https://opennet.dev/openforum/vsluhforumID6/526.html Господа, добрый день. Тривиальная проблема. <br>Объясните, почему не работает DHCP Snooping.<br>Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP на нем все равно отрабатывает?<br><br>ip dhcp snooping vlan 1-2<br>no ip dhcp snooping information option<br>ip dhcp snooping<br>no ip domain-lookup<br>!<br>interface Port-channel1<br> description SW3750-Core-Grafskiy<br> switchport mode trunk<br> ip dhcp snooping trust<br>!<br>interface FastEthernet0/1<br> switchport mode access<br> switchport voice vlan 3<br> no snmp trap link-status<br> spanning-tree portfast<br>!<br>interface FastEthernet0/2<br> switchport mode access<br> switchport voice vlan 3<br> no snmp trap link-status<br> spanning-tree portfast<br>.<br>.<br>.<br>interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.<br> switchport mode trunk<br> switchport trunk allow vlan 1,87,200<br> no snmp trap link-status<br> spanning-tree portfast<br><br>interface GigabitEthernet0/3<br> des https://opennet.dev/openforum/vsluhforumID6/526.html#6 Fri, 08 Feb 2013 12:40:50 GMT &gt; Да, действительно L3 интерфейс находится на другом устройстве, которое вы указали, на <br>&gt; на неё (на инт-се) ip helper-address 172.17.214.103 прописан и пакеты идут <br>&gt; дальше на DHCP-сервер.<br><br>Хотя может быть, мои предположения и не были верны :(<br><br> https://opennet.dev/openforum/vsluhforumID6/526.html#5 Fri, 08 Feb 2013 12:37:23 GMT &gt; Ну в <br>&gt; 87 он раздает, но почему в 1 влан тоже, я не <br>&gt; понимаю?<br><br>И так, бродкаст запрос на получения адреса идёт на другую циску в которой для перевого влана прописан хелпер адрес, циска переделывает бродкаст в юникаст и перенаправляет запрос на сервер, IP адрес которого, очевидно, не находится в 1 влане, иначе не требывалось бы указывать хелпер адрес, так как это не первый влан, DHCPOFFER блогополучно проходит через интерфейс fa0/48 на верхнюю циску и от туда блогополучно возвращаеться обратно, так как интерфейс Po1 являеться трастовым.<br>Я ясно изъясняюсь? :-) , я конечно сделал несколько предположений, но они очевидно правельные и картина полностью соответствует вышеизложенному.<br><br> https://opennet.dev/openforum/vsluhforumID6/526.html#4 Fri, 08 Feb 2013 10:25:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER <br>&gt;&gt; от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP <br>&gt;&gt; на нем все равно отрабатывает?<br>&gt; Ещё можно добавить комманду ip dhcp-server хх.хх.хх.хх даже если ответ прийдёт с <br>&gt; трастового интерфейса но не от интересного ip он будет заблокирован.<br>&gt; И не понятно, что и где длжно блокироваться, access порты находяться в <br>&gt; 1 vlanе, а его L3 интерфейс очевидно находиться на другом устройстве, <br>&gt; наверное "description SW3750-Core-Grafskiy" и что там настроенно нам не известно, при <br>&gt; этом interface GigabitEthernet0/3 <br>&gt; и interface GigabitEthernet0/4 ip dhcp snooping trust <br><br>Да, действительно L3 интерфейс находится на другом устройстве, которое вы указали, на на неё (на инт-се) ip helper-address 172.17.214.103 прописан и пакеты идут дальше на DHCP-сервер. <br><br><br> https://opennet.dev/openforum/vsluhforumID6/526.html#3 Fri, 08 Feb 2013 10:21:20 GMT &gt;&gt; ip dhcp snooping vlan 1-2 <br>&gt;&gt; interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется.<br>&gt;&gt; switchport mode trunk <br>&gt;&gt; switchport trunk allow vlan 1,87,200 <br>&gt;&gt; no snmp trap link-status <br>&gt;&gt; spanning-tree portfast <br>&gt; У вас snooping включен для vlan 1-2, а на порту еще 87 <br>&gt; и 200.<br>&gt; В каком влане сервер находится? или он раздает адреса во все три <br>&gt; влана?<br><br>Понимаете, мне в принципе не понятно почему DHCP, который подключен в fa0/48, раздает при данной конфигурации DHCPOFFER, ведь явно на порту (на 0/48) не прописано ip dhcp snooping trust. При данной конфигурации DHCP раздал пользователя из 1 влана свои айпишники, хотя мне это совсем не нужно было. Мне надо, чтобы раздал в 87 влан. Ну в 87 он раздает, но почему в 1 влан тоже, я не понимаю? <br> https://opennet.dev/openforum/vsluhforumID6/526.html#2 Fri, 08 Feb 2013 08:18:21 GMT &gt; Господа, добрый день. Тривиальная проблема.<br>&gt; Объясните, почему не работает DHCP Snooping.<br>&gt; Надо, чтобы при поднятии DHCP на машинке, подключенной к этому коммутатору, DHCPOFFER <br>&gt; от этого сервера блокировались. Почему, даже если порт fa0/48 ненадежный, DHCP <br>&gt; на нем все равно отрабатывает?<br><br>Ещё можно добавить комманду ip dhcp-server хх.хх.хх.хх даже если ответ прийдёт с трастового интерфейса но не от интересного ip он будет заблокирован.<br><br>И не понятно, что и где длжно блокироваться, access порты находяться в 1 vlanе, а его L3 интерфейс очевидно находиться на другом устройстве, наверное "description SW3750-Core-Grafskiy" и что там настроенно нам не известно, при этом interface GigabitEthernet0/3<br>и interface GigabitEthernet0/4 ip dhcp snooping trust<br> <br> https://opennet.dev/openforum/vsluhforumID6/526.html#1 Fri, 08 Feb 2013 07:59:53 GMT <br>&gt; ip dhcp snooping vlan 1-2 <br>&gt; interface FastEthernet0/48 - тут DHCP, который должен блокироваться, но не блокируется. <br>&gt; switchport mode trunk <br>&gt; switchport trunk allow vlan 1,87,200 <br>&gt; no snmp trap link-status <br>&gt; spanning-tree portfast <br><br>У вас snooping включен для vlan 1-2, а на порту еще 87 и 200.<br>В каком влане сервер находится? или он раздает адреса во все три влана?<br><br>