↑ Retornar para CCNP

DHCP Snooping [problema com estatísticas] [Resolvido!]

Home Fórum CCNP DHCP Snooping [problema com estatísticas] [Resolvido!]

Este tópico contém respostas, possui 3 vozes e foi atualizado pela última vez por  Edson 5 anos, 9 meses atrás.

Visualizando 5 posts - 1 até 5 (de 5 do total)
  • Autor
    Posts
  • #47038

    ArcanjoV8
    Participante

    Boa noite!

    Consegui um Catalyst 2960-48-TTL para fazer um lab de dhcp snooping, a princípio o dhcp snooping funcionou (conforme irei explicar), entretanto, as estatísitcas de drop não são incrementadas. Portanto, não tem como o administrador perceber o rogue DHCP na rede.


    Segue a topologia: Segua a configuração (referente a parte do dhcp snooping) do 2960: ! ip dhcp snooping vlan 100 ip dhcp snooping database flash:dhcpsnoopingv2.dat ip dhcp snooping ! ... ! interface FastEthernet0/33 switchport access vlan 100 switchport mode access spanning-tree portfast ip dhcp snooping limit rate 10 ! interface FastEthernet0/34 ! interface FastEthernet0/35 switchport access vlan 100 switchport mode access duplex full spanning-tree portfast ip dhcp snooping trust ip dhcp snooping limit rate 10 ! ... ! interface Vlan1 no ip address ! interface Vlan100 ip address 192.168.1.100 255.255.255.0 ! end @@@@@@@@@@@ A princípio deixei a porta fa0/35 como trust (ip dhcp snooping trust) para que o binding fosse feito para eu validar se a configuração estava ok e se o forward de pacotes do servidor estava ok (como já era esperado) conforme pode ser visto abaixo. @@@@@@@@@@@ Switch#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface



    ----
    8C:89:A5:26:79:84 192.168.1.2 86258 dhcp-snooping 100 FastEthernet0/33 Total number of bindings: 1 @@@@@@@@@@@ Agora eu configurei a interface fa 0/35 como untrust (no ip dhcp snooping) para ver se o Switch iria dar um shutdown ou se iria dropar os pacotes de oferta vindo do servidor dhcp. Fiz os seguintes testes: -> habilitei o debug: debug ip dhcp snooping packet debug ip dhcp snooping event. No host da interface fa 0/33 eu apliquei um dhcp release e um dhcp renew porque eu quero forçar um dhcp discover para o dhcp server me enviar um dhcp offer e daí o pacote será dropado. Realmente ocorreu o esperado o host da interface fa 0/33 não recebeu nenhum dhcp offer, entretanto AS ESTATÍSTICAS do sh ip dhcp snooping binding não mostrava nenhum pacote dropado. Sendo que no debug eu conseguia ver que o host da interface fa0/33 estava constantemente bombardeando uns dhcp discover e não recebia nada de retorno. Portanto, o dhcp snoooping funcionou. Mas, as estatísticas de drop não foram incrementada. Dessa forma, não tem como alguém detectar que alguem está com um servidor dhcp rogue na rede. Desconfio que é bug da versão do ios que estou usando. @@@@@@@@@@@ Switch#sh ip dhcp snooping statistics Packets Forwarded = 54 Packets Dropped = 0 Packets Dropped From untrusted ports = 0 Switch#sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 100 DHCP snooping is operational on following VLANs: 100 DHCP snooping is configured on the following L3 Interfaces: Insertion of option 82 is enabled circuit-id default format: vlan-mod-port remote-id: b414.896f.6200 (MAC) Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Allow option Rate limit (pps)



    FastEthernet0/33 no no 10 Custom circuit-ids: FastEthernet0/35 no no 10 Custom circuit-ids: Switch#sh errdisable detect ErrDisable Reason Detection Mode

    ---- arp-inspection Enabled port bpduguard Enabled port channel-misconfig (STP) Enabled port community-limit Enabled port dhcp-rate-limit Enabled port dtp-flap Enabled port gbic-invalid Enabled port inline-power Enabled port invalid-policy Enabled port link-flap Enabled port loopback Enabled port lsgroup Enabled port mac-limit Enabled port pagp-flap Enabled port port-mode-failure Enabled port pppoe-ia-rate-limit Enabled port psecure-violation Enabled port/vlan security-violation Enabled port sfp-config-mismatch Enabled port small-frame Enabled port storm-control Enabled port udld Enabled port vmps Enabled port
    Switch#sh version Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Sat 07-Aug-10 23:04 by prod_rel_team Image text-base: 0x00003000, data-base: 0x01800000 ROM: Bootstrap program is C2960 boot loader BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1) Switch uptime is 48 minutes System returned to ROM by power-on System restarted at 15:59:11 UTC Fri Mar 9 2012 System image file is "flash:c2960-lanbasek9-mz.122-55.SE.bin"

    @@@@@@@@@@@
    
     Obs: Testei tanto com option-82 enable quanto disable e o resultado foi o mesmo.. eu percebi os pacotes dropando através do debug, mas  as estatísticas do drop não são incrementadas.
     Eu ate utilizei o comando errdisable para habilitar "action" em todas as causas para ver iria surgir algum efeito, mas, ficou na mesma situação.
    
    @@@@@@@@@@@
    
    ###########
    
    Álguem tem alguma luz sobre o porquê as estatísticas não sobem? outra coisa que me deixou decepcionado foi que no livro do CCNA Sec
    está dizendo que quando ocorre uma violação de dhcp snooping em um porta não confiável a porta será desabilitada (entao eu achada que 
    iria entrar em err disable e iria alertar uma msg de syslog), mas, lendo o guia completo do dhcp snooping da cisco diz que a violação
    do dhcp snooping é apenas o drop do tráfego.
    
    http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swdhcp82.html
    
    " When a switch receives a packet on an untrusted  interface and the interface belongs to a VLAN in which DHCP snooping is  enabled, the switch compares the source MAC address and the DHCP client  hardware address. If the addresses match (the default), the switch  forwards the packet.  If the addresses do not match, the switch drops the packet. " ...  

    0

    0
    #98013

    zekkerj
    Participante

    Oi Arcanjo,

    O que eu lembro do dhcp snooping é que há duas situações distintas: uma é o rogue server, que é uma máquina tentando responder ao pedido de DHCPDISCOVER ou DHCPREQUEST por uma porta untrusted. Outra é uma estação enviar pacotes acima do rate-limit. Eu entendo que só a primeira situação faz a porta entrar em errdisable. A segunda seria tratada apenas com drop no pacote.

    Quanto às estatísticas em si, vc chegou a ver as estatísticas da porta, no "show interface"?

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #98014

    ArcanjoV8
    Participante

    zekkerj,

    Nao tirei as estatisticas do porta com um sh interface. Mas, hoje quando chegar ao trabalho vou montar o lab novamente e tirar essas estatisticas e tambem vou aproveitar e fazer um upgrade no ios. Na sequencia eu volto aqui para dizer os resultados.

    No próprio site da cisco diz que a violação de um pacote de DHCPOFFER OU DHCPACK OU DHCPNACK em uma interface untrusted a interface não entrará em err-disable e sim dropará os

    pacotes. Contrariando o que cisco no livro do CCNA Sec, que afirma que irá efetuar um disable na interface.

    From cisco.com (link no primeiro post):

    " The switch drops a DHCP packet when one of these situations occurs:

    A packet from a DHCP server, such as a DHCPOFFER, DHCPACK, DHCPNAK, or DHCPLEASEQUERY packet, is received from outside the network or firewall (untrusted interface). "

    De antemão agraço a ajuda, zekkerj!

    0

    0
    #98015

    ArcanjoV8
    Participante

    Ola pessoal, estava meio sem tempo para passar no forum.

    Consegui resolver o problema. Realmente um DHCPOFFER, ACK ou NACK nao fará a interface entrar em err-disable state [SIM, o livro do CCNA Sec esta errado! ](mesmo que todos os estados de erros estavam habilitados com o comando err-disable detect cause all).

    Sobre o porque não estava aumentando as estatisticas:

    Depois de muito debug.. percebi que por default o algoritmo da cisco não ira enviar um dhcp discover para uma porta não confiável o packet é "ripado" por default. Portanto, nunca alcançando uma interface untrust.. logo o DHCP server rogue não irá nem ao menos enviar um OFFER, ACK ou NAK. Tendo isso em vista.. eu fiz um script em linux com a ajuda do wireshark para forjar esses pacotes (OFFER/ACK) e enviar na interface e logo após os packets foram dropados e as estatísticas subiram.

     

     

    0

    0
    #98016

    Edson
    Participante

    WoW! Outro tópico show de bola!

    Sei que eh um pouquinho antigo, mas me ajudou a entender o funcionamento do Snooping nos estudos.

    Obrigado 😉

    0

    0
Visualizando 5 posts - 1 até 5 (de 5 do total)

Você deve fazer login para responder a este tópico.