(K) Konfiguracja DHCP Snooping*

Konfiguracja DHCP Snooping

Określenie interfejsów zaufanych jak i nie zaufanych

Aby ochronić przełącznik przed fałszywymi serwerami DHCP czy hostami wysyłającymi setki zapytać „Discover”. Należy określić porty zaufane na których znajdują się legalne serwery oraz ograniczyć ilość zapytań DHCP jakie mogą być wysyłane z portów nie zaufanych.
Minimalna wielkość bazy „DHCP Binding Database” wynosi 8000 wpisów.

Konfiguracja globalna systemu IOS

(config)# [no] ip dhcp snooping

Wyłącza / Włącza globalną funkcjonalność DHCP Snooping na przełączniku.

(config)# ip dhcp snooping vlan vlan-ID

Włącza funkcjonalność DHCP Snooping dla konkretnej sieci VLAN (Funkcja domyślnie uznaje każdy interfejs przypisany do danej sieci VLAN, za niezaufany).

(config)# ip dhcp snooping database URL

Określa miejsce przetrzymywania bazy funkcji DHCP snooping.

(config)# ip dhcp snooping verify mac-address

Włącza opcjonalną weryfikację adresu MAC, sprawdzając czy źródłowy adres MAC hosta, odpowiada adresowi podanemu w wysłanym zapytaniu DHCP.

Konfiguracja interfejsów sieciowych

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip dhcp snooping trust

Informuje przełącznik, że na tym porcie może znajdować się serwer.

(config-if)# ip dhcp snooping limit rate 1-2048

Ogranicza ilość pakietów DHCP wysyłanych na sekundę. Po przekroczeniu tej liczby port jest blokowany (Przechodzi w stan „Error-Disable State”). W celu ponownego uruchomienia portu należy go wyłączyć a następnie ponownie włączyć komendami „shutdown” i „no shutdown” lub z korzystać z opcji opisanej w rozdziale „Przywracanie portów do pełnej funkcjonalności po wykryciu próby ataku”.

(config-if)# interface interfejsy

Wchodzi na interfejs, za którym nie powinien znajdować się serwer DHCP.

(config-if)# ip dhcp snooping limit rate 1-2048

Xxx

Opcjonalna konfiguracja funkcji DHCP Snooping

Konfiguracja opcji 82

(config)# [no] ip dhcp snooping information option

Wypełnia pole 82 w otrzymywanych zapytaniach „DHCP Discovery”.

(config)# [no] ip dhcp snooping information option allowed-untrusted

Zezwala na przetwarzanie zapytań „DHCP Discovery” zwierających wypełnione pole 82 (Odebranych na interfejsach niezaufanych).
W niektórych przypadkach włączona opcja 82 może blokować pakiety DHCP.

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# [no] ip dhcp snooping information option allowed-untrusted

Zezwala na przetwarzanie zapytań „DHCP Discovery” zwierających wypełnione pole 82 (Odebranych na interfejsach niezaufanych).

Konfiguracja funkcji IP guard

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip verify source [port-security]

Rozpoczyna weryfikację źródłowych adresów IP nadchodzących z danego interfejsu. Dodatkowa pod-komanda „port-security” rozszerza zakres weryfikacje o adresy MAC.

Konfiguracja bazy DHCP Binding

Statyczne poszerzanie lokalnej bazy DHCP Binding

(config)# ip source binding adres-MAC vlan VLAN-id adres-IP interface interfejs

Statycznie przypisuje adres MAC do adresu IP, kojarząc obydwa adresy z danym interfejsem sieciowym.
Dynamiczne przypisywanie adresów IP do adresów MAC jest możliwe tylko za pomocą funkcji DHCP Snooping.

Konfiguracja zewnętrznej bazy DHCP Snooping (DHCP Snooping Agent)

Po restarcie przełącznika sieciowego zawartość tablicy DHCP binding ulega usunięciu, aby temu zaradzić należy skonfigurować funkcję DHCP Snooping Agent. 

(config)# ip dhcp snooping database tftp://adres-IP/droga/do/plik

Określa lokalizacje do przetrzymywania kopi bazy.

(config)# renew ip dhcp snooping data tftp://adres-IP/droga/do/plik

Przywraca zawartość bazy z kopi zapasowej.

Komendy SHOW

Komendy Show dotyczące funkcji DHCP Snooping

# show ip dhcp snooping

Wyświetla podstawowe informacje na temat konfiguracji funkcji DHCP Snooping.

# show ip dhcp snooping binding

Wyświetla tablice przyporządkowania adresów IP do adresów MAC.

# show ip dhcp snooping track host

Wyświetla listę hostów śledzonych przez funkcjonalności DHCP Snooping.

Komendy Show dotyczące funkcji IP guard

# show ip verify source [interface interfejs]

Wyświetla interfejsy przełącznika wraz z przypisanymi do nich adresami IP.

# show ip source binding [interface interfejs / adres-MAC / adres-IP]

Wyświetla zawartość bazy IP Guard, wskazując odwzorowanie interfejsów sieciowych przełącznika na adresy MAC oraz adresy IP.

Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

1 Response

  1. 8 maja 2020

    […] Funkcja DAI współpracuje z funkcją DHCP Snooping. Konfiguracja funkcji DHCP Snooping jest dostępna pod linkiem. […]

Dodaj komentarz