Sériové přepínače DHCP Snooping
Pokyny ke konfiguraci
Modely: S3150-8T2FP
S3260-8T2FP
S3260-16T4FP
S3400-24T4FP
S3400-48T4SP
Konfigurace DHCP-Snooping
1.1 Úlohy konfigurace IGMP-Snooping
DHCP-Snooping má zabránit falešnému DHCP serveru v poskytování služby DHCP tím, že posuzuje DHCP pakety a udržuje vazebný vztah mezi MAC adresou a IP adresou. Přepínač L2 může provádět funkci DAI a funkci ochrany zdroje IP podle vazebního vztahu mezi adresou MAC a adresou IP. DHCP-snooping slouží hlavně ke sledování DHCP paketů a dynamickému udržování seznamu vazeb MAC-IP. Přepínač L2 filtruje pakety, které nesplňují vazbu MAC-IP, aby zabránil síťovému útoku ze strany nelegálních uživatelů.
- Povolení/zakázání DHCP-Snooping
- Povolení DHCP-Snooping ve VLAN
- Povolení protiútoku DHCP ve VLAN.
- Nastavení rozhraní na DHCP-důvěryhodné rozhraní
- Povolení/zakázání funkce rychlé aktualizace tabulky vazeb
- Povolení DAI ve VLAN
- Nastavení rozhraní na důvěryhodné rozhraní ARP
- Povolení sledování zdrojové IP adresy ve VLAN
- Nastavení rozhraní na rozhraní, které je důvěryhodné pro sledování zdrojové adresy IP
- Nastavení možnosti DHCP-Snooping 82
- Nastavení zásad pro pakety DHCP-Snooping Option82
- Nastavení serveru TFTP pro zálohování vazby rozhraní
- Nastavení a File Název pro zálohu vazby rozhraní
- Nastavení intervalu pro kontrolu zálohování vazby rozhraní
- Ruční nastavení vazby rozhraní
- Monitorování a údržba DHCP-Snooping
- Exampsoubor konfigurace DHCP-Snooping
1.1.1 Povolení/zakázání DHCP-Snooping
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Účel |
| ip dhcp-relay snooping | Umožňuje sledování DHCP. |
| žádné ip dhcp-relay snooping | Obnoví výchozí nastavení. |
Tento příkaz se používá k povolení sledování DHCP v režimu globální konfigurace. Po spuštění tohoto příkazu má přepínač sledovat všechny pakety DHCP a vytvořit odpovídající vazebný vztah.
Poznámka:
Pokud klient získá adresu přepínače před spuštěním tohoto příkazu, přepínač nemůže přidat odpovídající vazebný vztah.
1.1.2 Povolení DHCP-Snooping ve VLAN
Pokud je ve VLAN povoleno DHCP snooping, pakety DHCP, které jsou přijímány ze všech nedůvěryhodných fyzických portů ve VLAN, budou legálně zkontrolovány. Pakety odezvy DHCP, které jsou přijaty z nedůvěryhodných fyzických portů ve VLAN, budou poté zahozeny, což zabrání falešnému nebo špatně nakonfigurovanému serveru DHCP poskytovat služby distribuce adres. Pokud se u paketu požadavku DHCP z nedůvěryhodných portů pole hardwarové adresy v paketu požadavku DHCP neshoduje s MAC adresou tohoto paketu, paket požadavku DHCP je pak považován za falešný paket, který se používá jako útočný paket pro DHCP DOS. a pak to spínač zahodí.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Účel |
| ip dhcp-relay snooping vlan vlan_id | Umožňuje sledování DHCP ve VLAN. |
| žádné ip dhcp-relay snooping vlan vlan_id | Zakáže DHCP-snooping ve VLAN. |
1.1.3 Povolení DHCP Anti-attack ve VLAN.
Chcete-li povolit prevenci útoků ve VLAN, musíte nakonfigurovat maximální povolený počet klientů DHCP v konkrétní VLAN a dodržovat zásadu „kdo dřív přijde a je dřív na řadě“. Když počet uživatelů v konkrétní VLAN dosáhne maximálního počtu, není povolena distribuce nových klientů.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Účel |
| ip dhcp-relay snooping vlan vlan_id max. číslo klienta | Povolí DHCP anti-attack ve VLAN. |
| žádná ip dhcp-relay snooping vlan vlan_id max-client | Zakáže DHCP anti-attack ve VLAN. |
1.1.4 Nastavení rozhraní na DHCP-důvěryhodné rozhraní
Pokud je rozhraní nastaveno jako rozhraní důvěřující DHCP, pakety DHCP přijaté z tohoto rozhraní nebudou kontrolovány.
Spusťte následující příkazy v režimu konfigurace fyzického rozhraní.
| Příkaz | Operace |
| dhcp snooping trust | Nastavení rozhraní na DHCP-důvěryhodné rozhraní |
| žádná dhcp snooping trust | Obnoví rozhraní na rozhraní nedůvěryhodné DHCP. |
Rozhraní je ve výchozím nastavení nedůvěryhodné rozhraní.
1.1.5 Povolení/zakázání funkce rychlé aktualizace tabulky vazeb
Tato funkce je ve výchozím nastavení zakázána. Když je tato funkce deaktivována a port byl navázán na klienta A, bude DHCP požadavek na stejnou MAC adresu na jiných portech považován za falešný MAC útok, i když je klient A offline.
Pokud je tato funkce povolena, výše uvedený případ nenastane.
Tuto funkci doporučujeme použít v případě, že klient často mění svůj port a přidělení adresy, distribuované DHCP serverem, nelze upravit na krátkou dobu.
| Příkaz | Operace |
| ip dhcp-relay snooping rapid-refresh-bind | Umožňuje funkci rychlé aktualizace tabulky vazeb. |
| žádná IP dhcp-relay snooping rapid-refresh-bind | Zakáže funkci rychlé aktualizace tabulky vazeb. |
1.1.6 Povolení DAI ve VLAN
Když je dynamické monitorování ARP prováděno ve všech fyzických portech VLAN, přijatý paket ARP bude odmítnut, pokud zdrojová MAC adresa a zdrojová IP adresa tohoto paketu neodpovídají nakonfigurovanému vazebnému vztahu MAC-IP. Vazba na rozhraní může být dynamicky vázána pomocí DHCP nebo konfigurována ručně. Pokud nejsou na fyzickém rozhraní svázány žádné adresy MAC s adresami IP, přepínač odmítne přeposílání všech paketů ARP.
| Příkaz | Operace |
| ip arp inspekce vlan vlanid | Umožňuje dynamické monitorování ARP na všech nedůvěryhodných portech ve VLAN. |
| no ip arp inspekce vlan vlanid | Zakáže dynamické monitorování ARP na všech nedůvěryhodných portech ve VLAN. |
1.1.7 Nastavení rozhraní na důvěryhodné rozhraní ARP
Monitorování ARP není na těchto důvěryhodných rozhraních povoleno. Rozhraní jsou standardně nedůvěryhodná.
Spusťte následující příkazy v režimu konfigurace rozhraní.
| Příkaz | Operace |
| arp inspekční důvěra | Nastavení rozhraní na důvěryhodné rozhraní ARP. |
| žádná inspekční důvěra ARP | Obnoví rozhraní k rozhraní nedůvěřujícímu ARP. |
1.1.8 Povolení sledování zdrojové IP adresy ve VLAN
Po povolení monitorování zdrojové IP adresy ve VLAN budou IP pakety přijaté ze všech fyzických portů ve VLAN odmítnuty, pokud se jejich zdrojové MAC adresy a zdrojové IP adresy neshodují s konfigurovaným vazebným vztahem MAC-to-IP. Vazba na rozhraní může být dynamicky vázána pomocí DHCP nebo konfigurována ručně. Pokud nejsou na fyzickém rozhraní svázány žádné MAC adresy s IP adresami, přepínač odmítne předávání všech IP paketů přijatých z fyzického rozhraní.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Operace |
| ip ověřit zdroj vlan vlanid | Umožňuje kontrolu zdrojové IP adresy na všech nedůvěryhodných rozhraních ve VLAN. |
| no ip ověřit zdroj vlan vlanid | Zakáže kontrolu zdrojové IP adresy na všech rozhraních ve VLAN. |
Poznámka:
Pokud je přijat paket DHCP (také paket IP), bude předán, protože je nakonfigurováno globální snooping.
1.1.9 Nastavení rozhraní na rozhraní, které je důvěryhodné pro sledování zdrojové adresy IP
Funkce zjišťování zdrojové adresy nebude povolena pro rozhraní důvěryhodnosti zdrojové adresy IP.
Spusťte následující příkazy v režimu konfigurace rozhraní.
| Příkaz | Operace |
| ip-source důvěryhodnost | Nastaví rozhraní na rozhraní s důvěryhodnou zdrojovou IP adresou. |
| žádná důvěra ke zdroji IP | Obnoví rozhraní na rozhraní s nedůvěryhodnou zdrojovou IP adresou. |
1.1.10 Nastavení možnosti DHCP-Snooping 82
Možnost 82 přináší místní informace na server a pomáhá serveru distribuovat adresy klientům.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Operace |
| možnost ip dhcp-relay snooping information | Nastaví, že volba82, která je ve výchozím formátu, je přenášena, když DHCP-snooping předává pakety DHCP. |
| žádná možnost ip dhcp-relay snooping information | Nastaví, že volba82 není přenášena, když DHCP-snooping předává pakety DHCP. |
Chcete-li určit formát volby82, proveďte následující nastavení v globálním režimu.
| Příkaz | Operace |
| ip dhcp-relay snooping information option format {snmp- ifindex/manual/hn-type [host]} | Nastavuje formát volby82, který pakety DHCP přenášejí, když jsou předávány pomocí DHCP-Snooping. |
| no ip dhcp-relay snooping information option format {snmp-ifindex/manual/hn-type [host]} | Nastaví, že volba82 není přenášena, když DHCP-snooping předává pakety DHCP. |
Pokud je ve volbě 82 nastaven manuální režim, proveďte následující konfigurace v režimu rozhraní, abyste nastavili ID okruhu:
| Příkaz | Operace |
| dhcp snooping information circuit-id string [STRING] | Pokud je volba 82 nastavena na ruční formát, musíte nastavit snooping DHCP tak, aby předával pakety DHCP s možností 82, jejichž obsahem je znakový řetězec zapsaný STRING. Tento příkaz se nastavuje na portu, který připojuje klienta. |
| dhcp snooping information circuit-id hex [xx-xx-xx-xx-xx-xx] | Pokud je volba 82 nastavena na ruční formát, je třeba nastavit DHCP-snooping pro přeposílání paketů DHCP s možností 82, jejichž obsahem je Hex systém. Tento příkaz se nastavuje na portu, který připojuje klienta. |
| žádné dhcp snooping information circuit-id | Odstraní ručně nakonfigurované ID okruhu option82. |
Pokud je ve volbě 82 nastaven manuální režim, proveďte v režimu rozhraní následující konfigurace pro nastavení vzdáleného ID:
| Příkaz | Operace |
| dhcp snooping information remote-id string [STRING] | Pokud je volba 82 nastavena na ruční formát, musíte nastavit snooping DHCP tak, aby předával pakety DHCP s možností 82, jejichž obsahem je znakový řetězec zapsaný STRING. Tento příkaz se nastavuje na portu, který připojuje klienta. |
| dhcp snooping information remote-id hex [xx-xx-xx-xx-xx-xx] | Pokud je volba 82 nastavena na ruční formát, je třeba nastavit DHCP-snooping pro přeposílání paketů DHCP s možností 82, jejichž obsahem je Hex systém. Tento příkaz se nastavuje na portu, který připojuje klienta. |
| žádné dhcp snooping informace remote-id | Odstraní ručně nakonfigurovanou volbu82 remote-id. |
Pokud je ve volbě 82 nastaven manuální režim, proveďte následující konfigurace v režimu rozhraní, abyste nastavili specifické pro dodavatele:
| Příkaz | Operace |
| dhcp snooping information řetězec specifický pro dodavatele STRING | Pokud je volba 82 nastavena na ruční formát, musíte nastavit snooping DHCP tak, aby předával pakety DHCP s možností 82, jejichž obsahem je znakový řetězec zapsaný STRING. Tento příkaz se nastavuje na portu, který připojuje klienta. |
| dhcp snooping informace specifické pro dodavatele hex [xx-xx-xx-xx- xx-xx] | Pokud je volba 82 nastavena na ruční formát, je třeba nastavit DHCP-snooping pro přeposílání paketů DHCP s možností 82, jejichž obsahem je Hex systém. Tento příkaz se nastavuje na portu, který připojuje klienta. |
| žádné dhcp snooping informace specifické pro dodavatele | Odstraní ručně nakonfigurovanou volbu82 specifickou pro dodavatele. |
1.1.11 Nastavení politiky DHCP-Snooping Option 82 paketů
Po přijetí těchto paketů můžete nastavit politiku pro pakety požadavků DHCP, které se přenášejí s volbou82. Mezi zásady patří následující:
Zásadu “Drop”: Spusťte následující příkaz v režimu portu, abyste zrušili pakety požadavku s volbou82.
| Příkaz | Operace |
| dhcp snooping information drop | Zahodí pakety požadavku, které obsahují volbu82. |
Zásada “Append”: Spusťte následující příkaz v režimu portu pro přidání paketů požadavku s volbou82.
| Příkaz | Operace |
| připojení informací o snoopingu dhcp | Umožňuje funkci přidat volbu82 na port. |
| dhcp snooping information append first-subop9-param {hex xx-xx-xx-xx-xx-xx | vlanip | název hostitele} | Znamená první parametr nesený volbou82 specifickou pro dodavatele (podvolba9). |
| dhcp snooping information append second-subop9-param {hex xx-xx-xx-xx-xx-xx | vlanip | název hostitele} |
Znamená druhý parametr nesený volbou82 specifickou pro dodavatele (podvolba9). |
1.1.12 Nastavení serveru TFTP pro zálohování vazby rozhraní
Po restartování konfigurace přepínače bude dříve nakonfigurovaná vazba rozhraní ztracena. V tomto případě na tomto rozhraní neexistuje žádný závazný vztah. Po povolení monitorování zdrojové IP adresy přepínač odmítl předávání všech IP paketů. Poté, co je server TFTP nakonfigurován pro zálohování vazby rozhraní, bude vztah vazby zálohován na server prostřednictvím protokolu TFTP. Po restartování přepínače přepínač automaticky stáhne seznam vazeb ze serveru TFTP, čímž zajistí normální provoz sítě.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Operace |
| ip dhcp-relay snooping databázového agenta ip-adresa | Konfiguruje IP adresu serveru TFTP, který má zálohovat vazbu rozhraní. |
| žádná IP adresa dhcp-relay snooping databázového agenta IP-adresa | Zruší TFTP server pro zálohování vazby rozhraní. |
1.1.13 Nastavení a File Název pro zálohu vazby rozhraní
Při zálohování vztahu vazby rozhraní, odpovídající file jméno bude uloženo na TFTP serveru. Tímto způsobem mohou různé přepínače zálohovat své vlastní vazby rozhraní na stejný server TFTP.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Operace |
| ip dhcp-relay snooping db-file jméno [časamp] | Konfiguruje a file název pro zálohu vazby rozhraní. |
| žádná ip dhcp-relay snooping db-file | Zruší a file název pro zálohu vazby rozhraní. |
1.1.14 Nastavení intervalu pro kontrolu zálohování vazby rozhraní
Vazba MAC-to-IP na rozhraní se dynamicky mění. Proto je třeba zkontrolovat, zda se vazba po určitém intervalu aktualizuje. Pokud se vazebný vztah aktualizuje, je třeba jej znovu zálohovat. Výchozí časový interval je 30 minut.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Operace |
| ip dhcp-relay snooping zápis-okamžitě | Konfiguruje okamžité zálohování DHCP Snooping při změně informací o vazbě. žádné ip dhcp-relay snooping {zápis-čas | write-immediately} Obnoví interval kontroly zálohování vazby rozhraní na výchozí nastavení. |
| ip dhcp-relay snooping write-time num | Konfiguruje interval pro kontrolu zálohy vazby rozhraní. Jednotka je min. |
| žádná ip dhcp-relay snooping doba zápisu | Obnoví interval kontroly zálohování vazby rozhraní na výchozí nastavení. |
1.1.15 Ruční nastavení vazby rozhraní
Pokud hostitel nezíská adresu přes DHCP, můžete přidat položku vazby na rozhraní přepínače a umožnit tak hostiteli přístup k síti. Můžete spustit žádnou vazbu zdroje IP MAC IP a odstranit položky z odpovídajícího seznamu vazeb.
Všimněte si, že ručně konfigurované položky vazby mají vyšší prioritu než dynamicky konfigurované položky vazby. Pokud ručně konfigurovaná položka vazby a dynamicky konfigurovaná položka vazby mají stejnou adresu MAC, ručně konfigurovaná položka aktualizuje dynamicky konfigurovanou. Položka vazby rozhraní přebírá MAC adresu jako jedinečný index.
Spusťte následující příkazy v režimu globální konfigurace.
| Příkaz | Operace |
| vazba zdroje ip MAC Název rozhraní IP [vlan vlan-id] | Manuálně konfiguruje vazbu rozhraní |
| žádná vazba zdroje IP MAC IP vlan vlan-id | Zruší položku vazby rozhraní. |
1.1.16 Monitorování a údržba DHCP-Snooping
Spusťte následující příkazy v režimu EXEC:
| Příkaz | Operace |
| zobrazit ip dhcp-relay snooping | Zobrazuje informace o konfiguraci DHCP-snooping. |
| zobrazit vazbu ip dhcp-relay snooping | Zobrazuje položky efektivní vazby adresy na rozhraní. |
| show ip dhcp-relay snooping binding all | Zobrazí všechny položky vazby, které jsou generovány sledováním DHCP. |
| [ne] ladění IP dhcp-relay [snooping | vazba | akce | vše] | Povolí nebo zakáže přepínač vazby nebo události snoopingu přenosu DHCP. |
Níže jsou uvedeny informace o konfiguraci snoopingu DHCP.
switch#show ip dhcp-relay snooping
ip dhcp-relay snooping vlan 3
ip arp inspekce vlan 3
Důvěryhodné rozhraní DHCP Snooping:
GigaEthernet0/1
Rozhraní ARP Inspect:
GigaEthernet0/11
Níže jsou uvedeny informace o vazbě o dhcp-relay snooping:
| switch#show ip dhcp-relay snooping binding | |||||
| Hardwarová adresa | IP adresa | zbývající čas Typ | VLAN | rozhraní | |
| 00-e0-0f-26-23-89 | 192.2.2.101 | 86400 | DHCP_SN | 3 | GigaEthernet0/3 |
Níže jsou uvedeny informace o vazbě o dhcp-relay snooping:
| switch#show ip dhcp-relay snooping binding all | |||||
| Hardwarová adresa | IP adresa | zbývající čas Typ | VLAN | rozhraní | |
| 00-e0-0f-32-1c-59 | 192.2.2.1 | nekonečný | MANUÁL | 1 | GigaEthernet0/2 |
| 00-e0-0f-26-23-89 | 192.2.2.101 | 86400 | DHCP_SN | 3 | GigaEthernet0/3 |
Níže jsou uvedeny informace o dhcp-relay snooping.
switch#debug ip dhcp-relay all
DHCPR: příjem l2 paketu z vlan 3, diID: 3
DHCPR: DHCP paket len 277
DHCPR: přidat vazbu na rozhraní GigaEthernet0/3
DHCPR: pokračování odesílání paketů
DHCPR: příjem l2 paketu z vlan 3, diID: 1
DHCPR: DHCP paket len 300
DHCPR: pokračování odesílání paketů
DHCPR: příjem l2 paketu z vlan 3, diID: 3
DHCPR: DHCP paket len 289
DHCPR: pokračování odesílání paketů
DHCPR: příjem l2 paketu z vlan 3, diID: 1
DHCPR: DHCP paket len 300
DHCPR: aktualizace vazby na rozhraní GigaEthernet0/3
DHCPR: IP adresa: 192.2.2.101, doba pronájmu 86400 sekund
DHCPR: pokračování odesílání paketů
1.1.17 Přampsoubor konfigurace DHCP-Snooping
Topologie sítě je znázorněna na obrázku 1.
Konfigurace přepínače
Povolte DHCP snooping ve VLAN 1, která připojuje privátní síť A.
Switch_config#ip dhcp-relay snooping
Switch_config#ip dhcp-relay snooping vlan 1
Povolte DHCP snooping ve VLAN 2, která připojuje privátní síť B.
Switch_config#ip dhcp-relay snooping
Switch_config#ip dhcp-relay snooping vlan 2
Nastavuje rozhraní, které připojuje server DHCP k rozhraní důvěryhodnému DHCP.
Switch_config_g0/1#dhcp snooping trust
Nakonfigurujte instanci option82 ručně
rozhraní GigaEthernet0/1
dhcp snooping information circuit-id hex 00-01-00-05
dhcp snooping information remote-id hex 00-e0-0f-13-1a-50
dhcp snooping information vendor-specific hex 00-00-0c-f8-0d-01-0b-78-69-61-6f-6d-69-6e-37-31-31-34
připojení informací o snoopingu dhcp
dhcp snooping information append first-subop9-param hex 61-62-63-61-62-63
!
rozhraní GigaEthernet0/2
dhcp snooping trust
arp inspekční důvěra
ip-source důvěryhodnost
ip dhcp-relay snooping
ip dhcp-relay snooping vlan 1-100
ip arp inspekce vlan 1
ip ověřit zdroj vlan 1
ip dhcp-relay snooping information option format manual
Dokumenty / zdroje
 |
Konfigurace přepínačů DHCP Snooping řady FS PoE+ [pdfPokyny Konfigurace snoopingu DHCP řady PoE, PoE Series, Konfigurace snoopingu DHCP řady PoE, Konfigurace snoopingu DHCP, Konfigurace DHCP snoopingu, S3150-8T2FP, S3260-8T2FP, S3260-16T4FP, S3400-24T4FP, S3400T48SP-4TXNUMXSP-XNUMX |
