پیکربندی DHCP Snooping در سوئیچ سیسکو

DHCP Snooping چیست و چه کاربردی دارد؟
یکی از مشکلاتی که ممکن است در شبکه به وجود بیاید وجود یک سرور DHCP غیر مجاز (Rouge DHCP Server) است. این سرور ممکن است سهوا و یا عمدا شروع به سرویس دهی کند. سرور DHCP غیر مجاز میتواند باعث شود که کاربران از محدودهای غیر از محدوده مورد نظر شما آدرس دریافت کنند و باعث اختلال در سرویس کاربران شود. یا در حالت بدتر ممکن است یک attacker از آن برای حملات Man In The Middle استفاده کند.
برای جلوگیری از فعالیت سرور DHCP غیر مجاز میتوان از ویژگی DHCP snooping موجود در سوئیچهای سیسکو استفاده کرد. با فعال کردن DHCP snooping پیامهای مربوط به سرویس DHCP که از سمت هر سرور DHCP ارسال شود (پیام Offer) توسط سوئیچ بلاک میشوند مگر اینکه پورت متصل به آن سرور به عنوان trusted پیکربندی شده باشد.
قبلا در مطلبی تحت عنوان “پیکربندی DHCP Server در روتر میکروتیک” درباره DHCP Server و نحوه پیکربندی آن در روتر میکروتیک صحبت کردیم.
همانطور که در شکل زیر مشاهده میکنید پورت متصل به Original Server به عنوان trusted تعریف شده است. این سرور در صورت دریافت پیام DHCP Discover از سمت کلاینتها امکان ارسال پیام DHCP Offer به آنها را دارد.
پورت متصل به Fake Server به عنوان trusted تعریف نشده است بنابراین یک پورت Untrusted به حساب میآید. سوئیچ در صورتی که پیام DHCP Offer از روی این پورت دریافت کند آن را drop میکند.
DHCP snooping
پیکربندی DHCP Snooping
برای پیکربندی dhcp snooping به صورت زیر عمل میکنیم:
SWITCH-FLOOR1(config)#ip dhcp snooping SWITCH-FLOOR1(config)#ip dhcp snooping vlan 12-13 SWITCH-FLOOR1(config)#interface gigabitEthernet 1/0/1 SWITCH-FLOOR1(config-if)#ip dhcp snooping trust
در خط اول dhcp snooping را فعال کردهایم.
در خط دوم مشخص کرده ایم که میخواهیم dhcp snooping برای vlanهای شماره 12 و 13 فعال باشد.
در خط 4 و 5 پورت gigabitEthernet 1/0/1 را به عنوان پورت trusted (متصل به DHCP Server مد نظر ما) معرفی کردهایم.
بررسی درستی تنظیمات
برای مشاهده فعال یا غیر فعال بودن DHCP Snooping و سایر تنظیمات آن میتوان از فرمان زیر استفاده کرد.
SWITCH-FLOOR1#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 12-13,21-22,101 DHCP snooping is operational on following VLANs: 12-13,21-22,101 DHCP snooping is configured on the following L3 Interfaces: Insertion of option 82 is enabled circuit-id default format: vlan-mod-port remote-id: 34a8.4e38.3680 (MAC) Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Allow option Rate limit (pps) ----------------------- ------- ------------ ---------------- GigabitEthernet1/0/1 yes yes unlimited Custom circuit-ids:
در صورتی که بعد از فعال کردن DHCP Snooping کلاینتی از DHCP Server آدرس دریافت کند، توسط فرمان زیر میتوان این امر را مشاهده کرد.
SWITCH-FLOOR1#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- C0:74:AD:04:75:3A 192.168.13.21 36216 dhcp-snooping 13 GigabitEthernet1/0/4 C0:74:AD:05:76:BE 192.168.13.37 35827 dhcp-snooping 13 GigabitEthernet1/0/11 C0:74:AD:04:77:1B 192.168.13.44 35827 dhcp-snooping 13 GigabitEthernet1/0/6 Total number of bindings: 3
از فرمان زیر میتوان برای مشاهده اینکه آیا در شبکه DHCP Server غیر مجاز وجود دارد یا خیر استفاه کرد.
SWITCH-FLOOR1#sh ip dhcp snooping statistics detail Packets Processed by DHCP Snooping = 22 Packets Dropped Because IDB not known = 0 Queue full = 0 Interface is in errdisabled = 0 Rate limit exceeded = 0 Received on untrusted ports = 0 Nonzero giaddr = 0 Source mac not equal to chaddr = 0 No binding entry = 0 Insertion of opt82 fail = 0 Unknown packet = 0 Interface Down = 0 Unknown output interface = 1 Misdirected Packets = 1 Packets with Invalid Size = 0 Packets with Invalid Option = 0
درباره علیرضا کریمی
من علیرضا کریمی هستم و تقریبا 15 سالی هست که توی فیلد شبکههای کامپیوتری کار میکنم.
نوشته های بیشتر از علیرضا کریمی