DHCP Snooping
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 7 sonuçtan 1 ile 7 arasındakiler gösteriliyor.
Like Tree1Likes
  • 1 Post By MCyagli
DHCP Snooping

Merhaba arkadaşlar, yönettiğim (çoğunluğu cisco cihaz olan) networkte bir adet merkezi DHCP server var. tüm lokasyonlardaki SW lere bağlanan kullanıcılar merkezdeki DHCP üzerindeki scope lar içerisinden IP almaktadırlar. herhangi bir

  1. #1
    wishfalcon isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    3

    Standart DHCP Snooping

    Merhaba arkadaşlar,

    yönettiğim (çoğunluğu cisco cihaz olan) networkte bir adet merkezi DHCP server var. tüm lokasyonlardaki SW lere bağlanan kullanıcılar merkezdeki DHCP üzerindeki scope lar içerisinden IP almaktadırlar.

    herhangi bir lokasyonda bulunan SW e DHCP özelliği aktif olan başka bir cihaz (örneğin ADSL modem) bağlandığında, bu cihazın bağlı olduğu VLAN içerisindeki kullanıcılar merkezi DHCP yerine ADSL modem den IP alıyorlar ve erişim şekilleri bozuluyor. sorun ile karşılaşıldığında DHCP isteklerini karşılayan cihazın bağlı olduğu portu shut ederek o anda krizi bertaraf ediyorum. Ancak, sorun oluşmaması için bir ön tedbir çözümü arıyorum. Şöyle ki, lokasyondaki SW e ikinci DHCP cihazı bağlandığında kullanıcıların sadece benim merkezi DHCP den faydalanmalarını sağlamanın bir yolu var mıdır?

    lokasyonlarımda SW ler üzerinde routerlarım var ve routerlarda ilgili interface ler üzerinde ip helper adres komutu ile DHCP istelerini merkezi DHCP ye yönlendirmem mevcut. sorunu SW seviyesinde çözmem gerekiyor. kullandığım SW ler Cisco 3750 ve cisco 2960 modelleridir. tavsiyesi olabilecek arkadaşlar olursa sevinirim.

    teşekkür ederim.

  2. #2
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,997

    Standart

    Slm ,

    Vlan yapısı ile kontrolsüz olan cihazları/portları izole edebilir ve Ip helper-address A.B.C.D komutunu kullanabilirsiniz.

    Veya DHCP snooping yapılandırarak DHCP sunucusunun bağlı olduğu portu trusted olarak cihaza öğretebilirsiniz.
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  3. #3
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,332

    Standart

    evet dhcp snooping yapılması gerekiyor hatta geç kalınmış . link yardımcı olacaktır.

    http://www.cisco.com/en/US/docs/swit...guide/dhcp.pdf

    ek olarak geçici çözüm için untrusted dhcp server ( burada modem ) için dhcp server disable edilebilir.

  4. #4
    wishfalcon isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    3

    Standart

    Arkadaşlar dönüş için teşekkür ederim.

    ancak iyi ifade edememişim sanırım. bir tane ana router söz konusu. bu ana routera MPLS, E1, vb WAN teknolojileriyle bağlı çok sayıda değşik lokasyondaki router bulunmaktadır.

    ana DHCP Ana router altındaki olması gerektiği gibi izole bir VLAN içerisinde trusted olarak bağlı. burada sorun yok.

    lokasyonlarda bulunan SW lerin VLAN larını route eden sub interfaceler altında "ip helper addres " komutunu zaten uygulanıyor.

    modemin DHCP si kapalı olduğu durumda zaten sorun olmaz. bahsettiğim bu modem tarzı cihazlar kontrolümüz dışında bağlanmaktadır.

    şirket kullanılmayan portları shut etmemmi de istemiyor. sadece isteğim kontrolsuz olarak SW herhangi bir modem takıldığında ve DHCP açıksa bu DHCP yi değil benim IP si belli olan ana DHCP me DHCP taleplerinin gitmesini istiyorum. araştırmalarıma göre böyle bişey yok gibi görünüyor. ama yine de sizlere de sormak istedim.

    saygılarımla.

  5. #5
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,997

    Standart

    Madem vlan yapısı kullanıyorsunuz. En basit yöntem :
    Yeni bir vlan oluşturup, kontrolünüz dışında olan portlara atarsınız. Diğer vlanlar ile de görüştürmezsiniz olur biter.
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  6. #6
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Mesajlar
    565

    Standart

    Sordugunuz sorunun cevabı cillop gibi DHCP SNOOPING

    Sistemi baştan sona anlatmanıza gerek yok.

    Portlara bağlanan X Cihazlarından DHCP Server dan gelmesi gereken
    MEsajların gelmesini istemiyorsunuz. ( DHcp Offer, ACK gibi... )

    O kadar.

    ---

    DHCP SNooping de zaten:

    ADı üzerinde Switche DHCP PAketlerini SNOOP etmesini yani INCELEMESİNİ istiyorsunuz.

    Normalde bunu yapmaz.

    Yazdığınız Switchler DHCP Snooping destekliyor.

    YAzıktır boşa durmasınlar

    Aktif edin.


    Trusted Portlarınız belirleyin. ( Gerçek DHCP kimmiş onu söyleme yöntemi )
    Option 82 nin Çaresine Bakın. ( Cisco Switchler kendini Relay Agent SAnar ip helper girilmediği halde)
    Madem Snooping Table oluştu diye bir de ARP Inspection patlatın üzerine.
    IP Sourse Guard a gerek yok. Çalıştırmayın. Zaten CPU canavarıdır diye biliyorum.


    ---

    DHcp Snooping / DAI / Ip SOurce Guard konusunda yardım lazım olursa
    dilediğinizi sorabilirsiniz...

    ---
    Hypnotic likes this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach
    MCyagli

  7. #7
    wishfalcon isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    3

    Standart teşekkür ederim

    Teşekkür ederim. ilk fırsatta deneyeğim.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok