(K) Konfiguracja DHCP Snooping*
Konfiguracja DHCP Snooping
Określenie interfejsów zaufanych jak i nie zaufanych
Aby ochronić przełącznik przed fałszywymi serwerami DHCP czy hostami wysyłającymi setki zapytać „Discover”. Należy określić porty zaufane na których znajdują się legalne serwery oraz ograniczyć ilość zapytań DHCP jakie mogą być wysyłane z portów nie zaufanych.
Minimalna wielkość bazy „DHCP Binding Database” wynosi 8000 wpisów.
Konfiguracja globalna systemu IOS
(config)# [no] ip dhcp snooping
Wyłącza / Włącza globalną funkcjonalność DHCP Snooping na przełączniku.
(config)# ip dhcp snooping vlan vlan-ID
Włącza funkcjonalność DHCP Snooping dla konkretnej sieci VLAN (Funkcja domyślnie uznaje każdy interfejs przypisany do danej sieci VLAN, za niezaufany).
(config)# ip dhcp snooping database URL
Określa miejsce przetrzymywania bazy funkcji DHCP snooping.
(config)# ip dhcp snooping verify mac-address
Włącza opcjonalną weryfikację adresu MAC, sprawdzając czy źródłowy adres MAC hosta, odpowiada adresowi podanemu w wysłanym zapytaniu DHCP.
Konfiguracja interfejsów sieciowych
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# ip dhcp snooping trust
Informuje przełącznik, że na tym porcie może znajdować się serwer.
(config-if)# ip dhcp snooping limit rate 1-2048
Ogranicza ilość pakietów DHCP wysyłanych na sekundę. Po przekroczeniu tej liczby port jest blokowany (Przechodzi w stan „Error-Disable State”). W celu ponownego uruchomienia portu należy go wyłączyć a następnie ponownie włączyć komendami „shutdown” i „no shutdown” lub z korzystać z opcji opisanej w rozdziale „Przywracanie portów do pełnej funkcjonalności po wykryciu próby ataku”.
(config-if)# interface interfejsy
Wchodzi na interfejs, za którym nie powinien znajdować się serwer DHCP.
(config-if)# ip dhcp snooping limit rate 1-2048
Xxx
Opcjonalna konfiguracja funkcji DHCP Snooping
Konfiguracja opcji 82
(config)# [no] ip dhcp snooping information option
Wypełnia pole 82 w otrzymywanych zapytaniach „DHCP Discovery”.
(config)# [no] ip dhcp snooping information option allowed-untrusted
Zezwala na przetwarzanie zapytań „DHCP Discovery” zwierających wypełnione pole 82 (Odebranych na interfejsach niezaufanych).
W niektórych przypadkach włączona opcja 82 może blokować pakiety DHCP.
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# [no] ip dhcp snooping information option allowed-untrusted
Zezwala na przetwarzanie zapytań „DHCP Discovery” zwierających wypełnione pole 82 (Odebranych na interfejsach niezaufanych).
Konfiguracja funkcji IP guard
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# ip verify source [port-security]
Rozpoczyna weryfikację źródłowych adresów IP nadchodzących z danego interfejsu. Dodatkowa pod-komanda „port-security” rozszerza zakres weryfikacje o adresy MAC.
Konfiguracja bazy DHCP Binding
Statyczne poszerzanie lokalnej bazy DHCP Binding
(config)# ip source binding adres-MAC vlan VLAN-id adres-IP interface interfejs
Statycznie przypisuje adres MAC do adresu IP, kojarząc obydwa adresy z danym interfejsem sieciowym.
Dynamiczne przypisywanie adresów IP do adresów MAC jest możliwe tylko za pomocą funkcji DHCP Snooping.
Konfiguracja zewnętrznej bazy DHCP Snooping (DHCP Snooping Agent)
Po restarcie przełącznika sieciowego zawartość tablicy DHCP binding ulega usunięciu, aby temu zaradzić należy skonfigurować funkcję DHCP Snooping Agent.
(config)# ip dhcp snooping database tftp://adres-IP/droga/do/plik
Określa lokalizacje do przetrzymywania kopi bazy.
(config)# renew ip dhcp snooping data tftp://adres-IP/droga/do/plik
Przywraca zawartość bazy z kopi zapasowej.
Komendy SHOW
Komendy Show dotyczące funkcji DHCP Snooping
# show ip dhcp snooping
Wyświetla podstawowe informacje na temat konfiguracji funkcji DHCP Snooping.
# show ip dhcp snooping binding
Wyświetla tablice przyporządkowania adresów IP do adresów MAC.
# show ip dhcp snooping track host
Wyświetla listę hostów śledzonych przez funkcjonalności DHCP Snooping.
Komendy Show dotyczące funkcji IP guard
# show ip verify source [interface interfejs]
Wyświetla interfejsy przełącznika wraz z przypisanymi do nich adresami IP.
# show ip source binding [interface interfejs / adres-MAC / adres-IP]
Wyświetla zawartość bazy IP Guard, wskazując odwzorowanie interfejsów sieciowych przełącznika na adresy MAC oraz adresy IP.
Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej
- Zagrożenia sieciowe
- Teoria funkcji Port-Security
- Troubleshooting funkcji Port-Security
- Konfiguracja funkcji Port-Security
- Teoria funkcji DHCP Snooping
- Konfiguracja DHCP Snooping
- Teoria Dynamic ARP Inspection
- Konfiguracja Dynamic ARP Inspection
- Funkcja IP Source Guard
- Teoria funkcji Storm Control
- Troubleshooting funkcji Storm Control
- Konfiguracja funkcji Storm Control
- Przywracanie portów po naruszaniu zasad bezpieczeństwa
1 Response
[…] Funkcja DAI współpracuje z funkcją DHCP Snooping. Konfiguracja funkcji DHCP Snooping jest dostępna pod linkiem. […]