Онлайн-демонстрация
Связаться с нами
7.13. Настройка DHCP Snooping
Назначение
DHCP snooping - это функция безопасности, которая действует как брандмауэр между недоверенными узлами и доверенными DHCP-серверами.
Описание
Функция DHCP snooping выполняет следующие действия:
Проверка DHCP-сообщений, полученных из недоверенных источников, и фильтрация недостоверных сообщений.
Создание и поддержка базы привязок DHCP snooping, содержащей информацию о недоверенных узлах с арендованными IP-адресами.
Использование базы привязок DHCP snooping для проверки последующих запросов от недоверенных узлов.
Другие функции безопасности, такие как динамическая проверка ARP (DAI), также используют информацию, хранящуюся в базе данных привязки DHCP snooping. Функция DHCP snooping может быть включена для каждой из VLAN. По умолчанию функция отключена. Функция DHCP snooping реализована на программной основе. Все сообщения DHCP перехватываются в BAY и направляются в CPU для обработки.
Настройка
Ниже показана настройка DHCP snooping на коммутаторе в соответствии с представленной сетевой конфигурацией.
Шаг 1: Вход в режим “Global config”
Switch# configure terminal
Шаг 2: Создание VLAN
Switch(config)# vlan database
Switch(config-vlan)# vlan 12
Switch(config-vlan)# exit
Шаг 3: Настройка порта, добавление их во VLAN
Switch(config)# interface eth-0-12
Switch(config-if)# switchport
Switch(config-if)# switchport access vlan 12
Switch(config-if)# dhcp snooping trust
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface eth-0-11
Switch(config-if)# switchport
Switch(config-if)# switchport access vlan 12
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface vlan 12
Switch(config-if)# ip address 12.1.1.1/24
Switch(config-if)# exit
Шаг 4: Настройка DHCP snooping
Switch(config)# dhcp snooping verify mac-address
Switch(config)# service dhcp enable
Switch(config)# dhcp snooping
Switch(config)# dhcp snooping vlan 12
Шаг 5: Выход из режима “Global config”
Switch(config)# exit
Шаг 6: Проверка
Вывод конфигурации порта:
Switch(config)# show running-config interface eth-0-12
!
interface eth-0-12
dhcp snooping trust
switchport access vlan 12
!
Switch(config)# show running-config interface eth-0-11
!
interface eth-0-11
switchport access vlan 12
!
Статус DHCP:
Switch# show services
Networking services configuration:
Service Name Status
============================================================
dhcp enable
Вывод конфигурации DHCP snooping:
```console
Switch# show dhcp snooping config
dhcp snooping service: enabled
dhcp snooping switch: enabled
Verification of hwaddr field: enabled
Insertion of relay agent information (option 82): disable
Relay agent information (option 82) on untrusted port: not allowed
dhcp snooping vlan 12
Вывод статистики DHCP snooping:
Switch# show dhcp snooping statistics
DHCP snooping statistics:
============================================================
DHCP packets 17
BOOTP packets 0
Packets forwarded 30
Packets invalid 0
Packets MAC address verify failed 0
Packets dropped 0
Вывод связанных интерфейсов:
Switch# show dhcp snooping binding all
DHCP snooping binding table:
VLAN MAC Address Interface Lease(s) IP Address
============================================================
12 0058.3fa1.7ed9 eth-0-11 691190 12.1.1.65