در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی DHCP Snooping در سویچ های سیسکو

Rogue DHCP سرورها DHCP سرورهایی هستند که به صورت خواسته یا ناخواسته در شبکه شما راه اندازی می شوند و بعضا باعث مختل شدن فعالیت شبکه شما می شوند. برای جلوگیری از عملکرد DHCP سرورهای غیرمجاز یا Rogue در شبکه ، در سویچ های سیسکو قابلیتی به عنوان DHCP Snooping ارائه شده است. ویژگی DHCP Snooping در واقع یک فایروال Logical در بین Untrusted Host ها یا کلاینت های غیرقابل اعتماد و DHCP سرورها ایجاد می کند. همانطور که در شکل زیر مشاهده می کنید سویچ بعد از فعال شدن قابلیت DHCP Snooping یک جدول یا Table ایجاد و نگهداری می کند که به DHCP Snooping Table یا DHCP Binding Database معروف است.سویچ از این جدول برای شناسایی و فیلتر کردن پیام های untrusted یا غیرقابل اعتماد از شبکه استفاده می کند ، سویچ از این جدول برای شناسایی DHCP سرورهای مجاز و قابل اعتماد و همچنین DHCP سرورهای غیر مجاز استفاده می کند ، زمانیکه در این جدول یک DHCP سرور به عنوان مورد اعتماد یا Trusted معرفی شد آدرس MAC آن به همراه مبدا ارسالی آن در این جدول ثبت می شود ، اگر پیام DHCP سروری از سایر پورت های شبکه دریافت شود که برابر آدرس MAC و مبدا ثبت شده در این جدول نباشد سویچ آن پیام و سرویس را مسدود و فیلتر می کند ، یا بهتر بگوییم اگر Packet ای از Untrusted Port ها وارد سویچ شود و فرآیند DHCP را داشته باشد Drop خواهد شد.

تصویر اول DHCP Snooping Table

تصویر پایین روش عملکرد قابلیت DHCP Snooping در عمل را نشان می دهد ، همانطور که مشاهده می کنید یک هکر یا مهاجم یا حتی کسی که به اشتباه یک DHCP سرور بر روی سیستم خود وصل کرده است سعی در مختل کردن ارتباط بین کلاینت و سرور می کند اما DHCP Snooping ترافیک ورودی از Trusted Port ها را فقط قبول می کند و چون ترافیک DHCP مهاجم از پورت های Untrusted یا غیر قابل اعتماد ارسال می شوند این Packet را Drop می کند و اجازه فعالیت به Rogue DHCP سرور نمی دهد.

تصویر دوم روش عملکرد مکانیزم DHCP Snooping

قابلیت DHCP Snooping هم در سطح سویچ و هم در سطح VLAN قابل پیاده سازی است. برای اینکه قابلیت DHCP Snooping بتواند به درستی عمل کند ، تمامی DHCP سرورهایی که به پورتها یا بهتر بگوییم Interface های سویچ متصل شده اند بایستی به عنوان Trusted Interface به سویچ معرفی شوند. شما می توانید با استفاده از دستور ip dhcp snooping trust در تنظیمات سویچ خود یک Trusted Interface را به سویچ معرفی کنید. سایر Interface ها و حتی DHCP Client هایی که به سویچ متصل شده اند و ترافیک از سویچ دریافت و به آن ارسال می کنند بایستی به عنوان Untrusted Interface به سویچ معرفی شوند که اینکار با استفاده از دستور no ip dhcp snooping trust در تنظیمات سویچ سیسکو انجام می شود.

برای پیکربندی تنظیمات DHCP Snooping ابتدا شما بایستی بر روی یکی از VLAN های خود DHCP Snooping را با استفاده از دستور[ ip dhcp snooping vlan [vlan-id در تنظیمات Global Configuration Mode فعال کنید. همین دستور را برای سایر VLAN های خود نیز تکرار کنید ، سپس قابلیت DHCP Snooping را بصورت کامل به شکل ip dhcp snooping از Global Configuration Mode اجرا کنید. هر دوی این تنظیمات بایستی به درستی انجام شوند تا DHCP Snooping به درستی پیاده سازی شود.

به مثال زیر توجه کنید ، در این مثال یک DHCP سرور داریم که به پورت FastEthernet 0//1 سویچ متصل شده است ، بنابراین این پورت بایستی به عنوان Trusted Port به سویچ معرفی شود ، در خط دوم ما تعداد Packet هایی که می تواند در هر ثانیه رد و بدل شود را با استفاده از دستور rate limit به 200 عدد محدود کرده ایم. با استفاده از دستور rate limit شما مطمئن می شوید که ترافیک زیادی باعث از کار افتادن DHCP سرور نمی شود یا به قول فنی تر DHCP Flood صورت نمی گیرد. در ادامه DHCP Snooping برای VLAN5 فعال شد و بصورت Globally نیز Active شد. تمامی مواردی که در این قسمت گفتیم در دستورات زیر به خوبی نمایش داده شده است :

Switch(config)# interface Fastethernet0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 200
Switch(config-if)# exit
Switch(config)# ip dhcp snooping vlan 5
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping information option

شما می توانید با استفاده از دستور show ip dhcp snooping تنظیمات DHCP Snooping را مشاهده کنید. همچنین با استفاده از دستور show ip dhcp snooping binding می توانید untrusted port هایی که برای DHCP Snooping تعریف شده اند را نیز مشاهده کنید ، امیدوارم مورد توجه شما قرار گرفته باشد ، منتظر انتقادات و پیشنهادات سازنده شما در خصوص این مقاله هستیم ، ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#مشکل_Rogue_DHCP #dhcp_snooping_چیست #جلوگیری_از_فعالیت_dhcp_های_غیرمجاز #شناسایی_Rogue_DHCP #راه_اندازی_dhcp_snooping_در_سیسکو #روش_عملکرد_dhcp_snooping
12 نظر
وریا رحمانی

ممنون.بسیار عالی

پرویز قلیزاده

با سلام

لطفا نحوه پیاده سازی در VLAn هم بگید . یعنی VLAN DHCP Snooping

ممنونم

محمد نصیری

لطفا از طریق گزینه سئوال بپرسید مطرح کنید با تشکر

amir_kj

سلام

در مورد option 82 توضیح میدین بی زحمت

سید اسماعیل هاشمی

بسیار کاربردی.ممنون

سهيل

من failover برای سرور DHCP راه انداختم .snooping هم دارم چه طور میتونم راه بندازمش؟؟

ali-apple

سلام آقای نصیری

بابت پست مفید و شاید صددرصد کاربردی شما کمال تشکر را دارم

من این سناریو را پیاده سازی کردم

ولی بر روی vlan نتوانستم پیاده سازی کنم

منظورم و کل سناریو به این شکل است

ببینید

من از یک روتر و یک سوئیچ استفاده کردم بر روی سوئیچ دو vlan 10,20 را ساختم و کلاینت ها عضو vlan20 و سرور ضور vlan10 می باشد بر روی روتر از دستور int gig 0/1.10 برای ساخت پورت مجازی اسفاده کردم همه چیز درست است و قبل از فعال سازی دستور ip dhcp snooping کلاینت ها بدون مشکل آی پی می گیرند ولی به محض فعال کردن و تعریف ipdhcp snoophing دیگر آِی پی دریافت نمیشه و از رنج 169 آی پی می گیرد

خواهشمند است در این زمینه توضیحات بفرمایید

دستوراتی که وارد کردم

int fa 0/1

ip dhcp snooping trust

ip dhcp snooping limit rate200

exit

ip dhcp snooping vlan 20

ip dhcp snooping

ip dhcp snooping information option

ممنون بابت توضیحات

و مرسی بابت سایت پرمحتوا

محمد نصیری

لطفا در قالب گزینه سئوال بپرسید در جزیره سیسکو مطرح کنید سپاسگزارم

mojib.gh

سلام

وقتی که از یک پورت سویچ چند vlan عبور می کند سویچ trast شده اجازه ورد ای پی نمی دهد

چرا و چگونه مشکل را حل کنیم

محمد نصیری

لطفا از طریق گزینه سئوال بپرسید در جزیره سیسکو سئوالتون رو مطرح کنید سپاسگزارم

ali-apple

سلام آقای نصیری یک سوال

در سناریو dhcp snoophing

همان طور که عنوان کردید ما یکی از پورت های منظور dhcp server را در حالت تراست و بقیه در حالت آن تراست قرار می دهیم حالا سوالی که پیش میاد این هست که اگر یک نفر یه سرور dhcp بالا بیاره منتها تو یکی از پورت ها و dhcp اصلی صلا در مدار نباشه آیا بازهم آی پی میگیره یا اینکه این سناریو زمانی هست که وقتی دو dhcp سرور وجود داره اولویت با dhcp ُروری هست که به صورت trust معرفی شده ور زمان غیرفعال بودن dhcp اصلی می تونه آی پی بده

ممون

محمد نصیری

هیچ فرقی نمی کنه DHCP اصلی در مدار باشه یا نه در هر صورت فقط در اون پورتی که Trusted هست فرآیند DHCP قابل قبول هست ، صد تا پورت دیگه DHCP باشه اجازه فعالیت داده نمیشه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....