iT邦幫忙

0

DHCP snooping 設定

leo226 2010-08-02 10:44:5122930 瀏覽


如圖:在還沒設定DHCP snooping時,Clinet可以正常存取DHCP,在Switch上設定了DHCP snooping後就無法存取DHCP了,設定應該有錯誤。
我在每台switch裡設定了Global config:,在各Switch的trunk介面裡設定了Interface config:,這樣的設定是否有誤呢?

zackhuang iT邦新手 2 級 ‧ 2010-12-15 23:57:22 檢舉
ip dhcp snooping information option 要不要加的確是個問題

當初我也是看網路上說必須要加 (其實是預設就開啟)

但是我卻怎樣都沒有辦法讓 "dhcp snooping" Work

後來把ip dhcp snooping information option取消掉

一切就正常了!!

1 個回答

10
raytracy
iT邦大神 1 級 ‧ 2010-08-02 22:48:21
最佳解答

Cisco 有標準的設定流程, 請直接翻到 Page 17-3:
http://www.ciscostadium.org/en/US/docs/switches/lan/catalyst4500/12.1/12ew/configuration/guide/dhcp.pdf

您好像漏掉了 ip dhcp snooping information option?

還有, 最後也要用 show ip dhcp snooping 檢查一下:
是否有哪一個 Port 漏掉沒設到?

看更多先前的回應...收起先前的回應...
leo226 iT邦新手 5 級 ‧ 2010-08-03 09:30:56 檢舉

請問:ip dhcp snooping information option,這一條指令的作用是什麼呢?
trust只需要設在trunk port就好了嘛?
Client端的port不需要設trust吧!

raytracy iT邦大神 1 級 ‧ 2010-08-04 00:00:05 檢舉

需不需要設定 ip dhcp snooping information option, 這件事其實很複雜.

當這個選項被開啟時, Client 所發出的 DHCP 請求, 會被中途經過的 Switch 加上 Option 82 檔頭, 裡面會夾帶著這些資訊:
* Circuit ID sub-option
* Remote ID sub-option
* VLAN-mod-port

當這些資訊被送達 DHCP Server 之後, 如果這台 DHCP Server 是 Option 82 Capable 的話, 他會使用上面夾帶的資訊, 比對預先定義的 Policy, 來決定要如何發 IP 給這台電腦.

若你的 DHCP Server 不是 Option 82 capable 的話, 那這些資訊就完全沒有用.

但若您是用 Cisco IOS 內建的 DHCP Server 的話, 那狀況又完全不一樣:
如果中間層層轉送的 Option 82, 裡面所含的 giaddr 欄位是 0.0.0.0 的話, Cisco 的 DHCP Server 會直接丟棄這個封包, 使得用戶端得不到回應. 所以當你使用 Cisco 的 DHCP Server, 會有兩種不同的解法:

  1. 增加以下指令:
    ip dhcp relay information trust-all (全域)
    ip dhcp relay information trusted (每埠)

  2. 或者是, 改用:
    no ip dhcp snooping information option

所以您的環境裡, 有幾個問題需要先釐清:

  1. 您使用哪一種 DHCP Server? 需不需要 Option 82 的資訊?
  2. 當您穿越這麼多種 VLAN 之後, Option 82 內含的資訊是否還正確?
  3. 您中間那個防火牆是否會攔阻含有 Option 82 的 DHCP 封包?

建議您, 先不要嘗試穿越那麼多個 VLAN, 在單純只有一台 Switch 的環境中, 測試完備之後, 再擴展出去.
最簡單的偵錯, 就是在每個 Switch 上都監聽 DCHP 封包, 看看封包內容對不對? 在哪個階段不見的?

leo226 iT邦新手 5 級 ‧ 2010-08-04 13:55:52 檢舉

謝謝指教
1.所使用的DHCP為win2003 server,是否需要設定 ip dhcp snooping information option呢?
2.要如何確認DHCP Server 是不是或需不需要 Option 82 Capable 呢?
3.ASA5520防火牆,要如何確認它有沒有阻擋DHCP的封包呢?
4.如果在沒設定dhcp snooping 時,DHCP服務是可以正常使用的,是不是代表防火牆不會阻擋DHCP封包呢?

raytracy iT邦大神 1 級 ‧ 2010-08-04 14:51:59 檢舉
  1. Server 2003 預設是不支援 Option 82 (除非您使用他的 Customer Option + Callout API 自己寫程式去提供), 所以您應該在所有的 Switch 上設定成:
    no ip dhcp snooping information option

  2. 支不支援請查該軟體的原廠使用手冊; 至於需不需要? 那要看你自己的決策.

  3. 要把你的所有 Policy 都丟出來給大家看才知.

  4. 對. 但不代表他也不會攔阻 Option 82. 還是要看你如何設定 Policy rule 才知.

leo226 iT邦新手 5 級 ‧ 2010-08-23 15:07:40 檢舉

已於Core Switch和2970G Switch加上no ip dhcp snooping information option指令,測試後,只要在Core Switch或2970G Switch上啓用ip dhcp snooping後,PC就無法從dhcp上抓取到ip。
config如下:
ip dhcp snooping vlan 1,2,14
no ip dhcp snooping information option
ip dhcp snooping
ip dhcp-server x.x.x.x
不知道要如何在啓用ip dhcp snooping後還可以正常抓取ip。
我已經下no ip dhcp snooping information option,所以應該不會被內部防火牆擋了吧!

我要發表回答

立即登入回答