DHCP 侦听不阻止流氓服务器

网络工程 思科 思科-ios dhcp dhcp 监听
2022-02-12 05:48:54

我读到的所有内容都表明这应该有效,但由于某种原因,它没有发生。

我有一个连接到 VLAN 10 中的 DHCP 服务器 (192.168.10.3) 的交换机,以及 VLAN 7 中的两台机器:一个客户端和一个流氓 DHCP 服务器。

开关配置:

version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
system mtu routing 1500
ip routing
!
!
!
ip dhcp snooping vlan 7,10
ip dhcp snooping
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/1
 shutdown
!
interface FastEthernet0/2
 description Good DHCP server
 switchport access vlan 10
 ip dhcp snooping trust
!
interface FastEthernet0/3
 shutdown
!
interface FastEthernet0/4
 shutdown
!
interface FastEthernet0/5
 shutdown
!
interface FastEthernet0/6
 shutdown
!
interface FastEthernet0/7
 shutdown
!
interface FastEthernet0/8
 switchport access vlan 7
!
interface FastEthernet0/9
 shutdown
!
interface FastEthernet0/10
 shutdown
!
interface FastEthernet0/11
 shutdown
!
interface FastEthernet0/12
 shutdown
!
interface FastEthernet0/13
 shutdown
!
interface FastEthernet0/14
 shutdown
!
interface FastEthernet0/15
 shutdown
!
interface FastEthernet0/16
 shutdown
!
interface FastEthernet0/17
 shutdown
!
interface FastEthernet0/18
 shutdown
!
interface FastEthernet0/19
 shutdown
!
interface FastEthernet0/20
 description Client
 switchport access vlan 7
 spanning-tree portfast
!
interface FastEthernet0/21
 shutdown
!
interface FastEthernet0/22
 shutdown
!
interface FastEthernet0/23
 shutdown
!
interface FastEthernet0/24
 description Rogue DHCP server
 switchport access vlan 7
 spanning-tree portfast
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan7
 ip address 192.168.7.1 255.255.255.0
 ip helper-address 192.168.10.3
!
interface Vlan10
 ip address 192.168.10.1 255.255.255.0
!
ip http server
ip http secure-server
!
!
!
no cdp run
!
!
!
line con 0
 speed 19200
line vty 0 4
 login
line vty 5 15
 login
!
end

观察:

  1. 当恶意服务器关闭时,客户端会从良好的 DHCP 服务器获取 IP,并在 DHCP 侦听数据库中填充相应的条目

  2. 当好的 DHCP 服务器关闭而恶意服务器启动时,客户端会从恶意 DHCP 服务器获取 IP。“关闭”是指端口已关闭,或者我只是删除了服务器上的范围,因此它不响应。

  3. DHCP 侦听调试显示良好的 DHCP 服务器发送 DHCPOFFER。然而,流氓服务器仍然获胜。

我在这里想念什么?交换机是运行 15.0(2)SE5 的 3560。我没有运行 IP 源保护或 DAI。

1个回答

从我看到你的配置应该可以工作。此外,在不受信任的端口上进行 DHCP 侦听的目的是过滤掉特定于 DHCP 服务器的消息,例如 OFFER。请向我们提供show ip dhcp snooping输出,以及show ip dhcp snooping statistics detail输出。

此外,如果您仍然有debug ip dhcp snooping输出,那么查看它可能也会有所帮助。现在对我来说它看起来像一个软件错误。可能您至少应该为此搜索 Cisco BST 工具。

其它你可能感兴趣的问题
上一篇Not-So-Stubby-Area (NSSA) 中的 ABR 是否必须运行 OSPF 和 BGP 等两种路由协议才能导入外部 AS 路由? 下一篇TCP 窗口大小为零