Nous commençons lentement à implémenter l'espionnage DHCP sur nos commutateurs HP ProCurve série 2610, tous exécutant le micrologiciel R.11.72. Je vois un comportement étrange où les paquets dhcp-request ou dhcp-renouvellement sont abandonnés lorsqu'ils proviennent de commutateurs "en aval" en raison des "informations de relais non fiables du client".
L'erreur complète:
Received untrusted relay information from client <mac-address> on port <port-number>
Plus en détail, nous avons un HP2610 à 48 ports (commutateur A) et un HP2610 à 24 ports (commutateur B). Le commutateur B est "en aval" du commutateur A grâce à une connexion DSL à l'un des ports du commutateur A. Le serveur DHCP est connecté au commutateur A. Les bits pertinents sont les suivants:
Commutateur A
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
name "Server"
dhcp-snooping trust
exit
Commutateur B
dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
dhcp-snooping trust
exit
Les commutateurs sont configurés pour approuver le port auquel le serveur DHCP autorisé est connecté et son adresse IP. C'est très bien pour les clients attachés au commutateur A, mais les clients attachés au commutateur B sont refusés en raison de l'erreur «informations de relais non approuvées». C'est étrange pour plusieurs raisons 1) le relais DHCP n'est configuré sur aucun des commutateurs, 2) le réseau de couche 3 ici est plat, même sous-réseau. Les paquets DHCP ne doivent pas avoir d'attribut d'option 82 modifié.
dhcp-relay semble être activé par défaut cependant:
SWITCH A# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
0 0 0 0
SWITCH B# show dhcp-relay
DHCP Relay Agent : Enabled
Option 82 : Disabled
Response validation : Disabled
Option 82 handle policy : append
Remote ID : mac
Client Requests Server Responses
Valid Dropped Valid Dropped
---------- ---------- ---------- ----------
40156 0 0 0
Et assez intéressant, l'agent relais DHCP semble très occupé sur le commutateur B, mais pourquoi? Autant que je sache, il n'y a aucune raison pour que les requêtes DHCP nécessitent un relais avec cette topologie. Et en outre, je ne peux pas dire pourquoi le commutateur en amont abandonne les demandes dhcp légitimes pour les informations de relais non fiables lorsque l'agent de relais en question (sur le commutateur B) ne modifie pas les attributs de l'option 82 de toute façon.
L'ajout du no dhcp-snooping option 82
commutateur A activé permet au trafic DHCP du commutateur B d'être approuvé par le commutateur A, en vertu de la simple désactivation de cette fonctionnalité. Quelles sont les répercussions de la non- validation du trafic DHCP modifié par l'option 82? Si je désactive l'option 82 sur tous mes commutateurs "en amont" - transmettra-t-il le trafic DHCP à partir de n'importe quel commutateur en aval, quelle que soit la légitimité de ce trafic?
Ce comportement est indépendant du système d'exploitation client. Je le vois avec les clients Windows et Linux. Nos serveurs DHCP sont des machines Windows Server 2003 ou Windows Server 2008 R2. Je vois ce comportement indépendamment du système d'exploitation des serveurs DHCP.
Quelqu'un peut-il faire la lumière sur ce qui se passe ici et me donner des recommandations sur la façon de procéder pour configurer le paramètre de l'option 82? Je sens que je n'ai tout simplement pas complètement gokked relais DHCP et l'option 82 attributs.