Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

DHCP snooping problem sa pustanjem u rad

[es] :: Enterprise Networking :: DHCP snooping problem sa pustanjem u rad

[ Pregleda: 1885 | Odgovora: 2 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
..1-166-240.customer.lyse.net.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon DHCP snooping problem sa pustanjem u rad31.07.2010. u 18:46 - pre 166 meseci
Zdravo

Imam mrezu od 6 stekova 3750G sviceva. Spratni stekovi kupe wireless i wired korisnike, IP telefone, printere i sl. dok su na centralnom steku serveri, poneki test telefon i ISP-ovi ruteri. Pored toga, jedan deo servera povezan je na centralni stek preko tri 2960G svica. Topologija je prosta zvezda, linkovi sa spratnih stekova ka centralnom steku su realizovani kao EtherChanel linkovi od 3Gbps (od Po1 do Po5), dok su veze izmedju centralnog steka i 2960G sviceva realizovane kao dva 1Gbps linka. Mreza je segmentirana na nekoliko VLAN-ova, svi se rutiraju na centralnom svicu. Takodje koristi se PVRSTP. DHCP server je povezan na jedan od 2960-ca i pomocu IP helper funkcije na centralnom steku dodeljuje adrese svim hostovima u mreza. Sve to radi jako lepo.

Problem je nastao kada sam pokusao da aktiviram DHCP snooping kao zastitu od divljih DHCP servera. Funkciju sam aktivirao samo na svim spratnim svicevima pomocu

Code:
ip dhcp snooping

Code:
ip dhcp snooping vlan 2 6


Na trunk interfejsima ka centralnom steku iza kog je validni DHCP server sam definisao

Code:
ip dhcp snooping trust


DHCP opcija 82 je po default-u ukljucena.

Na centralnom steku i na svicevima ka serverima (2960G) nisam nista menjao, posto tamo nema opasnosti od divljih DHCP servera.

Medjutim nekih 10-ak minuta od aktiviranja snooping-a, mreza pocinje da se ponasa kao da ima L2 loop u sebi. CPU na svim svicevima odlazi u 100% i mreza prosto pada.

U konzoli centralnog steka dobijam sledece poruke.

Code:

975927: Jul 30 14:54:14.267 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po3 and port Po1
975928: Jul 30 14:54:29.392 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po2 and port Po3
975930: Jul 30 14:54:44.542 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po2 and port Po3
975931: Jul 30 14:54:59.708 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po2 and port Po3
975933: Jul 30 14:55:14.850 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po3 and port Po2
975934: Jul 30 14:55:24.891 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po3 and port Po1
975935: Jul 30 14:55:26.150 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po1 and port Po3
975936: Jul 30 14:55:27.953 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po1 and port Po3
975937: Jul 30 14:55:30.034 CEST: %SW_MATM-4-MACFLAP_NOTIF: Host 001e.0bea.bd9e in vlan 2 is flapping between port Po1 and port Po3


Host 001e.0bea.bd9e je upravo validni DHCP server i nalazi se u VLANu 2, ali ne razumem kako/zasto flapuje izmedju Po1, Po2, Po3 koji su port-channel linkovi ka spratnim stekovima!??

Pozdrav
Zoran

[Ovu poruku je menjao jogurt dana 31.07.2010. u 20:26 GMT+1]
 
Odgovor na temu

igor.vitorac

Član broj: 144858
Poruke: 483



+13 Profil

icon Re: DHCP snooping problem sa pustanjem u rad01.08.2010. u 14:03 - pre 166 meseci
Mozda je problem sto ti dhcp snooping nije aktivan na svim svicevima.

Probaj sledece korake u navedenom redosledu:
-prvo ukljuciti dhcp snooping na SVIM swicevima (kreni od core-a)
-definisi na svim swicevima sve trunk portove kao trust
-definisi dhcp server port kao trust
-definisi na koje VLAN-ove zelis da se primeni dhcp snooping

Nije isti primer kao tvoj, ali ima opisan scenario:
http://itknowledgeexchange.tec...-in-a-cisco-catalyst-switches/
 
Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
..1-166-240.customer.lyse.net.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon Re: DHCP snooping problem sa pustanjem u rad02.08.2010. u 00:50 - pre 166 meseci
Hm, hvala za pokusaj, ali ne verujem da je problem to sto nisam ukljucio DHCP snooping na svim svicevima!? Ako sam dobro razumeo, svaki DHCP snooping proces je lokalan tj. nije "svestan" istih procesa na drugim svicevima. Svaki svic pravi svoju sopstvenu tabelu sa DHCP podacima koje uhvati prateci DHCP poruke i prema njoj radi svoj posao. Zbog toga u primeru koji si dao savetuje da se definise DHCP trust na svim uplink portovima access sviceva. Ako DHCP server nije na nekom lokalnom portu, sto je ocekivano za jedan access svic, onda su upravo uplink portovi oni portovi sa kojih dolaze validni DHCP OFFER-i. Funkcija se ukljucuje na odredjenim VLAN-ovima itd. To je sve ok, sve sam i ja to odradio, ali otkud ponasanje kao da je nastala L2 petlja?

Ono sto nisam uradio kao u ovom primeru jeste da nisam limitirao DHCP packet rate i nisam disable-ovao insertovanje opcije 82 (default je enabled). Mozda je tu kljuc? Voleo bih da cujem iskustva ako neko ima vec podignutu funkciju u produkciji da ne moram da simuliram citavo okruzenje na test opremi.

Pozdrav
Z
 
Odgovor na temu

[es] :: Enterprise Networking :: DHCP snooping problem sa pustanjem u rad

[ Pregleda: 1885 | Odgovora: 2 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.