DHCP Snooping

[wishfalcon]

Merhaba arkadaşlar,

yönettiğim (çoğunluğu cisco cihaz olan) networkte bir adet merkezi DHCP server var. tüm lokasyonlardaki SW lere bağlanan kullanıcılar merkezdeki DHCP üzerindeki scope lar içerisinden IP almaktadırlar.

herhangi bir lokasyonda bulunan SW e DHCP özelliği aktif olan başka bir cihaz (örneğin ADSL modem) bağlandığında, bu cihazın bağlı olduğu VLAN içerisindeki kullanıcılar merkezi DHCP yerine ADSL modem den IP alıyorlar ve erişim şekilleri bozuluyor. sorun ile karşılaşıldığında DHCP isteklerini karşılayan cihazın bağlı olduğu portu shut ederek o anda krizi bertaraf ediyorum. Ancak, sorun oluşmaması için bir ön tedbir çözümü arıyorum. Şöyle ki, lokasyondaki SW e ikinci DHCP cihazı bağlandığında kullanıcıların sadece benim merkezi DHCP den faydalanmalarını sağlamanın bir yolu var mıdır?

lokasyonlarımda SW ler üzerinde routerlarım var ve routerlarda ilgili interface ler üzerinde ip helper adres komutu ile DHCP istelerini merkezi DHCP ye yönlendirmem mevcut. sorunu SW seviyesinde çözmem gerekiyor. kullandığım SW ler Cisco 3750 ve cisco 2960 modelleridir. tavsiyesi olabilecek arkadaşlar olursa sevinirim.

teşekkür ederim.

[Nexus]

Slm ,

Vlan yapısı ile kontrolsüz olan cihazları/portları izole edebilir ve Ip helper-address A.B.C.D komutunu kullanabilirsiniz.

Veya DHCP snooping yapılandırarak DHCP sunucusunun bağlı olduğu portu trusted olarak cihaza öğretebilirsiniz.

[trunkmode]

evet dhcp snooping yapılması gerekiyor hatta geç kalınmış . link yardımcı olacaktır.

http://www.cisco.com/en/US/docs/swit...guide/dhcp.pdf

ek olarak geçici çözüm için untrusted dhcp server ( burada modem ) için dhcp server disable edilebilir.

[wishfalcon]

Arkadaşlar dönüş için teşekkür ederim.

ancak iyi ifade edememişim sanırım. bir tane ana router söz konusu. bu ana routera MPLS, E1, vb WAN teknolojileriyle bağlı çok sayıda değşik lokasyondaki router bulunmaktadır.

ana DHCP Ana router altındaki olması gerektiği gibi izole bir VLAN içerisinde trusted olarak bağlı. burada sorun yok.

lokasyonlarda bulunan SW lerin VLAN larını route eden sub interfaceler altında "ip helper addres " komutunu zaten uygulanıyor.

modemin DHCP si kapalı olduğu durumda zaten sorun olmaz. bahsettiğim bu modem tarzı cihazlar kontrolümüz dışında bağlanmaktadır.

şirket kullanılmayan portları shut etmemmi de istemiyor. sadece isteğim kontrolsuz olarak SW herhangi bir modem takıldığında ve DHCP açıksa bu DHCP yi değil benim IP si belli olan ana DHCP me DHCP taleplerinin gitmesini istiyorum. araştırmalarıma göre böyle bişey yok gibi görünüyor. ama yine de sizlere de sormak istedim.

saygılarımla.

[Nexus]

Madem vlan yapısı kullanıyorsunuz. En basit yöntem :
Yeni bir vlan oluşturup, kontrolünüz dışında olan portlara atarsınız. Diğer vlanlar ile de görüştürmezsiniz olur biter.

[MCyagli]

Sordugunuz sorunun cevabı cillop gibi DHCP SNOOPING

Sistemi baştan sona anlatmanıza gerek yok.

Portlara bağlanan X Cihazlarından DHCP Server dan gelmesi gereken
MEsajların gelmesini istemiyorsunuz. ( DHcp Offer, ACK gibi... )

O kadar.

---

DHCP SNooping de zaten:

ADı üzerinde Switche DHCP PAketlerini SNOOP etmesini yani INCELEMESİNİ istiyorsunuz.

Normalde bunu yapmaz.

Yazdığınız Switchler DHCP Snooping destekliyor.

YAzıktır boşa durmasınlar

Aktif edin.

Trusted Portlarınız belirleyin. ( Gerçek DHCP kimmiş onu söyleme yöntemi )
Option 82 nin Çaresine Bakın. ( Cisco Switchler kendini Relay Agent SAnar ip helper girilmediği halde)
Madem Snooping Table oluştu diye bir de ARP Inspection patlatın üzerine.
IP Sourse Guard a gerek yok. Çalıştırmayın. Zaten CPU canavarıdır diye biliyorum.


---

DHcp Snooping / DAI / Ip SOurce Guard konusunda yardım lazım olursa
dilediğinizi sorabilirsiniz...

---

[wishfalcon]

Teşekkür ederim. ilk fırsatta deneyeğim.