R.11.72 펌웨어를 실행하는 HP ProCurve 2610 시리즈 스위치에서 dhcp-snooping을 천천히 구현하기 시작했습니다. “클라이언트의 신뢰할 수없는 릴레이 정보”로 인해 “다운 스트림”스위치에서 발생할 때 dhcp-request 또는 dhcp-renew 패킷이 삭제되는 이상한 동작이 있습니다.
전체 오류 :
Received untrusted relay information from client <mac-address> on port <port-number>
보다 자세하게는 48 포트 HP2610 (스위치 A)과 24 포트 HP2610 (스위치 B)이 있습니다. 스위치 B는 스위치 A 포트 중 하나에 대한 DSL 연결로 인해 스위치 A의 “다운 스트림”입니다. dhcp 서버는 스위치 A에 연결됩니다. 관련 비트는 다음과 같습니다.
스위치 A
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
name "Server"
dhcp-snooping trust
exit
스위치 B
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
dhcp-snooping trust
exit
스위치는 인증 된 DHCP 서버가 연결된 포트와 해당 IP 주소를 모두 신뢰하도록 설정되어 있습니다. 이는 스위치 A에 연결된 클라이언트에 모두 적합하지만 “신뢰할 수없는 릴레이 정보”오류로 인해 스위치 B에 연결된 클라이언트가 거부됩니다. 몇 가지 이유에서 1) dhcp-relay가 어느 스위치에도 구성되어 있지 않습니다. 2) 여기서 Layer-3 네트워크는 평평하고 동일한 서브넷입니다. DHCP 패킷에는 수정 된 옵션 82 속성이 없어야합니다.
그러나 dhcp-relay는 기본적으로 활성화 된 것으로 보입니다 :
SWITCH A# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
0 0 0 0
SWITCH B# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
40156 0 0 0
그리고 흥미롭게도 dhcp-relay 에이전트는 스위치 B에서 매우 바쁜 것 같습니다. 왜 그렇습니까? 내가 알 수있는 한 dhcp 요청 에이 토폴로지의 릴레이가 필요한 이유는 없습니다. 또한 문제의 릴레이 에이전트 (스위치 B)가 어쨌든 옵션 82 속성을 수정하지 않을 때 업스트림 스위치가 신뢰할 수없는 릴레이 정보에 대한 합법적 인 dhcp 요청을 삭제하는 이유를 알 수 없습니다.
no dhcp-snooping option 82
켜기 스위치 A를 추가하면 스위치 B의 dhcp 트래픽을 해당 기능을 끄는 것만으로 스위치 A에서 승인 할 수 있습니다. 옵션 82 수정 된 dhcp 트래픽의 유효성을 검사 하지 않는 영향은 무엇입니까 ? 모든 “업스트림”스위치에서 옵션 82를 비활성화하면 트래픽의 적법성에 관계없이 다운 스트림 스위치에서 dhcp 트래픽을 전달합니까?
이 동작은 클라이언트 운영 체제에 구애받지 않습니다. Windows 및 Linux 클라이언트 모두에서 볼 수 있습니다. DHCP 서버는 Windows Server 2003 또는 Windows Server 2008 R2 시스템입니다. DHCP 서버 운영 체제에 관계없이이 동작이 나타납니다.
누구든지 여기서 일어나고있는 일에 대해 밝힐 수 있고 옵션 82 설정 구성을 진행하는 방법에 대한 권장 사항을 알려 주실 수 있습니까? 방금 dhcp-relaying 및 옵션 82 속성을 완전히 파악하지 않은 것 같습니다.
답변
“dhcp relay가 활성화되어 있지 않습니다”라고 말했지만 show dhcp-relay 출력을 기반으로합니다.
명시 적으로 비활성화하십시오. 위의 의견을 바탕으로 문제가 사라질 것입니다 🙂
답변
실제로 신뢰할 수없는 포트에서 옵션 82가있는 DHCP 클라이언트 패킷을 수신했기 때문에 스위치 A의 패킷이 줄어 듭니다. 이 옵션 82는 스위치 B에 의해 삽입됩니다.
아래에서 작동해야한다고 생각합니다.
On, SwitchB-옵션 82를 비활성화하여 이러한 옵션을 삽입하지 않습니다. DHCP 서버 패킷이 아래로 흐르도록 인터페이스 -25를 신뢰로 표시하십시오.
On, SwitchA- 여기에서 옵션 82를 활성화 / 비활성화 할 수 있습니다. 중요하지 않습니다. switchB에 연결된 포트를 신뢰할 수없는 것으로 표시하십시오. dhcp-server에 연결된 포트를 신뢰할 수있는 것으로 표시하십시오.
답변
나는 당신이 신뢰할 수있는 포트의 아이디어를 잘못 해석하고 있다고 생각합니다. 오퍼가 제공되는 포트만 신뢰한다는 것은 직관적이지만 스위치 A의 트렁크 포트도 신뢰해야한다는 것을 이해합니다. 알고 있고 신뢰할 수있는 장비에 연결된 신뢰할 수있는 포트를 표시합니다. 스위치 A의 트렁크를 신뢰할 수있는 것으로 표시한다고해서 스위치 B에 불량 DHCP 서버가 존재한다는 의미는 아닙니다. 올바르게 설정하면 스위치 B는 트렁크 이외의 다른 포트를 신뢰하지 않습니다. 불량 DHCP 서버가 스위치 B에 앉아 스위치 A의 클라이언트에게 오퍼를 보내는 것을 여전히 방지했습니다.
즉, 자신의 DHCP 서버에 연결된 포트와 관리하는 다른 스위치에 연결된 포트를 신뢰해야하므로 다른 신뢰할 수있는 포트가 없는지 확인할 수 있습니다.