cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

DHCP Snooping en puertos troncales no me funciona

Estimados, les presento el siguiente escenario donde el DHCP snooping no me funciona.

Router 2921.
"Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(3)M5, RELEASE SOFTWARE"

ip dhcp excluded-address 192.168.5.1 192.168.5.5
ip dhcp excluded-address 192.168.6.1 192.168.6.5

ip dhcp pool 105

network 192.168.5.0 255.255.255.0
default-router 192.168.5.1

ip dhcp pool 106

network 192.168.6.0 255.255.255.0
default-router 192.168.6.1

interface GigabitEthernet0/1.10 #Administración

encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/1.105

encapsulation dot1Q 105
ip address 192.168.5.1 255.255.255.0

interface GigabitEthernet0/1.106

encapsulation dot1Q 106
ip address 192.168.6.1 255.255.255.0

Switch 2960-X
"Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.0(2)EX3, RELEASE SOFTWARE"

ip dhcp snooping vlan 105
no ip dhcp snooping information option
ip dhcp snooping

interface GigabitEthernet0/1

switchport access vlan 105
switchport mode access

interface GigabitEthernet0/2

switchport access vlan 106
switchport mode access

interface GigabitEthernet0/24

switchport trunk allowed vlan 10,105-106
ip dhcp snooping trust
switchport mode trunk

interface Vlan10

ip address 192.168.1.2 255.255.255.0

El Troncal del SW(GE0/24) se conecta con el GE0/1 del Router. El puerto del SW esta como TRUST y solamente autorizo el DHCP Snooping en la vlan 105. El caso es que ninguna pc toma IP, ya sea de la vlan 106 o 105... Si deshabilito en el SW el Snooping, funciona todo.... Cuando lo habilito no anda ninguno. Falta algún comando o no funciona con estos equipos?

Desde ya muchas gracias. Saludos!

  • Routing & Switching
13 RESPUESTAS
Silver

Hola Pablo,

Hola Pablo,

Cuando ejecutas el comando "show ip dhcp snooping" en el Switch ¿cual es la salida?. Podrías intentar agregar alguno de esto dos comando a tu router: "ip dhcp relay information trust-all" o "ip dhcp relay information trusted".

Saludos,

New Member

Pequeño detalle que me surgió

Pequeño detalle que me surgió ahora... Tengo habilitada la vlan 105 en el DHCP Snooping, y la otra vlan también recibe IP, así que no me estaría funcionando nada.... 

New Member

Que tal Diana, como estas.

Que tal Diana, como estas.

El comando "ip dhcp relay information trust-all" en el Router lo he probado y el resultado era el mismo, vos me dirás si tiene que ir o no.

Con respecto al "show ip dhcp snooping", esta es la salida aprox:

Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
105
DHCP snooping is operational on following VLANs:
105
Smartlog is configured on following VLANs:
none
Smartlog is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: 0059.dc57.4700 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
GigabitEthernet1/0/24 yes yes unlimited
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
Custom circuit-ids:

Muchas gracias. Saludos!

New Member

Sin funciona en Gns3  router

Sin funciona en Gns3  router IOU  y sw2 IOU 

routerdhcp e0/1-------switch e0/3 trunk

router clientes
R2-IOU# EN E0/1
*Jun 23 01:10:09.357: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 192.168.5.7, mask 255.255.255.0, hostname R2-IOU

R3-IOU# EN E0/2
*Jun 23 01:12:32.202: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 192.168.6.7, mask 255.255.255.0, hostname R3-IOU

***********
IOU1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
AA:BB:CC:00:03:00 192.168.5.7 86157 dhcp-snooping 105 Ethernet0/1
Total number of bindings: 1

*******

talvez si nos envias el resultado de debug en switch y en el router cada vez que haces una peticion dhcp 

R1 debug ip dhcp server packet

SW debug ip dhcp snooping packet

New Member

Que tal. Gracias por

Que tal. Gracias por responder.

Te dejo los debug para ver si te das cuenta del error.

ENTREGA DE IP A VLAN 106
Router#
*Jun 26 13:46:15.951: DHCPD: client's VPN is .
*Jun 26 13:46:15.951: DHCPD: No option 125
*Jun 26 13:46:15.951: DHCPD: DHCPREQUEST received from client 011c.3947.c721.fa.
*Jun 26 13:46:15.955: DHCPD: client has moved to a new subnet.
*Jun 26 13:46:15.955: DHCPD: Sending DHCPNAK to client 011c.3947.c721.fa.
*Jun 26 13:46:15.955: DHCPD: no option 125
*Jun 26 13:46:15.955: DHCPD: broadcasting BOOTREPLY to client 1c39.47c7.21fa.
*Jun 26 13:46:15.971: DHCPD: client's VPN is .
*Jun 26 13:46:15.971: DHCPD: No option 125
*Jun 26 13:46:15.971: DHCPD: DHCPDISCOVER received from client 011c.3947.c721.fa on interface GigabitEthernet0/1.106.
*Jun 26 13:46:15.971: DHCPD: Sending DHCPOFFER to client 011c.3947.c721.fa (192.168.6.6).DHCPD: Setting only requested parameters

*Jun 26 13:46:15.971: DHCPD: no option 125
*Jun 26 13:46:15.971: DHCPD: src nbma addr as zero
*Jun 26 13:46:15.971: DHCPD: ARP entry exists (192.168.6.6, 1c39.47c7.21fa).
*Jun 26 13:46:15.971: DHCPD: unicasting BOOTREPLY to client 1c39.47c7.21fa (192.168.6.6).
*Jun 26 13:46:15.975: DHCPD: client's VPN is .
*Jun 26 13:46:15.975: DHCPD: No option 125
*Jun 26 13:46:15.975: DHCPD: DHCPREQUEST received from client 011c.3947.c721.fa.
*Jun 26 13:46:15.975: DHCPD: No default domain to append - abort update
*Jun 26 13:46:15.975: DHCPD: Sending DHCPACK to client 011c.3947.c721.fa (192.168.6.6).DHCPD: Setting only requested parameters

*Jun 26 13:46:15.975: DHCPD: no option 125
*Jun 26 13:46:15.975: DHCPD: src nbma addr as zero
*Jun 26 13:46:15.975: DHCPD: ARP entry exists (192.168.6.6, 1c39.47c7.21fa).
*Jun 26 13:46:15.975: DHCPD: unicasting BOOTREPLY to client 1c39.47c7.21fa (192.168.6.6).
Router#


Switch#
Jun 26 14:30:17.154: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/2 for pak. Was not set
Jun 26 14:30:17.154: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/2
Jun 26 14:30:17.158: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:30:17.158: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/24
Jun 26 14:30:17.179: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/2 for pak. Was not set
Jun 26 14:30:17.179: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/2
Jun 26 14:30:17.182: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:30:17.182: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/24
Jun 26 14:30:17.182: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/2 for pak. Was not set
Jun 26 14:30:17.186: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/2
Jun 26 14:30:17.186: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:30:17.186: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/24
Switch#

ENTREGA DE IP A VLAN 105
Router#
*Jun 26 13:47:56.035: DHCPD: client's VPN is .
*Jun 26 13:47:56.035: DHCPD: No option 125
*Jun 26 13:47:56.035: DHCPD: DHCPREQUEST received from client 011c.3947.c721.fa.
*Jun 26 13:47:56.035: DHCPD: client has moved to a new subnet.
*Jun 26 13:47:56.035: DHCPD: Sending DHCPNAK to client 011c.3947.c721.fa.
*Jun 26 13:47:56.035: DHCPD: no option 125
*Jun 26 13:47:56.035: DHCPD: broadcasting BOOTREPLY to client 1c39.47c7.21fa.
*Jun 26 13:47:56.059: DHCPD: client's VPN is .
*Jun 26 13:47:56.059: DHCPD: No option 125
*Jun 26 13:47:56.059: DHCPD: DHCPDISCOVER received from client 011c.3947.c721.fa on interface GigabitEthernet0/1.105.
*Jun 26 13:47:56.059: DHCPD: Sending DHCPOFFER to client 011c.3947.c721.fa (192.168.5.6).DHCPD: Setting only requested parameters

*Jun 26 13:47:56.059: DHCPD: no option 125
*Jun 26 13:47:56.059: DHCPD: broadcasting BOOTREPLY to client 1c39.47c7.21fa.
*Jun 26 13:47:56.063: DHCPD: client's VPN is .
*Jun 26 13:47:56.063: DHCPD: No option 125
*Jun 26 13:47:56.063: DHCPD: DHCPREQUEST received from client 011c.3947.c721.fa.
*Jun 26 13:47:56.063: DHCPD: No default domain to append - abort update
*Jun 26 13:47:56.063: DHCPD: Sending DHCPACK to client 011c.3947.c721.fa (192.168.5.6).DHCPD: Setting only requested parameters

*Jun 26 13:47:56.063: DHCPD: no option 125
*Jun 26 13:47:56.063: DHCPD: broadcasting BOOTREPLY to client 1c39.47c7.21fa.
Router#

Switch#
Jun 26 14:28:25.261: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/1 for pak. Was not set
Jun 26 14:28:25.261: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/1
Jun 26 14:28:25.261: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/1 for pak. Was not set
Jun 26 14:28:25.261: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet1/0/1)
Jun 26 14:28:25.261: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Gi1/0/1, MAC da: ffff.ffff.ffff, MAC sa: 1c39.47c7.21fa, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:25.261: DHCP_SNOOPING: message type : DHCPREQUEST DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:25.261: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (105)
Jun 26 14:28:25.264: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:28:25.264: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/24
Jun 26 14:28:25.264: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:28:25.264: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet1/0/24)
Jun 26 14:28:25.264: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Gi1/0/24, MAC da: 1c39.47c7.21fa, MAC sa: 6073.5cd7.eba1, IP da: 192.168.5.6, IP sa: 192.168.5.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 192.168.5.6, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:25.264: DHCP_SNOOPING: message type : DHCPACK DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 192.168.5.6, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:25.264: DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 1c39.47c7.21fa vlan_id 105
Jun 26 14:28:25.264: DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 1c39.47c7.21fa vlan_id 105
Jun 26 14:28:25.264: DHCP_SNOOPING: can't find client's destination port, packet is assumed to be not from local switch, no binding update is needed.
Jun 26 14:28:25.264: DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 1c39.47c7.21fa vlan_id 105
Jun 26 14:28:25.264: DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 1c39.47c7.21fa vlan_id 105
Jun 26 14:28:25.264: DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 1c39.47c7.21fa vlan_id 105
Jun 26 14:28:25.264:
DHCP_SNOOPING: can't find output interface for dhcp reply. the message is dropped.
Jun 26 14:28:29.689: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/1 for pak. Was not set
Jun 26 14:28:29.689: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/1
Jun 26 14:28:29.689: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/1 for pak. Was not set
Jun 26 14:28:29.689: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet1/0/1)
Jun 26 14:28:29.689: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Gi1/0/1, MAC da: ffff.ffff.ffff, MAC sa: 1c39.47c7.21fa, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:29.689: DHCP_SNOOPING: message type : DHCPREQUEST DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:29.689: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (105)
Jun 26 14:28:29.693: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:28:29.693: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi1/0/24
Jun 26 14:28:29.693: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi1/0/24 for pak. Was not set
Jun 26 14:28:29.693: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet1/0/24)
Jun 26 14:28:29.693: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Gi1/0/24, MAC da: 1c39.47c7.21fa, MAC sa: 6073.5cd7.eba1, IP da: 192.168.5.6, IP sa: 192.168.5.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 192.168.5.6, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:29.693: DHCP_SNOOPING: message type : DHCPACK DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 192.168.5.6, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 1c39.47c7.21fa
Jun 26 14:28:29.693: DHCP_SNOOPING: direct forward dhcp replyto output port: GigabitEthernet1/0/1.
Switch#


EN EL SW SIEMPRE APARECE ESTO, EN NINGUN MOMENTO APARECE LA IP QUE RECIBE LA PC DE LA OTRA VLAN.
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
1C:39:47:C7:21:FA 192.168.5.6 86113 dhcp-snooping 105 GigabitEthernet1/0/1
Total number of bindings: 1
Switch#

En fin, ambas vlan dejan pasar la IP, cuando en realidad esta habilitada sólo para la vlan 105.

Saludos.

New Member

Al parecer no hay error en

Al parecer no hay error en  debug lo he comparado con este post

https://cciereview.wordpress.com/tag/dhcp/

********************************************************

 EN EL SW SIEMPRE APARECE ESTO, EN NINGUN MOMENTO APARECE LA IP QUE RECIBE LA PC DE LA OTRA VLAN.

. La tabla obtenida de show ip dhcp snooping solo muestra resultados para las vlan que configuraste con el comando ip dhcp snooping vlan 105

En fin, ambas vlan dejan pasar la IP, cuando en realidad esta habilitada sólo para la vlan 105.

LA vlan 106 que no agregaste no son afectados por snooping osea la vlan 106 y sus puertos no participa en la proteccion contra dhcp rogue o piratas y no tendra puertos trust o untrust  es la razon por la cual  recibe la ip del router por g1/0/24 y podria recibirlo ademas  de cualquier dhcp server ubicado  en un puerto perteneciente a vlan 106, en cambio la vlan 105 solo puede tener un  dhcp server por el puerto g1/0/24.

Al configurar puerto g1/0/24 como trust lo tomara en cuenta solo la vlan 105 , la vlan 106 no lo ve ni como trust  ni untrust , no hay razon para Impedir  recibir ip del server dhcp a la vlan 106

*********

Recuerdo que al inicio mencionaste que ninguno podia recibir IP  con snooping activado . cual fue tu correccion para que ahora si ambas `si tengan ip?

Saludos 

New Member

Ah bueno... pensé que había

Ah bueno... pensé que había un error en el snooping al recibir ip por la vlan 106... Ya está entonces, olvidate... Yo quería tener cierto control sobre que vlan podía recibir y cual no, evidentemente no esta preparado para eso... De todos modos sirve igual, si yo tengo todo bien configurado, no debería haber problemas...solamente los troncales serán los puertos trust.

Anteriormente había mencionado que sólo una vlan me daba IP, y eso fue porque al principio lo probé en el packet.. En paralelo estaba montando el escenario de prueba... Fue un error mío haberme anticipado al resultado...

En fin, muchas gracias a todos por la ayuda!!

Saludos.

Hola Pablo,

Hola Pablo,

Tu configuracion se ve bien. El DHCP snooping es recomendable configurarlo solamente en los switches de acceso. 

Ahora bien, el comando ip dhcp snooping trust se incluye solamente en las interfaces que apuntan hacia los servidores de DHCP, en pocas palabras solo en los puertos trunks del switch de acceso, asi como lo tienes configurado.

Tambien incluir bajo las interfaces de los usuarios finales:

ip dhcp snooping limit rate 20  <-- el valor no deberia de ser muy alto. 

Intenta ejecutar un debug:

debug ip dhcp snooping packet

Para ver que comportamiento se observa con el dhcp snooping aplicado. 

Aqui puedes encontrar mas informacion:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/security/configuration_guide/b_sec_152ex_2960-x_cg/b_sec_152ex_2960-x_cg_chapter_01101.html#concept_6493BE0255A1485284CA0F2E6A580BEA

:-)

New Member

En otras palabras, esta bien

En otras palabras, esta bien configurado pero no anda? jajaja Actualmente está habilitado el snooping y ambas pcs reciben IP, cuando no debería suceder eso según la configuración establecida...

1
Visitas
0
ÚTIL
13
Respuestas