请教一个华为交换机的问题,有关DHCP安全特性
网络环境是:dhcp server(cisco)------华为交换机-------dhcp relay(cisco)------dhcp client(cisco)。
现象是,dhcp client拿不到地址,但是如果手动配置地址了,那网络应用全部正常。
在dhcp client请求地址时,dhcp server完全收不到他的请求,确定是被华为的交换机丢弃了。
请问,华为的交换机上有何安全特性能够阻止dhcp client发出来的请求?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(9)
缺省没有,给配置看下。
我问了一下,该交换机的型号是3928,默认开启了dhcp snooping,网管undo了以后就一切正常了,不理解啊。
那就是华为的丢弃了dhcp的包
终于搞定了,原本我还以为是交换机的bug呢。通过查华为的文档,我发现了一个案例,和我的问题很相似。现分享如下:如图9-14 所示,SwitchA 启用了DHCP Relay 功能,SwitchB 为其他厂商设备,在SwitchB 上配置了DHCP Snooping 功能。用户无法正常申请到IP 地址。
故障分析
1. 检查SwitchA 和SwitchB 的DHCP 配置是否正确。发现配置正常。怀疑是DHCP报文被丢弃。
2. 查看SwitchB 对DHCP Discover 报文的处理是否正常。通过抓取SwitchB 的报文并分析,发现DHCP Discover 报文还没有入DHCP Snooping 队列就被丢弃了。丢弃的报文特征是:源端口号和目的端口号都是67。
3. 分析组网,发现DHCP Snooping 的设备(SwitchB)部署在DHCP Relay 和DHCP Server 之间,DHCP Relay 发送的DHCP Discover 报文的源和目的端口号正好都是67。
4. 经确认,SwitchB 对该类型报文判断为非法,直接丢弃了。
看完了这段,我就做了一个实验,在server端debug相关信息,看到了如下的一段:
UDP: rcvd src=relay的地址(67), dst=server的地址(67), length=584
不知道cisco的交换机开启了dhcp snooping功能后,会不会把这样的报文判断为非法。
怎么看不到图?我重新发一下
哦。如果的确是3928的话。我保证SNOOP不是默认开启的,HW以前的设备这个参数都不是默认开启的。
我又有一个问题,产生这个问题的原因到底是华为交换机的dhcp snooping设计不规范,还是cisco dhcp relay不规范呢?
没有谁不规范。
DHCP SNOOPING就是防止非法DHCP SERVER接入的。RELAY就是中继DHCP包的。他们都没什么不对,错的是不该把他们以错误的参数放在了一起。
也就是说从头到尾就是配置错误。SNOOPING配置正确的话是不会有这个问题的。
不知道在RFC规范中,relay包的时候,是否允许修改源端口为67.如果不允许改,那就是cisco做得不对了。