一个关于DHCP SNOOPING的思考q

gbcbooks

其实是这样的
在vlan上启用 dhcp snooping 后，交换机上该 vlan的所有端口都处于非信任端口，那就不收也不转发dhcp offer,(不论是trunk还是ACCESS)
那么，端口所连接的设备想要使用DHCP的话，这个端口就要改为信任端口。

按照这样的设计思路，这个vlan的设备都应该使用静态IP地址了？ 因为把端口设成信任端口，就会有恶意DHCP的风险，不设，设备又获取不到DHCP，这样DHCP就没有意义了。
大家是怎么理解的？

ggdd2008

那你的工作量不是会很大吗，只有服务器才需要手工静态指定ip

ggdd2008

还有一些交换的安全特性是要基于dhcp snooping binding表的

gbcbooks

ggdd2008 发表于 2015-2-7 00:18
那你的工作量不是会很大吗，只有服务器才需要手工静态指定ip

如果只有接到服务器的端口设为非信任端口，而其它access都为信任的话，那怎么防止非法的 dhcp 报文？

gbcbooks

翻了书，书中的说
不可信端口是不接受从端口进来的dhcp offer 报文 ，dhcp ack 和dhcp nack 报文，
可以接受不可信端口进来的dhcp request和dhcp discover报文，以及从可信端口转发过来的dhcp 服务器应答类报文，（dhcp offer ,dhcp ack,dhcp nack）.
这样的话，就应该是：
除自己的DHCP服务器和交换机的上行链路应该设为可信端口，别的都可以应该设为非可信端口。

这个看来是IOU的问题。

gbcbooks

在IOU上， 启用了DHCP服务的交换机可以收到连接到下游交换机的可信端口进来的，从下游交换机的非可信端口进来的dhcp discover报文，但是不去回应。很奇怪的现像。

Rockyw

路过了解一下

gbcbooks

gbcbooks 发表于 2015-2-7 02:50
在IOU上， 启用了DHCP服务的交换机可以收到连接到下游交换机的可信端口进来的，从下游交换机的非可信端口进 ...

终于知道为什么IOU不回应了，
因为配出来的dhcp服务机不支持option 82
在启用了dhcp snooping的交换机上no ip dhcp snooping information option
让转发dhcp discover时不插入带有源端口信息的option 82字段。然后就有回应了。

题库中刚好有这一题：
QUESTION 105
A DHCP configured router is connected directly to a switch that has been provisioned with DHCP
snooping. IP Source Guard with the ip verify source port-security command is configured under the
interfaces that connect to all DHCP clients on the switch. However, clients are not receiving an IP address
via the DHCP server. Which option is the cause of this issue?
A.The DHCP server does not support information option 82.
B.The DHCP client interfaces have storm control configured.
C.Static DHCP bindings are not configured on the switch.
D.DHCP snooping must be enabled on all VLANs, even if they are not utilized for dynamic address allocation

Correct Answer: A

不过让我奇怪的是，IOU为什么不支持option 82呢？dhcp snooping是cisco的，iou也是cisco的，原以为理所当然的是支持的，结果真的出人意料。



.

eyesforever

基础的概念你就错了
非信任接口只能收discovey，不能发discovry
非信任接口能发offer
这个才是对的。
只有在连接DHCP服务器的接口上需要开启snooping trust，将其变成信任接口后，才会接收offer，然后转发给非信任接口。

eyesforever

另外，做这种实验建议你用真机。

gbcbooks

eyesforever 发表于 2015-2-7 18:40
基础的概念你就错了
非信任接口只能收discovey，不能发discovry
非信任接口能发offer

我没看错吧，非信任端口只能收discover不能发?,不让发，那PC连非信任端口怎么向DHCP拿IP？

eyesforever

gbcbooks 发表于 2015-2-7 19:37
我没看错吧，非信任端口只能收discover不能发?,不让发，那PC连非信任端口怎么向DHCP拿IP？

你先搞清楚DHCP工作机制
PC发discover给交换机的端口，所以交换机是由非信任端口收到discover，但是如果没有trust端口的话，这个discover不会从任何的接口发出去
当连接DHCP的服务器接口被配置为trust后，就会将discover从这个接口发出去，给DHCP服务器。
然后服务器发offer给交换机，交换机转发offer给主机，这时连接主机的是untrust端口，但是是可以发offer的。所以主机能收到offer.
之后步骤我就省略了。
你自己再琢磨琢磨，把协议理解透彻

eyesforever

gbcbooks 发表于 2015-2-7 14:12
终于知道为什么IOU不回应了，
因为配出来的dhcp服务机不支持option 82
在启用了dhcp snooping的交换机 ...

8楼的这题目和IOU没有半点关系，哪怕是用真机做也是出来这样的效果，下面的PC是获取不到任何的地址的。
你看题目的第一句，DHCP服务器是由一台路由器来担当，但是路由器见你发过来的包并非DHCP中继(zero giaddr)，但是却含有option 82（开启dhcp snooping后默认带的），所以认为非法，就不给下发地址。
使用ip dhcp relay information trust-all让路由器Received DHCP packets may contain relay info option with zero giaddr（接受这个带option的非DHCP中继报文。）之后就能成功获取地址了。

gbcbooks

eyesforever 发表于 2015-2-7 19:45
你先搞清楚DHCP工作机制
PC发discover给交换机的端口，所以交换机是由非信任端口收到discover，但是如果 ...

如果untrust能发offer,那怎么防范非法dhcp ?
正常的PC都是接到untrust，如果untrust又能发offer，那么非法的dhcp连到untrust后，如果收到discover了，不就可以发非法的offer出去了?

coresh

我看是LZ理解上出现问题