3com S4210 上的 DHCP 侦听

网络工程 安全 dhcp dhcp 监听
2021-07-26 23:25:38

我正在某些 3com S4210 交换机上使用 IP 源保护和 DAI 设置 dhcp 侦听。

我发现在监听数据库中记录绑定有问题。在某些情况下,我知道有 PC 连接到接口,它使用 DHCP,甚至交换机在调试时说有 DHCP 流量,PC 上的连接使用分配的地址工作,但是当我执行display dhcp-snooping命令时没有记录

通过在 table lab 上进行一些实验,我发现如果 DHCP 流量进入 2 个访问端口(客户端和服务器都在同一个 vlan,都连接到访问端口)内,那么它就会被记录下来。

在我将 DHCP 连接到中继接口之后(就像在实时网络中一样,DHCP 服务器连接到另一台交换机并且路由器上有中继),当 DHCP 在该中继的未标记 vlan 上进行通信时,绑定被记录(如果使用,行为相同客户端在具有 vlan 1 的接入端口上或客户端在具有接入 vlan X 的端口上连接,我在中继端口命令端口 trunk pvid vlan X 上设置)。

如果 DHCP 流量来自标记 throw trunk,则不会在交换机上记录绑定。在所有情况下,无论客户端如何配置,客户端都会从 DHCP 接收正确的地址并且可以正确通信。

如果没有适当的工作绑定数据库,我将无法启用 IP 源保护和 DAI。

我有这个开关的最新固件(在 HP 网页上不容易找到它,但谷歌在一段时间后提供了帮助)

通过 Google,我发现在 Cisco 产品上,您需要为 vlan 启用 dhcp-snooping,但在 3com 上没有找到任何类似的文档或交换机命令行中的任何类似命令。

有没有人遇到过这些问题并找出问题所在?

不能直接问惠普,因为我们的技术支持保修已经过期,他们不会跟我说话(在不同的情况下尝试过)。

感谢您的回答。

迈克尔

1个回答

为了dhcp-snooping正确功能,监听设备需要被设置为仅第2层设备(即,不执行DHCP功能在所有的)。3Com 的文档3Com® Switch 4500G 系列配置指南(第 405 页)中有一些问题,它们应该仍然适用于您的平台。

DHCP Snooping 不支持链路聚合。如果以太网端口加入聚合组,则其上的DHCP Snooping 配置不会生效。当端口从组中移除时,DHCP Snooping 才能生效。

如果您已聚合上行链路端口 ( 802.3ax ),则不会监听该链接。

启用DHCP Snooping 的设备在DHCP 中继代理和DHCP 服务器之间时不工作,在DHCP 客户端和中继代理之间或DHCP 客户端和服务器之间可以工作。

在您的测试台场景中,您基本上有一个客户端和一个服务器连接到 2 个不同的访问端口;一个受信任的DHCP 端口。这是设置 DHCP 侦听的最简单方法。如果这出错了,我怀疑还有另一个潜在的问题/配置错误。

启用 DHCP Snooping 的设备不能是 DHCP 服务器、DHCP 中继代理、DHCP 客户端或 BOOTP 客户端。因此,DHCP 服务器、中继代理、DHCP 中继代理、DHCP 客户端和 BOOTP 客户端必须关闭 DHCP Snooping。

最后一点的意思是,除了 DHCP 侦听之外,您真的不能让交换机执行任何DHCP 功能。

在评论中,您表示“它只是 L2 设备”我会更彻底地检查您的配置,因为您正在尝试实现 DHCP 侦听功能所需的绝对基本配置。您在测试网络上对其进行了测试,并且运行良好。现在,您的生产网络(配置看似相同)无法正常工作。

以下是3Com 文档中的基本配置过程如果这些不起作用,我肯定会寻找其他地方。

1  Enable DHCP snooping.
   <Sysname> system-view
   [Sysname] dhcp-snooping
2  Specify GigabitEthernet1/0/1 as trusted.
   [Sysname] interface GigabitEthernet1/0/1
   [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust
其它你可能感兴趣的问题
上一篇卫星连接上的数据包丢失 下一篇映射VLAN的底层结构