Konfigurace DHCP-Snooping FS S5500
Konfigurace DHCP-Snooping
Úlohy konfigurace DHCP-Snooping
DHCP-Snooping má zabránit falešnému DHCP serveru v poskytování služby DHCP tím, že posuzuje DHCP pakety a udržuje vazebný vztah mezi MAC adresou a IP adresou. Přepínač L2 může provádět funkci DAI a funkci ochrany zdroje IP podle vazebního vztahu mezi adresou MAC a adresou IP. DHCP-snooping slouží hlavně ke sledování DHCP paketů a dynamickému udržování seznamu vazeb MAC-IP. Přepínač L2 filtruje pakety, které nesplňují vazbu MAC-IP, aby zabránil síťovému útoku ze strany nelegálních uživatelů.
- Povolení/zakázání DHCP-snooping
- Povolení DHCP-snooping ve VLAN
- Nastavení rozhraní na rozhraní důvěryhodné DHCP
- Povolení DAI ve VLAN
- Nastavení rozhraní na rozhraní důvěryhodné ARP
- Povolení monitorování zdrojové IP adresy ve VLAN
- Nastavení rozhraní na rozhraní, kterému důvěřuje sledování zdrojové IP adresy
- Konfigurace serveru TFTP pro zálohování vazby DHCP-snooping
- Konfigurace a file název pro zálohu vazby DHCP-snooping
- Konfigurace intervalu pro zálohování vazeb pomocí snoopingu DHCP
- Ruční konfigurace nebo přidání vazby
- Monitorování a údržba DHCP-snooping
- Exampsoubory pro konfiguraci DHCP-snooping
Povolení/zakázání DHCP-Snooping
Spusťte následující příkazy v režimu globální konfigurace.
|
Příkaz |
Účel |
| ip dhcp-relay snooping | Povolí snooping DHCP. |
| žádné ip dhcp-relay snooping | Obnoví výchozí nastavení. |
Tento příkaz se používá k povolení sledování DHCP v režimu globální konfigurace. Po spuštění tohoto příkazu má přepínač sledovat všechny pakety DHCP a vytvořit odpovídající vazebný vztah.
Poznámka: Pokud klient získá adresu přepínače před spuštěním tohoto příkazu, přepínač nemůže přidat odpovídající vazebný vztah.
Povolení DHCP-Snooping ve VLAN
Pokud je ve VLAN povoleno DHCP snooping, pakety DHCP, které jsou přijímány ze všech nedůvěryhodných fyzických portů ve VLAN, budou legálně zkontrolovány. Pakety odezvy DHCP, které jsou přijaty z nedůvěryhodných fyzických portů ve VLAN, budou poté zahozeny, což zabrání falešnému nebo špatně nakonfigurovanému serveru DHCP poskytovat služby distribuce adres. Pokud se u paketu požadavku DHCP z nedůvěryhodných portů pole hardwarové adresy v paketu požadavku DHCP neshoduje s MAC adresou tohoto paketu, paket požadavku DHCP je pak považován za falešný paket, který se používá jako útočný paket pro DHCP DOS. a pak to spínač zahodí. Spusťte následující příkazy v režimu globální konfigurace.
|
Příkaz |
Účel |
| IP dhcp-relay snooping vlan vlan_id | Umožňuje sledování DHCP ve VLAN. |
| žádná ip dhcp-snooping vlan vlan_id | Zakáže DHCP-snooping ve VLAN. |
Nastavení rozhraní na DHCP-důvěryhodné rozhraní
Pokud je rozhraní nastaveno jako rozhraní důvěřující DHCP, pakety DHCP přijaté z tohoto rozhraní nebudou kontrolovány.
Spusťte následující příkazy v režimu konfigurace fyzického rozhraní.
|
Příkaz |
Účel |
| dhcp snooping trust | Nastaví rozhraní na rozhraní důvěryhodné DHCP. |
| žádná dhcp snooping trust | Obnoví rozhraní na rozhraní nedůvěryhodné DHCP. |
Rozhraní je ve výchozím nastavení nedůvěryhodné rozhraní.
Povolení DAI ve VLAN
Když je dynamické monitorování ARP prováděno ve všech fyzických portech VLAN, přijatý paket ARP bude odmítnut, pokud zdrojová MAC adresa a zdrojová IP adresa tohoto paketu neodpovídají nakonfigurovanému vazebnému vztahu MAC-IP. Vazba na rozhraní může být dynamicky vázána pomocí DHCP nebo konfigurována ručně. Pokud nejsou na fyzickém rozhraní svázány žádné adresy MAC s adresami IP, přepínač odmítne přeposílání všech paketů ARP.
|
Příkaz |
Účel |
| ip arp inspekce vlan vlanid | Umožňuje dynamické monitorování ARP na všech nedůvěryhodných portech ve VLAN. |
| žádná kontrola IP arp vlan vlanid | Zakáže dynamické monitorování ARP na všech nedůvěryhodných portech ve VLAN. |
Nastavení rozhraní na důvěryhodné rozhraní ARP
Monitorování ARP není na těchto důvěryhodných rozhraních povoleno. Rozhraní jsou standardně nedůvěryhodná. Spusťte následující příkazy v režimu konfigurace rozhraní.
|
Příkaz |
Účel |
| arp inspekční důvěra | Nastaví rozhraní na rozhraní důvěryhodné ARP. |
| žádná inspekční důvěra ARP | Obnoví rozhraní k rozhraní nedůvěřujícímu ARP. |
Povolení sledování zdrojové IP adresy ve VLAN
Poté, co je ve VLAN povoleno monitorování zdrojové IP adresy, budou IP pakety přijaté ze všech fyzických portů ve VLAN odmítnuty, pokud jejich zdrojové MAC adresy a zdrojové IP adresy neodpovídají konfigurovanému vazebnímu vztahu MAC-to-IP. Vazba na rozhraní může být dynamicky vázána pomocí DHCP nebo konfigurována ručně. Pokud nejsou na fyzickém rozhraní svázány žádné MAC adresy s IP adresami, přepínač odmítne přeposílání všech IP paketů přijatých z fyzického rozhraní. Spusťte následující příkazy v režimu globální konfigurace.
|
Příkaz |
Účel |
| ip ověřit zdroj vlan vlanid | Umožňuje kontrolu zdrojové IP adresy na všech nedůvěryhodných rozhraních ve VLAN. |
| no IP ověřit zdroj vlan vlanid | Zakáže kontrolu zdrojové IP adresy na všech rozhraních ve VLAN. |
Nastavení rozhraní na rozhraní, které je důvěryhodné pro sledování zdrojové adresy IP
Kontrola zdrojové adresy není na rozhraní povolena, pokud má rozhraní důvěryhodnou zdrojovou IP adresu. Spusťte následující příkazy v režimu konfigurace rozhraní.
|
Příkaz |
Účel |
| ip-source důvěryhodnost | Nastaví rozhraní na rozhraní s důvěryhodnou zdrojovou IP adresou. |
| žádná důvěra ke zdroji IP | Obnoví rozhraní na rozhraní s nedůvěryhodnou zdrojovou IP adresou. |
Konfigurace serveru TFTP pro zálohování vazby rozhraní
Po restartování konfigurace přepínače bude dříve nakonfigurovaná vazba rozhraní ztracena. V tomto případě na tomto rozhraní neexistuje žádný závazný vztah. Po povolení monitorování zdrojové IP adresy přepínač odmítl předávání všech IP paketů. Poté, co je server TFTP nakonfigurován pro zálohování vazby rozhraní, bude vztah vazby zálohován na server prostřednictvím protokolu TFTP. Po restartování přepínače přepínač automaticky stáhne seznam vazeb ze serveru TFTP, čímž zajistí normální provoz sítě. Spusťte následující příkazy v režimu globální konfigurace.
|
Příkaz |
Účel |
| ip dhcp-relay snooping databázový agent IP adresa | Konfiguruje IP adresu serveru TFTP, který má zálohovat vazbu rozhraní. |
| žádná ip dhcp-relay snooping databázový agent | Zruší TFTP server pro zálohování vazby rozhraní. |
Konfigurace a File Název pro zálohu vazby rozhraní
Při zálohování vztahu vazby rozhraní, odpovídající filejméno bude uloženo na TFTP serveru. Tímto způsobem mohou různé přepínače zálohovat své vlastní vazby rozhraní na stejný server TFTP.
Spusťte následující příkazy v režimu globální konfigurace
|
Příkaz |
Účel |
| ip dhcp-relay snooping db-file jméno | Konfiguruje a file název pro zálohu vazby rozhraní. |
| žádná ip dhcp-relay snooping db-file | Zruší a file název pro zálohu vazby rozhraní. |
Konfigurace intervalu pro kontrolu zálohování vazby rozhraní
Vazba MAC-to-IP na rozhraní se dynamicky mění. Proto je třeba zkontrolovat, zda se vazebný vztah po určitém intervalu aktualizuje. Pokud se vazebný vztah aktualizuje, je třeba jej znovu zálohovat. Výchozí interval je 30 minut
|
Příkaz |
Účel |
| ip dhcp-relay snooping psát č | Konfiguruje interval pro kontrolu zálohy vazby rozhraní. |
| žádné ip dhcp-relay snooping psát | Obnoví interval kontroly zálohování vazby rozhraní na výchozí nastavení. |
Manuální konfigurace vazby rozhraní
Pokud hostitel nezíská adresu přes DHCP, můžete přidat položku vazby na rozhraní přepínače a umožnit tak hostiteli přístup k síti. Můžete spustit žádnou vazbu zdroje IP MAC IP a odstranit položky z odpovídajícího seznamu vazeb. Všimněte si, že ručně konfigurované položky vazby mají vyšší prioritu než dynamicky konfigurované položky vazby. Pokud ručně konfigurovaná položka vazby a dynamicky konfigurovaná položka vazby mají stejnou adresu MAC, ručně konfigurovaná položka aktualizuje dynamicky konfigurovanou. Položka vazby rozhraní přebírá MAC adresu jako jedinečný index. Spusťte následující příkazy v režimu globální konfigurace.
|
Příkaz |
Účel |
| vazba zdroje ip MAC IP rozhraní jméno | Ruční konfigurace vazby rozhraní. |
| žádná vazba zdroje IP MAC IP | Zruší položku vazby rozhraní. |
L2 Switch Forwarding DHCP Packets
Následující příkaz lze použít k předání paketů DHCP určenému serveru DHCP, aby se uskutečnil přenos DHCP. Negativní forma tohoto příkazu může být použita k vypnutí DHCP relay.
Poznámka: Tento příkaz lze použít pouze k povolení přenosu DHCP na přepínačích L2, zatímco na přepínačích L3 je přenos DHCP realizován serverem DHCP. Spusťte následující příkazy v režimu globální konfigurace
|
Příkaz |
Účel |
| ip dhcp-relay agent | Povolí přenos DHCP. |
| ip dhcp-relé pomocná-adresa adresa vlan vlan-id | Konfiguruje cílovou adresu a VLAN přenosu. |
Monitorování a údržba DHCP-Snooping
Spusťte následující příkazy v režimu EXEC
|
Příkaz |
Účel |
| zobrazit ip dhcp-relay snooping | Zobrazuje informace o konfiguraci DHCP-snooping. |
| zobrazit vazbu ip dhcp-relay snooping | Zobrazuje položky efektivní vazby adresy na rozhraní. |
| show ip dhcp-relay snooping binding all | Zobrazí všechny položky vazby, které jsou generovány sledováním DHCP. |
| [ žádný ] ladění ip dhcp-relé [ šmírování | vazba |
událost ] |
Povolí nebo zakáže přepínač snoopingu DHCP relay. |
Níže jsou uvedeny informace o konfiguraci snoopingu DHCP:
switch#show ip dhcp-relay snooping ip dhcp-relay snooping vlan 3 ip arp inspekce vlan 3 DHCP Snooping trust interface: FastEthernet0/1 ARP Inspect interface: FastEthernet0/11 switch#show ip dhcp-relay IP Address snooping time hardwarová vazba Typ rozhraní VLAN 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 Níže jsou uvedeny všechny informace o závaznosti přepínače snooping dhcp-relay#show ip dhcp-relay snooping zbývající vazba vše Hardwarová adresa IP adresa Typ rozhraní VLAN 00-e0-0f-32-1c-59 192.2.2.1 nekonečný MANUÁL 1 FastEthernet0/2 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 Následující informace -šmírování relé. switch#debug ip DHCP-snooping packet DHCPR: příjem l2 paketu z vlan 3, diID: 3 DHCPR: DHCP paket len 277 DHCPR: přidání vazby na rozhraní FastEthernet0/3 DHCPR: odeslání paketu pokračování DHCPR: příjem l2 paketu z vlan 3, diID : 1 DHCPR: DHCP paket len 300 DHCPR: odeslat paket pokračovat DHCPR: přijmout l2 paket z vlan 3, diID: 3 DHCPR: DHCP paket len 289 DHCPR: odeslat paket pokračovat DHCPR: přijmout l2 paket z vlan 3, diID: 1 DHCPR: Délka paketu DHCP 300 DHCPR: aktualizace vazby na rozhraní FastEthernet0/3 DHCPR: IP adresa: 192.2.2.101, doba pronájmu 86400 sekund DHCPR: odeslání paketu pokračovat
Exampsoubor konfigurace DHCP-Snooping
Topologie sítě je znázorněna na obrázku 1.
- Povolte DHCP snooping ve VLAN 1, která připojuje soukromou síť A. Switch_config# ip dhcp-relay snooping Switch_config#ip dhcp-relay snooping vlan 1
- Povolte DHCP snooping ve VLAN 2, která připojuje soukromou síť B. Switch_config# ip dhcp-relay snooping Switch_config# ip dhcp-relay snooping vlan 2
- Nastavuje rozhraní, které připojuje server DHCP k rozhraní důvěryhodnému DHCP. Switch_config_f0/1# dhcp snooping trust
Dokumenty / zdroje
 |
Konfigurace DHCP-Snooping FS S5500 [pdfUživatelská příručka Konfigurace S5500 DHCP-Snooping, Konfigurace DHCP-Snooping, Konfigurace Snooping, 48T8SP |
