Switch di serie DHCP Snooping
Istruzioni di configurazione
Modelli: S3150-8T2FP
S3260-8T2FP
S3260-16T4FP
S3400-24T4FP
S3400-48T4SP
Configurazione snooping DHCP
1.1 Compiti di configurazione IGMP-Snooping
DHCP-Snooping serve a impedire al server DHCP falso di fornire il servizio DHCP giudicando i pacchetti DHCP, mantenendo la relazione vincolante tra indirizzo MAC e indirizzo IP. Lo switch L2 può eseguire la funzione DAI e la funzione di protezione della sorgente IP in base alla relazione vincolante tra l'indirizzo MAC e l'indirizzo IP. Lo snooping DHCP serve principalmente a monitorare i pacchetti DHCP e mantenere dinamicamente l'elenco di binding MAC-IP. Lo switch L2 filtra i pacchetti, che non soddisfano la relazione di associazione MAC-IP, per prevenire l'attacco alla rete da parte di utenti illegali.
- Abilitazione/Disabilitazione DHCP-Snooping
- Abilitazione dello snooping DHCP in una VLAN
- Abilitazione dell'anti-attacco DHCP in una VLAN.
- Impostazione di un'interfaccia su un'interfaccia di attendibilità DHCP
- Abilitazione/disabilitazione della funzione di aggiornamento rapido della tabella di binding
- Abilitazione DAI in una VLAN
- Impostazione di un'interfaccia su un'interfaccia ARP-Trusting
- Abilitazione del monitoraggio dell'indirizzo IP di origine in una VLAN
- Impostazione di un'interfaccia su quella attendibile dal monitoraggio dell'indirizzo di origine IP
- Impostazione dell'opzione DHCP-Snooping 82
- Impostazione della politica dei pacchetti DHCP-Snooping Option82
- Impostazione del server TFTP per il backup del binding dell'interfaccia
- Impostazione di un File Nome per il backup del binding dell'interfaccia
- Impostazione dell'intervallo per il controllo del backup del binding dell'interfaccia
- Impostazione manuale dell'associazione dell'interfaccia
- Monitoraggio e mantenimento dello snooping DHCP
- Example di Configurazione snooping DHCP
1.1.1 Abilitazione/disabilitazione dello snooping DHCP
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Scopo |
| ip dhcp-relè snooping | Abilita lo snooping DHCP. |
| nessun ip dhcp-relè snooping | Riprende le impostazioni predefinite. |
Questo comando viene utilizzato per abilitare lo snooping DHCP nella modalità di configurazione globale. Dopo l'esecuzione di questo comando, lo switch deve monitorare tutti i pacchetti DHCP e formare la relazione di associazione corrispondente.
Nota:
Se il client ottiene l'indirizzo di uno switch prima dell'esecuzione di questo comando, lo switch non può aggiungere la relazione di binding corrispondente.
1.1.2 Abilitazione dello snooping DHCP in una VLAN
Se lo snooping DHCP è abilitato in una VLAN, i pacchetti DHCP ricevuti da tutte le porte fisiche non attendibili in una VLAN verranno controllati legalmente. I pacchetti di risposta DHCP ricevuti da porte fisiche non attendibili in una VLAN verranno quindi eliminati, impedendo al server DHCP falso o configurato in modo errato di fornire servizi di distribuzione degli indirizzi. Per il pacchetto di richiesta DHCP da porte non attendibili, se il campo dell'indirizzo hardware nel pacchetto di richiesta DHCP non corrisponde all'indirizzo MAC di questo pacchetto, il pacchetto di richiesta DHCP viene quindi considerato un pacchetto falso che viene utilizzato come pacchetto di attacco per DHCP DOS e poi l'interruttore lo lascerà cadere.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Scopo |
| ip snooping DHCP-relay vlan vlan_id | Abilita lo snooping DHCP in una VLAN. |
| nessun ip dhcp-relay snooping vlan vlan_id | Disabilita lo snooping DHCP in una VLAN. |
1.1.3 Abilitazione dell'antiattacco DHCP in una VLAN.
Per abilitare la prevenzione degli attacchi in una VLAN, è necessario configurare il numero massimo consentito di client DHCP in una VLAN specifica e seguire il principio del "primo arrivato, primo servito". Quando il numero di utenti nella VLAN specifica raggiunge il numero massimo, i nuovi client non possono essere distribuiti.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Scopo |
| ip dhcp-relay snooping vlan vlan_id numero max-client | Abilita l'anti-attacco DHCP in una VLAN. |
| nessun ip dhcp-relay snooping vlan vlan_id max-client | Disabilita l'anti-attacco DHCP in una VLAN. |
1.1.4 Impostazione di un'interfaccia su un'interfaccia di attendibilità DHCP
Se un'interfaccia è impostata per essere un'interfaccia DHCP-trusting, i pacchetti DHCP ricevuti da questa interfaccia non verranno controllati.
Eseguire i seguenti comandi nella modalità di configurazione dell'interfaccia fisica.
| Comando | Operazione |
| fiducia ficcanaso di DHCP | Impostazione di un'interfaccia su un'interfaccia di attendibilità DHCP |
| nessuna fiducia ficcanaso di DHCP | Riprende un'interfaccia verso un'interfaccia non attendibile DHCP. |
L'interfaccia è un'interfaccia non attendibile per impostazione predefinita.
1.1.5 Abilitazione/disabilitazione della funzione di aggiornamento rapido della tabella di binding
Questa funzione è disabilitata per impostazione predefinita. Quando questa funzione è disabilitata e una porta è stata associata al client A, la richiesta DHCP dello stesso indirizzo MAC su altre porte verrà considerata come un falso attacco MAC anche se il client A è offline.
Quando questa funzione è abilitata, il caso sopra descritto non si verificherà.
Si consiglia di utilizzare questa funzione nel caso in cui un client cambi frequentemente il suo lease di porta e indirizzo, distribuito dal server DHCP, non può essere modificato per un breve periodo di tempo.
| Comando | Operazione |
| ip DHCP-relay snooping aggiornamento rapido-bind | Abilita la funzione di aggiornamento rapido della tabella di binding. |
| nessun ip DHCP-relay snooping aggiornamento rapido-bind | Disabilita la funzione di aggiornamento rapido della tabella di binding. |
1.1.6 Abilitazione DAI in una VLAN
Quando il monitoraggio ARP dinamico viene condotto in tutte le porte fisiche di una VLAN, un pacchetto ARP ricevuto verrà rifiutato se l'indirizzo MAC di origine e l'indirizzo IP di origine di questo pacchetto non corrispondono alla relazione di binding MAC-IP configurata. La relazione di associazione su un'interfaccia può essere vincolata dinamicamente da DHCP o configurata manualmente. Se nessun indirizzo MAC è associato a indirizzi IP su un'interfaccia fisica, lo switch rifiuta l'inoltro di tutti i pacchetti ARP.
| Comando | Operazione |
| ip arp ispezione vlan vlanid | Abilita il monitoraggio ARP dinamico su tutte le porte non attendibili in una VLAN. |
| nessuna ispezione ip arp vlan vlanid | Disabilita il monitoraggio ARP dinamico su tutte le porte non attendibili in una VLAN. |
1.1.7 Impostazione di un'interfaccia su un'interfaccia ARP-Trusting
Il monitoraggio ARP non è abilitato su tali interfacce attendibili. Le interfacce sono diffidate per impostazione predefinita.
Eseguire i seguenti comandi nella modalità di configurazione dell'interfaccia.
| Comando | Operazione |
| fiducia di ispezione arp | Impostazione di un'interfaccia su un'interfaccia ARP-Trusting. |
| nessun trust di ispezione arp | Riprende un'interfaccia verso un'interfaccia che diffida di ARP. |
1.1.8 Abilitazione del monitoraggio dell'indirizzo IP di origine in una VLAN
Dopo aver abilitato il monitoraggio dell'indirizzo IP di origine in una VLAN, i pacchetti IP ricevuti da tutte le porte fisiche nella VLAN verranno rifiutati se i relativi indirizzi MAC e indirizzi IP di origine non corrispondono alla relazione di associazione MAC-IP configurata. La relazione di associazione su un'interfaccia può essere vincolata dinamicamente da DHCP o configurata manualmente. Se nessun indirizzo MAC è associato a indirizzi IP su un'interfaccia fisica, lo switch rifiuta l'inoltro di tutti i pacchetti IP ricevuti dall'interfaccia fisica.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Operazione |
| ip verifica sorgente vlan vlanid | Abilita il controllo dell'indirizzo IP di origine su tutte le interfacce non attendibili in una VLAN. |
| nessun ip verifica l'origine vlan vlanid | Disabilita il controllo dell'indirizzo IP di origine su tutte le interfacce in una VLAN. |
Nota:
Se il pacchetto DHCP (anche il pacchetto IP) viene ricevuto, verrà inoltrato perché è configurato lo snooping globale.
1.1.9 Impostazione di un'interfaccia su quella attendibile dal monitoraggio dell'indirizzo IP di origine
La funzione di rilevamento dell'indirizzo di origine non sarà abilitata per l'interfaccia di attendibilità dell'indirizzo di origine IP.
Eseguire i seguenti comandi nella modalità di configurazione dell'interfaccia.
| Comando | Operazione |
| ip-source fiducia | Imposta un'interfaccia su quella con un indirizzo IP di origine attendibile. |
| nessuna fiducia nella fonte ip | Riprende un'interfaccia con quella con un indirizzo IP di origine non attendibile. |
1.1.10 Impostazione dell'opzione DHCP-Snooping 82
L'opzione 82 porta le informazioni locali a un server e aiuta il server a distribuire gli indirizzi ai client.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Operazione |
| opzione per le informazioni sullo snooping del relè DHCP ip | Imposta che option82, che è nel formato predefinito, viene trasportato quando lo snooping DHCP inoltra i pacchetti DHCP. |
| nessuna opzione ip dhcp-relay snooping information | Imposta che l'opzione 82 non venga trasportata quando lo snooping DHCP inoltra i pacchetti DHCP. |
Per specificare il formato dell'opzione82, eseguire le seguenti impostazioni in modalità globale.
| Comando | Operazione |
| ip dhcp-relay informazioni sullo snooping formato opzione {snmp-ifindex/manual/hn-type [host]} | Imposta il formato dell'opzione82 trasportato dai pacchetti DHCP quando vengono inoltrati da DHCP-Snooping. |
| no ip dhcp-relay snooping information opzione formato {snmp-ifindex/manual/hn-type [host]} | Imposta che l'opzione 82 non venga trasportata quando lo snooping DHCP inoltra i pacchetti DHCP. |
Se è impostata una modalità manuale per accedere all'opzione 82, eseguire le seguenti configurazioni in modalità interfaccia per impostare l'id del circuito:
| Comando | Operazione |
| dhcp snooping informazioni stringa ID circuito [STRING] | Se l'opzione82 è impostata per essere nel formato manuale, è necessario impostare lo snooping DHCP per inoltrare i pacchetti DHCP con rilevamento dell'opzione82, il cui contenuto è la stringa di caratteri scritta da STRINGA. Questo comando è impostato sulla porta che connette il client. |
| dhcp snooping informazioni id circuito esadecimale [xx-xx-xx-xx-xx-xx] | Se l'opzione82 è impostata per essere nel formato manuale, è necessario impostare lo snooping DHCP per inoltrare i pacchetti DHCP con rilevamento dell'opzione82, il cui contenuto è il sistema esadecimale. Questo comando è impostato sulla porta che connette il client. |
| no dhcp snooping informazioni circuito-id | Elimina l'id-circuito option82 configurato manualmente. |
Se è impostata una modalità manuale per accedere all'opzione 82, eseguire le seguenti configurazioni in modalità interfaccia per impostare l'ID remoto:
| Comando | Operazione |
| dhcp snooping informazioni stringa ID remoto [STRING] | Se l'opzione82 è impostata per essere nel formato manuale, è necessario impostare lo snooping DHCP per inoltrare i pacchetti DHCP con rilevamento dell'opzione82, il cui contenuto è la stringa di caratteri scritta da STRINGA. Questo comando è impostato sulla porta che connette il client. |
| dhcp snooping informazioni remote-id esadecimale [xx-xx-xx-xx-xx-xx] | Se l'opzione82 è impostata per essere nel formato manuale, è necessario impostare lo snooping DHCP per inoltrare i pacchetti DHCP con rilevamento dell'opzione82, il cui contenuto è il sistema esadecimale. Questo comando è impostato sulla porta che connette il client. |
| no dhcp snooping informazioni remote-id | Elimina l'id-remoto option82 configurato manualmente. |
Se è impostata una modalità manuale per accedere all'opzione 82, eseguire le seguenti configurazioni in modalità interfaccia per impostare le specifiche del fornitore:
| Comando | Operazione |
| dhcp snooping informazioni stringa specifica del fornitore STRING | Se l'opzione82 è impostata per essere nel formato manuale, è necessario impostare lo snooping DHCP per inoltrare i pacchetti DHCP con rilevamento dell'opzione82, il cui contenuto è la stringa di caratteri scritta da STRINGA. Questo comando è impostato sulla porta che connette il client. |
| dhcp snooping informazioni specifiche del fornitore esadecimale [xx-xx-xx-xx- xx-xx] | Se l'opzione82 è impostata per essere nel formato manuale, è necessario impostare lo snooping DHCP per inoltrare i pacchetti DHCP con rilevamento dell'opzione82, il cui contenuto è il sistema esadecimale. Questo comando è impostato sulla porta che connette il client. |
| no dhcp snooping informazioni specifiche del fornitore | Elimina l'opzione82 specifica del fornitore configurata manualmente. |
1.1.11 Impostazione della politica dei pacchetti DHCP-Snooping Option 82
È possibile impostare la politica per i pacchetti di richiesta DHCP, che portano con l'opzione 82, dopo che questi pacchetti sono stati ricevuti. Le politiche includono le seguenti:
Criterio "Drop": eseguire il seguente comando in modalità porta per eliminare i pacchetti di richiesta con option82.
| Comando | Operazione |
| drop delle informazioni di snooping dhcp | Elimina i pacchetti di richiesta che contengono l'opzione82. |
Criterio "Aggiungi": eseguire il seguente comando in modalità porta per aggiungere i pacchetti di richiesta con l'opzione82.
| Comando | Operazione |
| aggiunta di informazioni sullo snooping dhcp | Abilita la funzione per aggiungere option82 su una porta. |
| dhcp snooping information append first-subop9-param {hex xx-xx-xx-xx-xx-xx | vlanip | Nome host} | Sta per il primo parametro trasportato da option82 specifico del fornitore (suboption9). |
| Le informazioni sullo snooping DHCP aggiungono second-subop9-param {esadecimale xx-xx-xx-xx-xx-xx | vlanip | Nome host} |
Sta per il secondo parametro trasportato da option82 specifico del fornitore (suboption9). |
1.1.12 Impostazione del server TFTP per il backup del binding dell'interfaccia
Dopo il riavvio della configurazione dello switch, l'associazione dell'interfaccia configurata in precedenza andrà persa. In questo caso, non esiste alcuna relazione vincolante su questa interfaccia. Dopo aver abilitato il monitoraggio dell'indirizzo IP di origine, lo switch ha rifiutato l'inoltro di tutti i pacchetti IP. Dopo che il server TFTP è stato configurato per il backup dell'associazione di interfaccia, verrà eseguito il backup della relazione di associazione sul server tramite il protocollo TFTP. Dopo il riavvio, lo switch scarica automaticamente l'elenco dei collegamenti dal server TFTP, garantendo il normale funzionamento della rete.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Operazione |
| ip dhcp-relay snooping database-agent indirizzo IP | Configura l'indirizzo IP del server TFTP che deve eseguire il backup del binding dell'interfaccia. |
| no ip dhcp-relay snooping database-agent indirizzo IP | Annulla il server TFTP per il backup del binding dell'interfaccia. |
1.1.13 Impostazione a File Nome per il backup del binding dell'interfaccia
Quando si esegue il backup della relazione di associazione dell'interfaccia, il corrispondente file il nome verrà salvato sul server TFTP. In questo modo, switch diversi possono eseguire il backup delle proprie relazioni di collegamento dell'interfaccia sullo stesso server TFTP.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Operazione |
| ip dhcp-relè snooping db-file nome [tempoamp] | Configura un file nome per il backup del binding dell'interfaccia. |
| no ip dhcp-relè snooping db-file | Annulla un file nome per il backup del binding dell'interfaccia. |
1.1.14 Impostazione dell'intervallo per il controllo del backup del binding dell'interfaccia
La relazione di associazione MAC-to-IP su un'interfaccia cambia in modo dinamico. Pertanto, è necessario verificare se la relazione di associazione si aggiorna dopo un determinato intervallo. Se la relazione di associazione viene aggiornata, è necessario eseguirne nuovamente il backup. L'intervallo di tempo predefinito è 30 minuti.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Operazione |
| ip dhcp-relay snooping scrivere-immediatamente | Configura il backup immediato di DHCP Snooping quando le informazioni sull'associazione cambiano. no ip dhcp-relay snooping {tempo di scrittura | write-immediately} Riprende l'intervallo di verifica dell'associazione del backup dell'interfaccia alle impostazioni predefinite. |
| ip dhcp-relay snooping tempo di scrittura num | Configura l'intervallo per il controllo del backup del binding dell'interfaccia. L'unità è min. |
| nessun ip dhcp-relay snooping in fase di scrittura | Riprende l'intervallo di verifica dell'associazione del backup dell'interfaccia alle impostazioni predefinite. |
1.1.15 Impostazione manuale dell'associazione dell'interfaccia
Se un host non ottiene l'indirizzo tramite DHCP, è possibile aggiungere l'elemento di associazione su un'interfaccia di uno switch per consentire all'host di accedere alla rete. Non è possibile eseguire l'IP MAC di associazione della sorgente IP per eliminare gli elementi dall'elenco di associazione corrispondente.
Si noti che gli elementi di associazione configurati manualmente hanno una priorità maggiore rispetto agli elementi di associazione configurati dinamicamente. Se l'elemento di associazione configurato manualmente e l'elemento di associazione configurato dinamicamente hanno lo stesso indirizzo MAC, quello configurato manualmente aggiorna quello configurato dinamicamente. L'elemento di binding dell'interfaccia accetta l'indirizzo MAC come indice univoco.
Eseguire i seguenti comandi in modalità di configurazione globale.
| Comando | Operazione |
| sorgente ip associazione nome interfaccia IP MAC [vlan vlan-id] | Configura l'associazione dell'interfaccia manualmente |
| nessuna sorgente ip vincolante MAC IP vlan vlan-id | Annulla un elemento di associazione dell'interfaccia. |
1.1.16 Monitoraggio e mantenimento dello snooping DHCP
Esegui i seguenti comandi in modalità EXEC:
| Comando | Operazione |
| mostra lo snooping ip dhcp-relè | Visualizza le informazioni sulla configurazione dello snooping DHCP. |
| mostra ip dhcp-relè snooping binding | Visualizza gli elementi di associazione degli indirizzi effettivi su un'interfaccia. |
| mostra ip dhcp-relè snooping vincolante tutto | Visualizza tutti gli elementi di associazione generati dallo snooping DHCP. |
| [no] debug ip dhcp-relay [snooping | vincolante | evento | Tutto] | Abilita o disabilita la commutazione dell'associazione o dell'evento di snooping dell'inoltro DHCP. |
Quanto segue mostra le informazioni sulla configurazione dello snooping DHCP.
switch#mostra snooping ip DHCP-relay
ip DHCP-relay snooping vlan 3
ispezione ip arp vlan 3
Interfaccia di fiducia Snooping DHCP:
GigaEthernet0/1
Interfaccia di ispezione ARP:
GigaEthernet0/11
Di seguito vengono mostrate le informazioni sull'associazione sullo snooping dhcp-relay:
| switch#mostra associazione snooping ip DHCP-relay | |||||
| Indirizzo hardware | Indirizzo IP | tempo residuo Digitare | VLAN | interfaccia | |
| 00-e0-0f-26-23-89 | 192.2.2.101 | 86400 | DHCP_SN | 3 | GigaEthernet0/3 |
Di seguito vengono mostrate le informazioni sull'associazione sullo snooping dhcp-relay:
| switch#show ip dhcp-relè snooping vincolante tutto | |||||
| Indirizzo hardware | Indirizzo IP | tempo residuo Digitare | VLAN | interfaccia | |
| 00-e0-0f-32-1c-59 | 192.2.2.1 | infinito | MANUALE | 1 | GigaEthernet0/2 |
| 00-e0-0f-26-23-89 | 192.2.2.101 | 86400 | DHCP_SN | 3 | GigaEthernet0/3 |
Di seguito vengono mostrate le informazioni sullo snooping del relè DHCP.
switch#debug ip dhcp-relay tutto
DHCPR: riceve il pacchetto l2 da vlan 3, diID: 3
DHCPR: pacchetto DHCP len 277
DHCPR: aggiunta binding sull'interfaccia GigaEthernet0/3
DHCPR: continua l'invio del pacchetto
DHCPR: riceve il pacchetto l2 da vlan 3, diID: 1
DHCPR: pacchetto DHCP len 300
DHCPR: continua l'invio del pacchetto
DHCPR: riceve il pacchetto l2 da vlan 3, diID: 3
DHCPR: pacchetto DHCP len 289
DHCPR: continua l'invio del pacchetto
DHCPR: riceve il pacchetto l2 da vlan 3, diID: 1
DHCPR: pacchetto DHCP len 300
DHCPR: update binding sull'interfaccia GigaEthernet0/3
DHCPR: indirizzo IP: 192.2.2.101, durata lease 86400 secondi
DHCPR: continua l'invio del pacchetto
1.1.17 Esample di Configurazione snooping DHCP
La topologia di rete è mostrata nella figura 1.
Configurazione dell'interruttore
Abilita lo snooping DHCP nella VLAN 1 che connette la rete privata A.
Switch_config#ip snooping DHCP-relay
Switch_config#ip DHCP-relay snooping vlan 1
Abilita lo snooping DHCP nella VLAN 2 che connette la rete privata B.
Switch_config#ip snooping DHCP-relay
Switch_config#ip DHCP-relay snooping vlan 2
Imposta l'interfaccia che collega il server DHCP a un'interfaccia attendibile da DHCP.
Switch_config_g0/1#attendibilità snooping DHCP
Configurare manualmente l'istanza option82
interfaccia GigaEthernet0/1
dhcp snooping informazioni circuit-id hex 00-01-00-05
dhcp snooping informazioni remote-id hex 00-e0-0f-13-1a-50
dhcp snooping information vendor-specific hex 00-00-0c-f8-0d-01-0b-78-69-61-6f-6d-69-6e-37-31-31-34
aggiunta di informazioni sullo snooping dhcp
informazioni sullo snooping DHCP aggiungi first-subop9-param hex 61-62-63-61-62-63
!
interfaccia GigaEthernet0/2
fiducia ficcanaso di DHCP
fiducia di ispezione arp
ip-source fiducia
ip dhcp-relè snooping
ip DHCP-relè snooping vlan 1-100
ispezione ip arp vlan 1
verifica ip sorgente vlan 1
ip dhcp-relay snooping informazioni opzione formato manuale
Documenti / Risorse
 |
Switch serie FS PoE+ Configurazione snooping DHCP [pdf] Istruzioni Switch serie PoE Configurazione DHCP Snooping, Serie PoE, Configurazione DHCP Snooping serie PoE, Switch Configurazione DHCP Snooping, Configurazione DHCP Snooping, Switch Configurazione DHCP Snooping, Configurazione Snooping, S3150-8T2FP, S3260-8T2FP, S3260-16T4FP, S3400-24T4FP, S3400-48T4SP |
