Configurazione Snooping DHCP FS S5500
Configurazione snooping DHCP
Attività di configurazione di snooping DHCP
DHCP-Snooping serve a impedire al server DHCP falso di fornire il servizio DHCP giudicando i pacchetti DHCP, mantenendo la relazione vincolante tra indirizzo MAC e indirizzo IP. Lo switch L2 può eseguire la funzione DAI e la funzione di protezione della sorgente IP in base alla relazione vincolante tra l'indirizzo MAC e l'indirizzo IP. Lo snooping DHCP serve principalmente a monitorare i pacchetti DHCP e mantenere dinamicamente l'elenco di binding MAC-IP. Lo switch L2 filtra i pacchetti, che non soddisfano la relazione di associazione MAC-IP, per prevenire l'attacco alla rete da parte di utenti illegali.
- Abilitazione/disabilitazione dello snooping DHCP
- Abilitazione dello snooping DHCP in una VLAN
- Impostazione di un'interfaccia su un'interfaccia DHCP-trusting
- Abilitazione DAI in una VLAN
- Impostazione di un'interfaccia su un'interfaccia affidabile ARP
- Abilitazione del monitoraggio dell'indirizzo IP di origine in una VLAN
- Impostazione di un'interfaccia su quella considerata affidabile dal monitoraggio dell'indirizzo di origine IP
- Configurazione del server TFTP per il backup dell'associazione di snooping DHCP
- Configurazione a file nome per il backup del binding con snooping DHCP
- Configurazione di un intervallo per il backup del binding con snooping DHCP
- Configurazione o aggiunta manuale della relazione di associazione
- Monitoraggio e mantenimento dello snooping DHCP
- Example per la configurazione di snooping DHCP
Abilitazione/Disabilitazione DHCP-Snooping
Eseguire i seguenti comandi in modalità di configurazione globale.
|
Comando |
Scopo |
| ip dhcp-relè snooping | Abilita lo snooping DHCP. |
| nessun ip dhcp-relè snooping | Riprende le impostazioni predefinite. |
Questo comando viene utilizzato per abilitare lo snooping DHCP nella modalità di configurazione globale. Dopo l'esecuzione di questo comando, lo switch deve monitorare tutti i pacchetti DHCP e formare la relazione di associazione corrispondente.
Nota: se il client ottiene l'indirizzo di uno switch prima dell'esecuzione di questo comando, lo switch non può aggiungere la relazione di associazione corrispondente.
Abilitazione dello snooping DHCP in una VLAN
Se lo snooping DHCP è abilitato in una VLAN, i pacchetti DHCP ricevuti da tutte le porte fisiche non affidabili in una VLAN verranno legalmente controllati. I pacchetti di risposta DHCP ricevuti da porte fisiche non attendibili in una VLAN verranno quindi eliminati, impedendo al server DHCP falso o configurato in modo errato di fornire servizi di distribuzione degli indirizzi. Per il pacchetto di richiesta DHCP da porte non attendibili, se il campo dell'indirizzo hardware nel pacchetto di richiesta DHCP non corrisponde all'indirizzo MAC di questo pacchetto, il pacchetto di richiesta DHCP viene considerato un pacchetto falso che viene utilizzato come pacchetto di attacco per DHCP DOS e quindi l'interruttore lo farà cadere. Eseguire i seguenti comandi in modalità di configurazione globale.
|
Comando |
Scopo |
| Ip dhcp-relè snooping vlan vlan_id | Abilita lo snooping DHCP in una VLAN. |
| nessun ip dhcp-snooping vlan vlan_id | Disabilita lo snooping DHCP in una VLAN. |
Impostazione di un'interfaccia su un'interfaccia di attendibilità DHCP
Se un'interfaccia è impostata per essere un'interfaccia DHCP-trusting, i pacchetti DHCP ricevuti da questa interfaccia non verranno controllati.
Eseguire i seguenti comandi nella modalità di configurazione dell'interfaccia fisica.
|
Comando |
Scopo |
| fiducia ficcanaso di DHCP | Imposta un'interfaccia su un'interfaccia DHCP-trusting. |
| nessuna fiducia ficcanaso di DHCP | Riprende un'interfaccia verso un'interfaccia non attendibile DHCP. |
L'interfaccia è un'interfaccia non attendibile per impostazione predefinita.
Abilitazione DAI in una VLAN
Quando il monitoraggio ARP dinamico viene condotto in tutte le porte fisiche di una VLAN, un pacchetto ARP ricevuto verrà rifiutato se l'indirizzo MAC di origine e l'indirizzo IP di origine di questo pacchetto non corrispondono alla relazione di binding MAC-IP configurata. La relazione di associazione su un'interfaccia può essere vincolata dinamicamente da DHCP o configurata manualmente. Se nessun indirizzo MAC è associato a indirizzi IP su un'interfaccia fisica, lo switch rifiuta l'inoltro di tutti i pacchetti ARP.
|
Comando |
Scopo |
| ip arp ispezione vlan vlanid | Abilita il monitoraggio ARP dinamico su tutte le porte non attendibili in una VLAN. |
| nessuna ispezione ip arp vlan vlanid | Disabilita il monitoraggio ARP dinamico su tutte le porte non attendibili in una VLAN. |
Impostazione di un'interfaccia su un'interfaccia ARP-Trusting
Il monitoraggio ARP non è abilitato su quelle interfacce attendibili. Le interfacce sono quelle non affidabili per impostazione predefinita. Eseguire i seguenti comandi nella modalità di configurazione dell'interfaccia.
|
Comando |
Scopo |
| fiducia di ispezione arp | Imposta un'interfaccia su un'interfaccia affidabile ARP. |
| nessun trust di ispezione arp | Riprende un'interfaccia verso un'interfaccia che diffida di ARP. |
Abilitazione del monitoraggio dell'indirizzo IP di origine in una VLAN
Dopo aver abilitato il monitoraggio dell'indirizzo IP di origine in una VLAN, i pacchetti IP ricevuti da tutte le porte fisiche nella VLAN verranno rifiutati se i relativi indirizzi MAC e indirizzi IP di origine non corrispondono alla relazione di associazione MAC-IP configurata. La relazione di associazione su un'interfaccia può essere vincolata dinamicamente da DHCP o configurata manualmente. Se nessun indirizzo MAC è associato a indirizzi IP su un'interfaccia fisica, lo switch rifiuta l'inoltro di tutti i pacchetti IP ricevuti dall'interfaccia fisica. Eseguire i seguenti comandi in modalità di configurazione globale.
|
Comando |
Scopo |
| ip verifica sorgente vlan vlanid | Abilita il controllo dell'indirizzo IP di origine su tutte le interfacce non attendibili in una VLAN. |
| nessun IP verifica la fonte vlan vlanid | Disabilita il controllo dell'indirizzo IP di origine su tutte le interfacce in una VLAN. |
Impostazione di un'interfaccia su quella che è attendibile dal monitoraggio dell'indirizzo di origine IP
Il controllo dell'indirizzo di origine non è abilitato su un'interfaccia se l'interfaccia ha un indirizzo IP di origine attendibile. Eseguire i seguenti comandi nella modalità di configurazione dell'interfaccia.
|
Comando |
Scopo |
| ip-source fiducia | Imposta un'interfaccia su quella con un indirizzo IP di origine attendibile. |
| nessuna fiducia IP-source | Riprende un'interfaccia con quella con un indirizzo IP di origine non attendibile. |
Configurazione del server TFTP per il backup del binding dell'interfaccia
Dopo il riavvio della configurazione dello switch, l'associazione dell'interfaccia configurata in precedenza andrà persa. In questo caso, non esiste alcuna relazione vincolante su questa interfaccia. Dopo aver abilitato il monitoraggio dell'indirizzo IP di origine, lo switch ha rifiutato l'inoltro di tutti i pacchetti IP. Dopo che il server TFTP è stato configurato per il backup dell'associazione dell'interfaccia, verrà eseguito il backup della relazione di associazione sul server tramite il protocollo TFTP. Dopo il riavvio dello switch, lo switch scarica automaticamente l'elenco di binding dal server TFTP, garantendo il normale funzionamento della rete. Eseguire i seguenti comandi in modalità di configurazione globale.
|
Comando |
Scopo |
| ip dhcp-relè snooping database-agent indirizzo IP | Configura l'indirizzo IP del server TFTP che deve eseguire il backup del binding dell'interfaccia. |
| nessun ip dhcp-relè snooping database-agent | Annulla il server TFTP per il backup del binding dell'interfaccia. |
Configurazione a File Nome per il backup del binding dell'interfaccia
Quando si esegue il backup della relazione di associazione dell'interfaccia, il corrispondente fileil nome verrà salvato sul server TFTP. In questo modo, switch diversi possono eseguire il backup delle proprie relazioni di collegamento dell'interfaccia sullo stesso server TFTP.
Eseguire i seguenti comandi in modalità di configurazione globale
|
Comando |
Scopo |
| ip dhcp-relè snooping db-file nome | Configura un file nome per il backup del binding dell'interfaccia. |
| no ip dhcp-relè snooping db-file | Annulla un file nome per il backup del binding dell'interfaccia. |
Configurazione dell'intervallo per la verifica del backup del binding dell'interfaccia
La relazione di associazione MAC-IP su un'interfaccia cambia in modo dinamico. Pertanto, è necessario verificare se la relazione di associazione si aggiorna dopo un determinato intervallo. Se la relazione di associazione si aggiorna, è necessario eseguirne nuovamente il backup. L'intervallo predefinito è 30 minuti
|
Comando |
Scopo |
| ip dhcp-relè snooping scrittura numero | Configura l'intervallo per la verifica del backup del binding dell'interfaccia. |
| nessuna scrittura snooping ip dhcp-relè | Riprende l'intervallo di verifica dell'associazione del backup dell'interfaccia alle impostazioni predefinite. |
Configurazione manuale del binding dell'interfaccia
Se un host non ottiene l'indirizzo tramite DHCP, è possibile aggiungere l'elemento di associazione su un'interfaccia di uno switch per consentire all'host di accedere alla rete. Non è possibile eseguire l'IP MAC di associazione della sorgente IP per eliminare gli elementi dall'elenco di associazione corrispondente. Si noti che gli elementi di associazione configurati manualmente hanno una priorità maggiore rispetto agli elementi di associazione configurati dinamicamente. Se l'elemento di rilegatura configurato manualmente e l'elemento di rilegatura configurato dinamicamente hanno lo stesso indirizzo MAC, quello configurato manualmente aggiorna quello configurato dinamicamente. L'elemento di associazione dell'interfaccia accetta l'indirizzo MAC come indice univoco. Eseguire i seguenti comandi in modalità di configurazione globale.
|
Comando |
Scopo |
| associazione sorgente IP IP MAC interfaccia nome | Configura manualmente l'associazione dell'interfaccia. |
| nessun collegamento alla sorgente IP IP MAC | Annulla un elemento di associazione dell'interfaccia. |
L2 Switch Inoltro pacchetti DHCP
Il comando seguente può essere utilizzato per inoltrare i pacchetti DHCP al server DHCP designato per realizzare l'inoltro DHCP. La forma negativa di questo comando può essere utilizzata per arrestare l'inoltro DHCP.
Nota: Questo comando può essere utilizzato solo per abilitare l'inoltro DHCP sugli switch L2, mentre sugli switch L3, l'inoltro DHCP è realizzato dal server DHCP. Eseguire i seguenti comandi in modalità di configurazione globale
|
Comando |
Scopo |
| ip dhcp-relè agente | Abilita l'inoltro DHCP. |
| indirizzo ip dhcp-relè helper indirizzo VLAN (VLANa) vlan-id | Configura l'indirizzo di destinazione e la VLAN del relè. |
Monitoraggio e mantenimento dello snooping DHCP
Esegui i seguenti comandi in modalità EXEC
|
Comando |
Scopo |
| mostra lo snooping ip dhcp-relè | Visualizza le informazioni sulla configurazione dello snooping DHCP. |
| mostra ip dhcp-relè snooping binding | Visualizza gli elementi di associazione degli indirizzi effettivi su un'interfaccia. |
| mostra ip dhcp-relè snooping vincolante tutto | Visualizza tutti gli elementi di associazione generati dallo snooping DHCP. |
| [ NO ] eseguire il debug dell'ip dhcp-relè [ curiosare | vincolante |
evento ] |
Abilita o disabilita la commutazione dello snooping di inoltro DHCP. |
Di seguito vengono mostrate le informazioni sulla configurazione dello snooping DHCP:
switch#show ip dhcp-relay snooping ip dhcp-relay snooping vlan 3 ip arp inspection vlan 3 DHCP Snooping interfaccia attendibile: FastEthernet0/1 ARP Inspect interfaccia: FastEthernet0/11 switch#show ip dhcp-relay snooping binding indirizzo hardware indirizzo IP tempo residuo Tipo interfaccia VLAN 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 Quanto segue mostra tutte le informazioni di collegamento sullo snooping dhcp-relay switch#show ip dhcp-relay snooping vincolante tutto Indirizzo hardware Indirizzo IP Tempo residuo Tipo interfaccia VLAN 00-e0-0f-32-1c-59 192.2.2.1 infinito MANUALE 1 FastEthernet0/2 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 Di seguito sono riportate le informazioni relative a dhcp -snooping del relè. switch#debug ip Pacchetto snooping DHCP DHCPR: riceve il pacchetto l2 da vlan 3, diID: 3 DHCPR: pacchetto DHCP len 277 DHCPR: aggiunge binding sull'interfaccia FastEthernet0/3 DHCPR: invia il pacchetto continua DHCPR: riceve il pacchetto l2 da vlan 3, diID : 1 DHCPR: pacchetto DHCP len 300 DHCPR: invia il pacchetto continua DHCPR: riceve il pacchetto l2 da vlan 3, diID: 3 DHCPR: pacchetto DHCP len 289 DHCPR: invia il pacchetto continua DHCPR: riceve il pacchetto l2 da vlan 3, diID: 1 DHCPR: Pacchetto DHCP len 300 DHCPR: collegamento aggiornamento su interfaccia FastEthernet0/3 DHCPR: indirizzo IP: 192.2.2.101, tempo di locazione 86400 secondi DHCPR: invio pacchetto continua
Example di Configurazione snooping DHCP
La topologia di rete è mostrata nella figura 1.
- Abilita lo snooping DHCP nella VLAN 1 che connette la rete privata A. Switch_config# ip dhcp-relay snooping Switch_config#ip dhcp-relay snooping vlan 1
- Abilita lo snooping DHCP nella VLAN 2 che connette la rete privata B. Switch_config# ip dhcp-relay snooping Switch_config# ip dhcp-relay snooping vlan 2
- Imposta l'interfaccia che connette il server DHCP a un'interfaccia DHCP-trusting. Switch_config_f0/1# fiducia snooping DHCP
Documenti / Risorse
 |
Configurazione Snooping DHCP FS S5500 [pdf] Guida utente S5500 Configurazione snooping DHCP, Configurazione snooping DHCP, Configurazione snooping, 48T8SP |
