Конфигурация DHCP Snooping

Обзор

DHCP Snooping — это набор методов, применяемых для обеспечения безопасности существующей инфраструктуры DHCP. Это функция безопасности, которая действует как межсетевой экран между ненадежными хостами и доверенными DHCP-серверами. Это технология безопасности уровня 2, встроенная в операционную систему сетевого коммутатора, которая отбрасывает DHCP-трафик, признанный неприемлемым.

Основное назначение DHCP Snooping — предотвращение работы неавторизованных (злоумышленных) DHCP-серверов, предлагающих IP-адреса DHCP-клиентам. Злоумышленные DHCP-серверы часто используются в атаках типа «человек посередине» или «отказ в обслуживании» с целью нанесения вреда. Аналогично, DHCP-клиенты (злоумышленные) также могут вызывать атаки типа «отказ в обслуживании», непрерывно запрашивая IP-адреса, что приводит к исчерпанию адресов на DHCP-сервере.

Функция DHCP Snooping выполняет следующие действия:

Проверяет DHCP-сообщения, полученные из ненадежных источников, и фильтрует недопустимые сообщения.
Ограничивает скорость DHCP-трафика как из доверенных, так и из ненадежных источников.
Создает и поддерживает базу данных привязок DHCP Snooping, которая содержит информацию о ненадежных хостах с арендованными IP-адресами.
Использует базу данных привязок DHCP Snooping для проверки последующих запросов от ненадежных хостов.

DHCP Snooping включается на уровне VLAN. По умолчанию эта функция неактивна для всех VLAN. Вы можете включить функцию для одного VLAN или диапазона VLAN.

Топология

Рисунок 7-13: Топология DHCP Snooping

Процедуры

Следующие подразделы предоставляют примеры включения и настройки DHCP Snooping.

Включение DHCP Snooping глобально


`#configure terminal`	Перейти в режим конфигурации.
`(config)#bridge 1 protocol mstp`	Создать mstp или ieee vlan-bridge.
`(config)#ip dhcp snooping bridge 1`	Включить DHCP Snooping на bridge.

Включение DHCP Snooping на VLAN


`configure terminal`	Перейти в режим конфигурации.
`(config)#vlan 2 bridge 1`	Настроить VLAN для bridge.
`(config)#ip dhcp snooping vlan 2 bridge 1`	Включить DHCP Snooping на VLAN 2.

Настройка портов, подключенных к DHCP-серверу и DHCP-клиенту


`#configure terminal`	Перейти в режим конфигурации.
`(config)#interface xe1`	Указать интерфейс `xe1` для настройки и перейти в режим интерфейса.
`(config-if)#switchport`	Настроить интерфейс как коммутируемый порт.
`(config-if)#bridge-group 1`	Ассоциировать интерфейс `xe1` с bridge-group `1`.
`(config-if)#switchport mode access`	Настроить порт как access-порт.
`(config-if)#switchport access vlan 2`	Привязать интерфейс VLAN 2 к порту.
`(config-if)#exit`	Выйти из режима интерфейса.
`(config)#interface xe2`	Указать интерфейс `xe2` для настройки, подключенный к серверу.
`(config-if)#switchport`	Настроить интерфейс как коммутируемый порт.
`(config-if)#bridge-group 1`	Ассоциировать интерфейс `xe2` с bridge-group `1`.

DHCP Snooping


`(config-if)#switchport mode access`	Настроить порт как access-порт.
`(config-if)#switchport access vlan 2`	Привязать интерфейс VLAN 2 к порту.
`(config-if)#exit`	Выйти из режима интерфейса.
`(config)#exit`	Выйти из режима конфигурации.

Настройка доверенных и ненадежных портов

Обычно порт, подключенный к серверу, настраивается как доверенный, а порты, подключенные к клиентам, настраиваются как ненадежные.

В этом примере xe1 подключен к DHCP-клиенту, а xe2 подключен к DHCP-серверу.

Настройте xe1, подключенный к DHCP-клиенту, как ненадежный порт.
Настройте xe2, подключенный к DHCP-серверу, как доверенный порт.


`#configure terminal`	Перейти в режим конфигурации.
`(config)#interface xe1`	Указать интерфейс для настройки.
`(config-if)#no ip dhcp snooping trust`	Отключить доверенность порта.

Работа DHCP Snooping

1. Настройте DHCP-сервер, подключенный к DHCP Snooper через доверенный порт.

2. Запросите IP-адрес от DHCP-клиента, подключенного через ненадежный порт.

3. DHCP-клиент отправляет широковещательное сообщение DHCP DISCOVER на коммутатор.

4. DHCP-сервер отвечает на сообщение DHCP DISCOVER сообщением DHCP OFFER клиенту.

5. После получения DHCP OFFER клиент отправляет DHCP REQUEST серверу.

6. DHCP-сервер проверяет запрос от клиента и отправляет DHCP ACK с предложенным IP-адресом клиенту с указанием времени аренды.

7. DHCP Snooper создает запись для вышеуказанной операции в таблице привязок, которая включает MAC-адрес хоста, арендованный IP-адрес, время аренды, тип привязки, номер VLAN и информацию об интерфейсе, связанную с хостом.

8. DHCP Snooper очищает запись в таблице привязок, как только клиент отправляет запрос DHCP RELEASE.

Проверка

Команда show running-config ip dhcp snooping отображает команды DHCP Snooping, настроенные на устройстве.

#show running-config ip dhcp snooping
!
!
DHCP Snooping
ip dhcp snooping bridge 1
ip dhcp snooping vlan 2 bridge 1
interface xe2
ip dhcp snooping trust
!

Команда show ip dhcp snooping bridge 1 отображает настроенную информацию о DHCP Snooping.

#show ip dhcp snooping bridge 1
Bridge Group                                            : 1
DHCP snooping is                                        : Enabled
DHCP snooping option82 is                               : Disabled
Verification of hwaddr field is                         : Disabled
Rate limit(pps)                                         : 100
DHCP snooping is configured on following VLANs          : 2
DHCP snooping is operational on following VLANs         : 2
DHCP snooping IP Source Guard is configured on the following Interface
Interface                Trusted
---------------          ------
xe2                      Yes

Команда show ip dhcp snooping binding bridge 1 отображает записи таблицы привязок, связанные с ненадежными интерфейсами.

#show ip dhcp snooping binding bridge 1
Total number of static IPV4 entries : 1
Total number of dynamic IPV4 entries : 0
Total number of static IPV6 entries : 0
Total number of dynamic IPV6 entries : 0
MacAddress    IpAddress    Lease(sec)     Type                 VLAN    Interface
--------------------------------------------------------------------------------
0002.a54e.c279   3.4.5.1        300            dhcp-snooping     1           xe1