想问一下交接机dhcp snooping和POE+AP的问题

飞翔的蜗牛

1.听说开启dhcp snooping可以防止私接路由器的情况，把连接上级交换机（路由器）的口设置成信任口，其它端口不设置。我就不用理解的地方就是，如果我的交换机A开启了dhcp snooping，然后A下面接了一个傻瓜交换机B，没有dhcp snooping功能的，然后有人在这个B下面接了一个路由器C，C打开了DHCP功能，那我的A的dhcp snooping可以防止C在网络中分配IP的吗？

2.POE+AP的问题。
2.1.我的POE出来的网线和AP的位置不够长，有什么办法可以加长网线吗？换线是不可能的了。86网络面板出来的网线是不是不能接AP了（少了供电）。另外那种直接网络接头可以吗？
2.2.那种AP面板出来的网线，是不是已经不能用巡线仪找到另一端的相应网线了？

jhhuang

1、不能
2.1、可以的，用模块，机柜都是打模块，等于续接的效果，当然要好的配件，达标的。
2.2、修改一下，我看错了。。。。接了ap在巡线，逻辑不对，不可以跨交换机巡线，ap如果有直通口，你可以试试

jhhuang

dhcp snooping, 是假定所有交换机都是支持 dhcp snooping 达到最好的效果。这主要是防止IT设置错误影响网络的。

另外，私接路由器，这是管理问题，不是IT的问题。辞退干掉这个人。

GIVE-ME-POWER

1.a开机DHCP snooping后a下接b交换机的端口收到非信任端口的dhcp报文会屏蔽不转发，但不影响B其他端口终端获取C路由器dhcp。
2.可以试下，主要看poe协商模式。
3.是的，ap面板可以理解为一台小交换机。

飞翔的蜗牛

jhhuang 发表于 2022-12-4 11:41
1、不能
2.1、可以的，用模块，机柜都是打模块，等于续接的效果，当然要好的配件，达标的。
2.2、修改一下 ...

没有跨交换机。
我有一个AP面板，我想知道这个AP面板的接入端的网线上另一头是哪条，我用巡线仪去找，找不到。然后我把面析拆出来，直接里面的网线去接，就找到了。我觉得有点奇怪。

飞翔的蜗牛

GIVE-ME-POWER 发表于 2022-12-4 11:45
1.a开机DHCP snooping后a下接b交换机的端口收到非信任端口的dhcp报文会屏蔽不转发，但不影响B其他端口终端 ...

1的意思是，A下面连接的的设备不会受到C上面的DHCP的影响，但B下面连接的设备会受到影响是吧？

jhhuang

飞翔的蜗牛 发表于 2022-12-4 11:51
没有跨交换机。
我有一个AP面板，我想知道这个AP面板的接入端的网线上另一头是哪条，我用巡线仪去找，找 ...

测线本来就应该用线的本身，你接了ap再从ap里面去寻，不可以的

jhhuang

飞翔的蜗牛 发表于 2022-12-4 11:54
1的意思是，A下面连接的的设备不会受到C上面的DHCP的影响，但B下面连接的设备会受到影响是吧？ ...

b等于独立的交换机，b里面的电脑和b里面接的dhcp，一样可以影响网络。但是不会影响到A里面的设备。因为A做了信任和不信任

飞翔的蜗牛

jhhuang 发表于 2022-12-4 12:00
测线本来就应该用线的本身，你接了ap再从ap里面去寻，不可以的

那如果是经过了一个普通的86面板呢？是不是就能正常找到了？
是因为AP相当于交换机的功能吗？

jhhuang

飞翔的蜗牛 发表于 2022-12-4 12:01
那如果是经过了一个普通的86面板呢？是不是就能正常找到了？
是因为AP相当于交换机的功能吗？ ...

通过面板是可以的，那是直通。
你走ap，再从ap里面寻，都经过ap里面的电路转换了，怎么可能呢

伦风凝星

2.1  POE功率是可以过网络模块的，没有任何问题。
2.2  面板AP的无法过巡线仪

伦风凝星

飞翔的蜗牛 发表于 2022-12-4 12:01
那如果是经过了一个普通的86面板呢？是不是就能正常找到了？
是因为AP相当于交换机的功能吗？ ...

普通面板插座是直通的，巡线仪能找的。

moveable

1，dhcp snooping只能禁该交换机内部的非法dhcp转发，下级傻瓜交换机内部非法dhcp是管不到的，换言之，你想绝对安全，就要全部交换机都支持dhcp snooping，不过我发现ipv4 dhcp snooping跟dhcp v6和SLAAC冲突，会导致客户端dns v6地址难以获取，建议ipv4、ipv6共存的环境要同时开启ipv4、ipv6的dhcp snooping。
2，POE网线不够长的短距离可以用直通头，最好要买支持POE和防水的，距离太长的还是接个POE交换机稳妥。
3，面板是直通网口的可以，是面板AP的不知道，试过才知。

Bloody_Palace

DHCP snooping只能管自己这台，管不了其他交换设备。。
POE网线延长打模块或者用对插插头都行，家用环境不用想太多。。。
ap面板出来的扩展口是要过ap内部的switch的，等同于过交换机巡线，杂波早被过滤掉了。。。墙插面板那是纯物理接通，当然没事。。。

nodlinxinyang

1.如大家所说不行，dhcp snooping都建议是在接入层交换机上做，现在TP低端的只要不是5口跟8口的云管理交换机都有DHCP SNOOPING以及环路检测阻塞功能了，例如SG2210 2光8电拼夕夕用券能做到190以内。
2.打模块或者用对接头都可以
3.可以拆开AP面板 接AP的里面都是打好水晶头的了 不是一样可以巡线

majest

nodlinxinyang 发表于 2022-12-5 09:27
1.如大家所说不行，dhcp snooping都建议是在接入层交换机上做，现在TP低端的只要不是5口跟8口的云管理交换 ...

老板，问一下，这个打模块是什么意思？
我现在就遇到这个问题，ap面板两个口，一个口poe输入，一个口输出，貌似就不支持poe了，输出口需要接一个poe摄像头

InuYasha

nodlinxinyang 发表于 2022-12-5 09:27
1.如大家所说不行，dhcp snooping都建议是在接入层交换机上做，现在TP低端的只要不是5口跟8口的云管理交换 ...

DHCP snooping和端口隔离一样要所有交换机都做才行。
你只隔离接入交换机然后上层不隔离的话照样能影响到接在其他交换机下的设备。
最一劳永逸的方法是开个PPPoE服务器，所有下面的路由器都用拨号上网。

kevinho86

1：
如果我的交换机A开启了dhcp snooping，然后A下面接了一个傻瓜交换机B，没有dhcp snooping功能的，然后有人在这个B下面接了一个路由器C，C打开了DHCP功能，那我的A的dhcp snooping可以防止C在网络中分配IP的吗？
我有疑问，就是在B下接的路由器C，是交换机B-》路由器C的Wan口，还是交换机B-》路由器C的Lan口？？？？
两种接法也有不同影响吖
1》交换机B-》路由器C的Wan口，影响不了上级（正常私接路由的方法）
2》交换机B-》路由器C的Lan口，会影响交换机B下级的网络（胡乱接的方法）

nodlinxinyang

kevinho86 发表于 2024-4-21 20:43
1：
如果我的交换机A开启了dhcp snooping，然后A下面接了一个傻瓜交换机B，没有dhcp snooping功能的，然后 ...

不能阻止C给B其他端口分配IP  能阻止A的其他端口分配到错误IP ，相对故障点位就小了，定位问题就简单了；  如果接WAN口，不做静态路由情况下 就只能C下的设备访问上级，上级访问不了C下的设备，反之接LAN口就必须关DHCP，或者有AP模式，但是很多老旧的小路由存在断电后会复位初始化配置的情况，所以接LAN口如果量多了，再叠加没有DHCP SNOOPING的话可能三天两头你要去查故障。。。

nodlinxinyang

majest 发表于 2024-4-21 19:13
老板，问一下，这个打模块是什么意思？
我现在就遇到这个问题，ap面板两个口，一个口poe输入，一个口输出 ...

AP面板出线口只是单纯上网 并不支持输出POE   你这种需求可能要一个POE1分2

kevinho86

nodlinxinyang 发表于 2024-4-22 08:18
不能阻止C给B其他端口分配IP  能阻止A的其他端口分配到错误IP ，相对故障点位就小了，定位问题就简单了； ...

我就是跟LZ说两种接法有不同影响

majest

nodlinxinyang 发表于 2024-4-22 08:19
AP面板出线口只是单纯上网 并不支持输出POE   你这种需求可能要一个POE1分2

poe一分2现在没有2.5g的 头疼

oyy17

“我的POE出来的网线和AP的位置不够长，有什么办法可以加长网线吗？换线是不可能的了。”

就是你说的直通头就行了，加条网线过去，这最简单。

前提对接头质量要好，起码每根线都和对接的网线靠谱的搭上了，这就是直通。

还有，延长的网线也好，延长后的总长度也好，不能太长。

就算不对接，都不要轻易超过30米，控制在20米以内，一般不会有大问题，小小的不稳定也可以避免，越长线材要求越高，不是通了就稳了。

其实未必要买直通头，市面有一种免打网络模块，就是稍大的网头，一边是传统接网线的口，另一边直接是RJ45口，我用了五年六年了，稳定，比对接稳定得多。

TP-LINK TL-EJ622F 六类CAT6高端工程级镀金版千兆网络屏蔽信息模块 180度、免打线

https://item.jd.com/6228275.html#crumb-wrap

“86网络面板出来的网线是不是不能接AP了（少了供电）。”

86面板本质上就是个面板样式的直通对接头。

86面板后面接的线，另一头你接入poe端口，怎么会没有poe供电？

你再从86面板前面的端口接线到ap，就通了。

如果不能用，那也是86面板灯的质量问题。


2.2.那种AP面板出来的网线，是不是已经不能用巡线仪找到另一端的相应网线了？

AP面板和86面板是两回事。

AP面板除非有直通口，不然没法做延长的活。

比如TP有些型号的AP面板，有个IPTV接口，前后各有一个相对应，这就是直通，这个口和AP面板其他接口没关系的，AP不上电都能用，这个口就是个86面板。

AP面板的其他口统统不行，都是接着ap面板内部交换机的，没上电没法用，也没见过ap面板还带poe输出的。

另外，为什么要用寻线仪呢？

网线是除了光纤，最好找到另外一端的了。

如果是面板AP，难道你不用poe连接？另一边的端口，哪个能把面板ap通电，就是哪个。

退一万步，你面板ap接的是dc电源，那就普通86面板一样处理。

拉根网线接86面板，买个烂大街的网线测试仪，十元钱包邮的都能用，只要两端的灯同步亮了，线就找到了。