请教一个华为交换机的问题,有关DHCP安全特性

发布于 2022-10-15 04:19:11 字数 239 浏览 29 评论 0

网络环境是:dhcp server(cisco)------华为交换机-------dhcp relay(cisco)------dhcp client(cisco)。
现象是,dhcp client拿不到地址,但是如果手动配置地址了,那网络应用全部正常。
在dhcp client请求地址时,dhcp server完全收不到他的请求,确定是被华为的交换机丢弃了。
请问,华为的交换机上有何安全特性能够阻止dhcp client发出来的请求?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(9

桃酥萝莉 2022-10-22 04:19:11

缺省没有,给配置看下。

不醒的梦 2022-10-22 04:19:11

我问了一下,该交换机的型号是3928,默认开启了dhcp snooping,网管undo了以后就一切正常了,不理解啊。

红焚 2022-10-22 04:19:11

那就是华为的丢弃了dhcp的包

云朵有点甜 2022-10-22 04:19:11

终于搞定了,原本我还以为是交换机的bug呢。通过查华为的文档,我发现了一个案例,和我的问题很相似。现分享如下:如图9-14 所示,SwitchA 启用了DHCP Relay 功能,SwitchB 为其他厂商设备,在SwitchB 上配置了DHCP Snooping 功能。用户无法正常申请到IP 地址。
故障分析
1. 检查SwitchA 和SwitchB 的DHCP 配置是否正确。发现配置正常。怀疑是DHCP报文被丢弃。
2. 查看SwitchB 对DHCP Discover 报文的处理是否正常。通过抓取SwitchB 的报文并分析,发现DHCP Discover 报文还没有入DHCP Snooping 队列就被丢弃了。丢弃的报文特征是:源端口号和目的端口号都是67。
3. 分析组网,发现DHCP Snooping 的设备(SwitchB)部署在DHCP Relay 和DHCP Server 之间,DHCP Relay 发送的DHCP Discover 报文的源和目的端口号正好都是67。
4. 经确认,SwitchB 对该类型报文判断为非法,直接丢弃了。

看完了这段,我就做了一个实验,在server端debug相关信息,看到了如下的一段:
UDP: rcvd src=relay的地址(67), dst=server的地址(67), length=584

不知道cisco的交换机开启了dhcp snooping功能后,会不会把这样的报文判断为非法。

穿透光 2022-10-22 04:19:11

怎么看不到图?我重新发一下

深海夜未眠 2022-10-22 04:19:11

哦。如果的确是3928的话。我保证SNOOP不是默认开启的,HW以前的设备这个参数都不是默认开启的。

时光病人 2022-10-22 04:19:11

我又有一个问题,产生这个问题的原因到底是华为交换机的dhcp snooping设计不规范,还是cisco dhcp relay不规范呢?

三五鸿雁 2022-10-22 04:19:11

没有谁不规范。

DHCP SNOOPING就是防止非法DHCP SERVER接入的。RELAY就是中继DHCP包的。他们都没什么不对,错的是不该把他们以错误的参数放在了一起。

也就是说从头到尾就是配置错误。SNOOPING配置正确的话是不会有这个问题的。

新雨望断虹 2022-10-22 04:19:11

不知道在RFC规范中,relay包的时候,是否允许修改源端口为67.如果不允许改,那就是cisco做得不对了。

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文