3com S4210でのDHCPスヌーピング

8

一部の3com S4210スイッチでIPソースガードとDAIを使用してDHCPスヌーピングを設定しています。

スヌーピングデータベースでバインディングを記録する際に問題が見つかりました。PCがインターフェイスに接続されていることがわかっている場合、DHCPを使用します。スイッチはDHCPトラフィックがあることをデバッギングします。PC上の接続は割り当てられたアドレスで機能しますが、display dhcp-snoopingコマンドを実行してもレコードがありません。

テーブルラボでいくつかの実験を行ったところ、DHCPトラフィックが2つのアクセスポート(クライアントとサーバーの両方が同じVLANにあり、どちらもアクセスポートに接続されている)に入ると、記録されることがわかりました。

DHCPをトランクインターフェイスに接続した後(実際のネットワークと同じように、DHCPサーバーが別のスイッチに接続され、ルーターにリレーがある場合)、DHCPがそのトランクのタグなしVLANで通信していると、バインディングが記録されます(使用した場合と同じ動作) vlan 1のアクセスポートのクライアント、またはvlan Xのアクセスポートに接続されたクライアントで、トランクポートコマンドポートトランクpvid vlan Xに設定)。

DHCPトラフィックがタグ付きのトランクをスローする場合、バインディングはスイッチに記録されません。どのように構成されていても、クライアントはDHCPから正しいアドレスを受け取り、正しく通信できます。

適切に動作するバインディングdbがないと、IPソースガードとDAIを有効にできません。

このスイッチの最新のFWを入手できます(HPのWebページで見つけるのは簡単ではありませんでしたが、しばらくしてからGoogleがサポートしました)

グーグルによって私はシスコ製品でvlanのdhcp-snoopingを有効にする必要があることを発見しましたが、3comでドキュメントやスイッチのコマンドラインで同様のコマンドを見つけることができませんでした。

誰かがこれらの問題を抱えていて、問題がどこにあるのかを理解しましたか?

HPに直接問い合わせることはできません。弊社のテクニカルサポートの保証がすでに切れており、彼らは私と話をしません(別の状況で試みました)。

回答ありがとうございます。

ミハル

security  dhcp  dhcp-snooping 
Skvedo
ソース
関連するDHCPスヌーピング構成を投稿できますか?
Ryan Foley 14
Fizzle:遅れて申し訳ありません。このページをあまり頻繁にチェックしませんでした。設定は簡単です。dhcp-snooping コマンドで有効にして、 信頼できるインターフェースインターフェイスGigabitEthernet1 /
0/50
dhcp-snoopingスイッチに関してリレーエージェントはどこにありますか?
Ryan Foley 14年
このラボ構成では、インターフェイスGi1 / 0/50にDHCPサーバーデバイスを直接接続しています
skvedo
dhcp-snoopingリレーエージェントまたはVLAN間のルーティングで有効にしようとしているスイッチですか?
Ryan Foley

回答:

2

dhcp-snooping正しく機能するためには、スヌーピングデバイスをレイヤ2デバイスとしてセットアップする必要があります(つまり、DHCP機能をまったく実行しない)。3Comのドキュメントの3Com®Switch 4500G Family Configuration Guide(p。405)からいくつかの落とし穴がありますが、これはまだプラットフォームに適用できるはずです。

DHCPスヌーピングはリンク集約をサポートしていません。イーサネットポートがアグリゲーショングループに追加されると、そのポートのDHCPスヌーピング設定は有効になりません。ポートがグループから削除されると、DHCPスヌーピングが有効になります。

集約されたアップリンクポート(802.3ax)がある場合、リンクはスヌーピングされません。

DHCPスヌーピング対応デバイスは、DHCPリレーエージェントとDHCPサーバーの間にある場合は機能しません。また、DHCPクライアントとリレーエージェントの間、またはDHCPクライアントとサーバーの間にある場合も機能します。

テストベッドのシナリオでは、基本的に、クライアントとサーバーを2つの異なるアクセスポートに接続しました。1つは信頼できる DHCPポートです。これは、DHCPスヌーピングをセットアップする最も簡単な方法です。これがうまくいかなかった場合、別の根本的な問題/構成の間違いがあると思います。

DHCPスヌーピング対応デバイスは、DHCPサーバー、DHCPリレーエージェント、DHCPクライアント、またはBOOTPクライアントにすることはできません。したがって、DHCPサーバー、リレーエージェント、DHCPリレーエージェント、DHCPクライアント、およびBOOTPクライアントでは、DHCPスヌーピングを無効にする必要があります。

何この最終ビットの手段は、あなたが本当にあなたのスイッチが実行していないということです任意の DHCPスヌーピングとは別に、DHCP機能を。

コメントで、「それは単なるL2デバイスです」と述べました。DHCPスヌーピングが機能するために必要な絶対的な基本構成を実装しようとしているため、構成をより徹底的にチェックします。テストネットワークでテストしたところ、問題なく動作しました。これで、一見同一の構成を持つ本番ネットワークが機能しなくなりました。

以下は、3Comドキュメントの基本的な設定手順です。これらが機能しない場合、私は確かに他の場所を探しているでしょう。

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
ライアン・フォーリー
ソース
設定をもう一度確認しました。そこに表示されます(アドレスとパスワードのハッシュが変更され、未使用のインターフェース設定が削除されます):pastebin.com/uniME5fT。最近CiscoギアでDHCPスヌーピングを設定すると、ドキュメント82で、オプション82挿入を有効にする必要があることがわかります。3comで試してみましたが、まったく違いはありませんでした。まだ同じ問題。DHCPサーバーからの応答が802.1qタグ付きフレームでスイッチに送信される場合、境界はスイッチに記録されません。
skvedo
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.