هل قمت بتحديد الـ Trusted Interface ؟
هنا تجد موضوع متكامل حول الـ DHCP Spoofing
سلام ياشباب :
ياشباب عندي مشكلة في IP DHCP Snooping أنا بشتغل بأحد أفرع الشركة وDHCP Server بفرع أخر طبعاً أنا مطبق IP Helper Address وموجود عندي بالفرع 8 VLANs وتأخذ IP Addresses بشكل نظامي بس وقت طبقت IP DHCP Snooping بالفرع اللي بشتغل فيه على أحد VLANs كانت النتيجة إنو معاد أقدر جدد أو أحصل على أي IP Address جديد مع إني تأكدت من Configurations وهي صحيحة إن كانت Global او على Interfaces ياريت حدا يساعدني بحل المشكلة
وجزاكم الله خيراً
إذا ما أضعنا شامها وعراقها فتلك إذاً من البيت الحرام مداخله
هل قمت بتحديد الـ Trusted Interface ؟
هنا تجد موضوع متكامل حول الـ DHCP Spoofing
الله يجزيك الخير أخي أيمن طبعاً أنا طبقت مثل مو موجود بالملحق وجعلت البورتات الموصولين مع Core Switch بحالة Trust بس للأسف مع هيك ما إستفدت مع ملاحظة مهمة حتى وقت جعلت أحد البورتات الموصولة مع Client بحالة Trust ما قدرت إحصل على IP Address
فشو رأيكم أعتقد المشكلة بـ Relay Agent
أرجو الرد وجزاكم الله خير
إذا ما أضعنا شامها وعراقها فتلك إذاً من البيت الحرام مداخله
ياريت تضع مخطط لشبكة وتوزيع الفي لان أن وجد والأعدادات على السويتش
مشكور أخي أيمن بس أنا مابقدر حط هيك معلومات على الإنترنت لأنو شيء خاص بالشركة وهي أمانة
على كل الأحوال ممكن تتخيل الموضوع أنه راوترين موصولين بـ E1 الفرع الرئيسي يحتوي Data Center فيه DHCP Server والطرف الثاني عبارة عن فرع للشركة يحتوي 5 سويتشات 2960 وواحد Core 3560 في 8VLAN طبعاً السويتش هو اللي بيقوم بعملية Routing بين VLANs والسويتش مع الرواتر
مشكور وجزاك الله خير
إذا ما أضعنا شامها وعراقها فتلك إذاً من البيت الحرام مداخله
أسف والسويتش موصول مع الرواتر
إذا ما أضعنا شامها وعراقها فتلك إذاً من البيت الحرام مداخله
Any Comment Please
إذا ما أضعنا شامها وعراقها فتلك إذاً من البيت الحرام مداخله
السلام عليكم ورحمة الله وبركاته
للأسف عندى مشكلة شبيه بيها ولكن السيناريو مختلف عندى انا عندى access switches وعندى core switch
وال core switch هو اللى بيعمل routing between vlans وفى نفس الوقت هو ال DHCP server و موجود على ال core switch على نفس ال VLAN
بس لما بفعل ال DHCP snooping على ال VLAN مش بقدر اخد اى ip addresses
شوف اللينك ده
يمكن يفيدك
https://itknowledgeexchange.techtarg...dhcp-snooping/
الحمد لله finally CCNP
طبعا أنا لم أقصد أن تضع المخطط بالكامل أردت فقط أن ارى كيفية التوزيع والأعدادات على كل حال محلولة مشكلتك إن شاء الله
المشكلة على ما أعتقد هي بسبب وجود أكثر من في لان وأمر ip-helper address ولحل هذه المشكلة أتجه إلى الـ Trusted interface وقم بتنفيذ هذا الأمر
ip dhcp relay information trusted
لو في حال لم تحل المشكلة وإن كنت أشك بهذا قم بتنفيذ هذا الأمر على الـ Configure mode
no ip dhcp snooping information option
السلام عليكم ورحمةالله وبركاته
جزاك الله الف الف خيرا
والله دا كنت هتجنن
الحمد لله المشكلة اتحلت
حتى تعم الافادة ان شاء الله
انا عندى two core switches 6500 وهم اللى بيعملوا ال inter vlan routing وفى نفس الوقت ال two core switches هم ال dhcp servers اللى عندى فى الشبكة لمعظم ال vlans
وعندى multilayer switches 3560 واللى هما بمثابة الaccess switches
ففكرت انى اطبق ال ip dhcp spoofing على ال كل access switches اللى عندى
بس كل مرة كنت بحاول اعملها
كنت بفشل وبتعقد
لكن جزاك الله خيرا
الحمد لله
اللى عملت كالتالى
على access switches فقط
config#ip dhcp snooping
بعد كده عملت من interface mode بتاع ال port اللى يوصلنى DHCP SERVER اللى هو ال core switch
(config-if)#ip dhcp snooping trust
وبعد حددت ال limit rate لل untrusted port من تحت ال interface mode واللى هيا مثلا 100 يعنى only 100 DHCP packets in one second
وعملت كده لانى لما كنت بعمل بس ال port اللى هو بتاع ال dhcp وخليه trusted واعمل
show ip dhcp snooping مكنتش بشوف باقى ال ports على انها untrusted
ولكن لما عملت ال limit rate بقيت بشوفها فى
#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
204
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 yes unlimited
FastEthernet0/2 no 100
FastEthernet0/3 no 100
FastEthernet0/4 no 100
FastEthernet0/5 no 100
FastEthernet0/6 no 100
FastEthernet0/7 no 100
FastEthernet0/8 no 100
FastEthernet0/9 no 100
FastEthernet0/10 no 100
FastEthernet0/12 no 100
FastEthernet0/13 no 100
FastEthernet0/14 no 100
FastEthernet0/15 no 100
FastEthernet0/16 no 100
FastEthernet0/17 no 100
FastEthernet0/18 no 100
FastEthernet0/19 no 100
FastEthernet0/20 no 100
FastEthernet0/21 no 100
FastEthernet0/22 no 100
FastEthernet0/23 no 100
FastEthernet0/24 no 100
FastEthernet0/25 no 100
FastEthernet0/26 no 100
FastEthernet0/27 no 100
FastEthernet0/28 no 100
FastEthernet0/29 no 100
FastEthernet0/30 no 100
FastEthernet0/31 no 100
FastEthernet0/32 no 100
FastEthernet0/33 no 100
FastEthernet0/34 no 100
FastEthernet0/35 no 100
FastEthernet0/36 no 100
FastEthernet0/37 no 100
FastEthernet0/38 no 100
FastEthernet0/39 no 100
FastEthernet0/40 no 100
FastEthernet0/41 no 100
FastEthernet0/42 no 100
FastEthernet0/43 no 100
FastEthernet0/44 no 100
FastEthernet0/45 no 100
FastEthernet0/46 no 100
المهم ولكن بعد ده كله برضه مكنتش بتشتغل معايا
ولكن بفضل الله ثم بمساعدة الاخ ايمن جزاه الله خيرا
اشتغلت بعد موضعت ال command اللى قال عليه فى ال config mode
(config)#no ip dhcp snooping information option
وبعد مدورت على فايدة الامر ده لقيت ان ال switch by default لما بيجيله DHCP request بيضيف option 82 وبعد كده يبعتها
لاستخدام option 82 لابد ان تكون شغالة على DHCP SERVER وهيا مش شغالة عندى
#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:22:5F:1C:B8:D7 172.20.6.216 256380 dhcp-snooping 204 FastEthernet0/23
00:14:22:43:10:23 172.20.4.122 8733 dhcp-snooping 204 FastEthernet0/2
Total number of bindings: 2
جزاكم الله خيرا
الحمد لله finally CCNP
السلام عليكم ورحمة الله وبركاته
ملحوظة اخدت بالى منها بعد مفعلت ال DHCP snooping وال ARP inspection
اى بورت واصل عليه جهاز او server وواضعين عليه static ip address مش حيعمل مع ال dhcp snooping الا اذا خليت الجهاز ياخد ip address عن طريق ال DHCP او لو عايز لسه برضه اخليه STATIC لازم اخلى الPORT يبقى TRUSTED
هل حد عنده طريق تانية تخلينى استخدم static ip address من غير معمله trusted port
الحمد لله finally CCNP
لعمل static ip address مع تفعيل خاصية ال dhcp snooping من غير عمل ip dhcp snooping trust على ال port ده
من على ال execution mode نكتب ال command ده
switch#ip dhcp snooping binding mac-address vlan vlan no ip address interface f0/0 expiration (max value if you want it not to expire
الحمد لله finally CCNP
بسيطة شباب وجدت الحل
1- تفعيل IP DHCP Snooping trust على Etherchannel port وليس على Physical
2- تطبيق الأمر no IP DHCP Snooping information option
رح يمشي الحال إن شاء الله
إذا ما أضعنا شامها وعراقها فتلك إذاً من البيت الحرام مداخله
المفضلات