Как коммутатор понимает, что к нему пришел именно DHCP-пакет?

Question

[egoraver]

После настройки ip dhcp snopping на коммутаторе Cisco 2960, он начинает отбрасывать DHCP Offer от поддельного DHCP-сервера, но как коммутатор понимает, что к нему пришел именно DHCP-пакет, если коммутатор работает на 2 уровне.

Comments

[Gansterito]

Пакеты, подпадающие под определенные условия (DHCP, IGMP, STP, ARP и др.) всё-таки обрабатываются на CPU, а не тупо коммутируются по L2. На некоторых коммутаторах при петлях или штормах по указанным протоколам может отваливаться управление.

Answer 1

[SunTechnik]

Этот коммутатор, хоть он и L2 может анализировать содержимое пакетов. (реально, надо проверить, что протокол UDP, и это пакет dhcp offer. Если порт не доверенный, то пакет отбрасываем. Проверять надо конкретные несколько байт в пакете).
Но так как этот коммутатор на может маршрутизировать трафик, то до L3 он не дотягивает..

Границы - они всегда условны и есть куча переходных состояний...

Comments

[historydev]

Так-так, много непонятного, где почитать можно, как называется?
- Пакеты через роутер проходящие тоже как-то помечаются?
- В целом это тема протоколов?

[SunTechnik]

В ответе не было ничего про метки на пакете.
Всё, что передается по сети, соответствует одному или нескольким протоколам.

Протоколы вкладываются один в другой. (инкапсуляция).

https://ru.m.wikipedia.org/wiki/%D0%98%D0%BD%D0%BA...

Начать читать можно с: "Сети для самых меленьких"

[Ziptar]

historydev,

В целом это тема протоколов?

В целом весь сетевой обмен это тема протоколов, потому что протокол - это правила/алгоритм общения двух узлов между собой. Регламент отправки и регламент получения информации. Начиная прямо таки с физического уровня. Ethernet - это тоже протокол.
Ну то есть тут следует воспринимать термин "протокол" в одном из его буквальных значении, а не как айтишный термин.

Протокол — исторически сложившийся и культурологически обусловленный свод правил и предписаний, в соответствии с которым регламентируется и регулируется порядок официальных церемоний и мероприятий (переговоры, подписание двусторонних документов), официальная переписка, форма одежды и т. д., например дворцовый, придворный протокол.

[historydev]

SunTechnik,

может анализировать содержимое пакетов. (реально, надо проверить, что протокол UDP, и это пакет dhcp offer.

Да, инкапсуляцию не читал, глубже чем я изучал, почитаю, спасибо.

[historydev]

Ziptar, Не нужно мне википедию цитировать, я знаю что такое протокол, я не знал что dhcp пакеты как-то помечаются.

[Ziptar]

historydev, они никак не помечаются, о чём тебе SunTechnik уже сказал. Свич читает пакет (и то не полностью), видит, что это dhcp offer, и отбрасывает его.

я знаю что такое протокол

Знал бы - не возникали бы вопросы в стиле "- В целом это тема протоколов? "

[historydev]

Ziptar, Я не знал что dhcp это протокол. - дальше почитать остаётся

[Ziptar]

historydev, ну вот поэтому я и объясняю, что любой сетевой обмен является частью того или иного протокола. Передаёшь ты по витухе dhcp пакет - и у тебя в самом пакете матрёшка из протоколов идёт: ethernet (канальный) -> ip (сетевой) -> udp (транспортный) -> dhcp (прикладной).
А то, что свич l2 - да не бывает управляемых свичей чисто l2. Это условности. Все они умеют что-то на более высоких уровнях.

[historydev]

Ziptar, OSI тоже не нужно мне объяснять, я ещё раз говорю, вопроса бы не было, если бы я знал что dhcp - это протокол.
- Я не автор основного вопроса если что.
- Я не понимаю о чём речь в рамках свитча и это тоже мне не нужно.

[CityCat4]

historydev,
Dynamic
Host
Configuration
Protocol

Как-то так...

[lantonov]

Как бы не так все проще есть trust проты они всегда могут раздавать адреса а другие нет

[Ziptar]

lantonov, как бы порты как бы адреса не раздают.

Answer 2

[lantonov]

Просто нужно настроить trust порты где находится нужный DHCP сервер и так он это понимает а остальные в untust

Answer 3

[Ivanleb2003]

Коммутатор, хотя и работает на 2 уровне, анализирует содержимое кадров (глубже уровня 2) с помощью механизма deep packet inspection (DPI). Этот процесс позволяет ему "понимать", что данный кадр содержит DHCP-пакет