机的端口(这样您就可以确保没有任何其他受信任的端口)。