Konfiguracja zabezpieczeń protokołu DHCP
Określenie interfejsów zaufanych i nie zaufanych
Aby ochronić przełącznik przed fałszywymi serwerami DHCP czy urządzeniami końcowymi wysyłającymi setki zapytać „Discover”. Należy określić porty zaufane na których znajdują się legalne serwery jak i ograniczyć ilość zapytań protokołu DHCP, jakie mogą być wysyłane z portów nie zaufanych.Konfiguracja funkcji DHCP snooping
(config)# [no] ip dhcp snooping
Wyłącza / Włącza globalną funkcjonalność DHCP Snooping na przełączniku.
(config)# ip dhcp snooping vlan vlan-ID
Włącza funkcjonalność DHCP Snooping dla konkretnej sieci VLAN (Funkcja domyślnie uznaje każdy interfejs przypisany do danej sieci VLAN, za niezaufany).
(config)# [no] ip dhcp snooping information option allow-untrasted
Wyłącza / Włącza funkcję dopisywania opcji DHCP-82 w każdym wysłanym przez urządzenia końcowe zapytaniu „DHCP Discovery”. Dodawanie opcji 82 ma miejsce jedynie na interfejsach niezaufanych, zawarte w niej są dodatkowe dane na temat urządzenia końcowego oraz adres MAC przełącznika.
(config)# ip dhcp snooping database url
Określa miejsce przetrzymywania bazy funkcji DHCP snooping.
(config)# ip dhcp snooping verify mac-address
Włącza opcjonalną weryfikację adresu MAC, sprawdzając czy źródłowy adres MAC urządzenia końcowego, odpowiada adresowi podanemu w otrzymanym zapytaniu DHCP.
Określenie interfejsów zaufanych
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# ip dhcp snooping trust
Informuje przełącznik, że na tym porcie może znajdować się serwer.
Określenie interfejsów nie zaufanych
(config-if)# interface interfejsy
Wchodzi na interfejs, za którym nie powinien znajdować się serwer DHCP (Domyślnie są to wszystkie interfejsy pracujące w trybie „access”).
(config-if)# ip dhcp snooping limit rate 1-2048
Ogranicza ilość pakietów DHCP wysyłanych na sekundę. Po przekroczeniu tej liczby port jest blokowany (Przechodzi w stan „Error-Disable State”). W celu ponownego uruchomienia portu należy go wyłączyć a następnie ponownie włączyć komendami [shutdown] a następnie [no shutdown] lub z korzystać z opcji opisanej w rozdziale „Przywracanie portów do pełnej funkcjonalności po wykryciu próby ataku”.
Tworzenie lokalnej bazy DHCP Binding
Konfiguracja bazy DHCP Binding
(config)# ip source binding adres-MAC vlan vlan-ID adres-IP interface interfejs
Statycznie przypisuje adres MAC do adresu IP, a następnie kojarząc obydwa adresy z określonym interfejsem sieciowym.
Dynamiczne przypisywanie adresów IP do adresów MAC jest możliwe jedynie za pomocą funkcji DHCP Snooping.Konfiguracja funkcji IP guard
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# ip verify source [port-security]
Rozpoczyna weryfikację źródłowych adresów IP nadchodzących z danego interfejsu. Dodatkowa pod-komanda „port-security” rozszerza zakres weryfikacje o adresy MAC.
Komendy SHOW
# show ip dhcp snooping binding
Wyświetla zaufane oraz niezaufane porty przełącznika.
# show ip dhcp snooping track host
Wyświetla listę urządzeń końcowych śledzonych przez funkcjonalności DHCP Snooping.
Pozostałe tematy związane protokołem DHCP
- Teoria protokołu DHCP
- Troubleshooting protokołu DHCP
- Konfiguracja protokołu DHCP
- Konfiguracja serwera DHCP Relay
- Konfigurowanie bazy DHCP
- Propagacja trasy statycznej (DHCP)
- Rezerwacja adresów IP
- Konfiguracja zabezpieczeń protokołu DHCP
DHCPv6
- Teoria protokołu DHCPv6
- Przydzielanie adresów (SLAAC)
- Przydzielanie adresów (SLAAC + Stateless DHCPv6)
- Przydzielanie adresów (Stateful DHCPv6)
- Teoria Prefix Delegation Options
- Dynamiczne przydzielanie adresów IPv6 (SLAAC)
- Dynamiczne przydzielanie adresów IPv6 (Stateless DHCPv6)
- Dynamiczne przydzielanie adresów IPv6 (Stateful DHCPv6)
- Dynamiczne przydzielanie adresów IPv6 (Prefix Delegation)
Dodaj komentarz