Dhcp snooping
Матеріал з Xgu.ru
DHCP snooping регулює тільки повідомлення DHCP і не може вплинути безпосередньо на трафік користувачів або інші протоколи. Деякі функції комутаторів, що не мають безпосереднього відношення до DHCP, можуть виконувати перевірки на підставі таблиці прив'язок DHCP snooping (DHCP snooping binding database). В тому числі:
[Ред] Введення
DHCP snooping дозволяє:
Для правильної роботи DHCP snooping, необхідно вказати які порти комутатора будуть довіреними (trusted), а які - ні (untrusted, в подальшому - ненадійними):
- Ненадійні (Untrusted) - порти, до яких підключені клієнти. DHCP-відповіді, що приходять з цих портів відкидаються комутатором. Для ненадійних портів виконується ряд перевірок повідомлень DHCP і створюється база даних прив'язки DHCP (DHCP snooping binding database).
- Довірені (Trusted) - порти комутатора, до яких підключений інший комутатор або DHCP-сервер. DHCP-пакети отримані з довірених портів, не відкидаються.
[Ред] Принципи роботи DHCP snooping
За замовчуванням комутатор відкидає DHCP-пакет, який прийшов на ненадійний порт, якщо:
[Ред] Приклад топології
Топологія зображена на малюнку не є рекомендацією, а служить демонстрацією того, які порти комутаторів вказувати довіреними, а які ненадійними.
Налаштування DHCP snooping на комутаторах різних виробників виконуються для цієї топології (конфігураційні файли комутаторів в кінці сторінки).
Пояснення до малюнка:
- На комутаторах sw1 і sw2 включений DHCP snooping;
- Порт 24 комутатора sw1 і порт a1 комутатора sw2 вказані довіреними, так як на ненадійних портах повідомлення DHCP-сервера будуть відкидатися;
- Порт 24 комутатора sw1 і порт a1 комутатора sw2 вказані довіреними, так як комутатор, на якому включений DHCP snooping буде перенаправляти DHCP-запити тільки на довірені порти.
[Ред] Порядок настройки
- Налагодження та перевірка роботи DHCP-сервера та DHCP-ретранслятора без включеного DHCP snooping.
- Включення DHCP snooping. Після включення DHCP snooping на комутаторі і в відповідних VLAN, всі порти комутатора за замовчуванням вважаються ненадійними.
- Вказівка довірених портів. Ті порти до яких підключені комутатори і які ведуть до DHCP-сервера (або порти до яких сервер підключений) повинні бути налаштовані як довірені.
- Налаштування політики обробки опції 82.
- (За бажанням) встановити, чи лунатиме додаткових перевірок DHCP-повідомлень.
У базі даних прив'язки DHCP зберігаються (інформація зберігається тільки про ненадійних портах):
[Ред] Використання опції 82
За замовчуванням комутатор на якому включений DHCP snooping, вставляє опцію 82 в DHCP-запити. Комутатор може змінювати або вставляти опцію 82, навіть якщо клієнт і сервер знаходяться в одній підмережі.
При вставці опції 82, комутатор фактично вставляє два значення:
За замовчуванням комутатор, який використовує DHCP snooping, виявляє і відкидає будь-який DHCP-запит містить опцію 82, який він отримав через ненадійний порт.
Цей режим варто залишити, якщо комутатор з'єднаний з кінцевими клієнтами. Отримання запиту з опцією 82 від клієнта буде говорить про атаку, яку комутатор повинен запобігти.
У наведеній схемі така проблема виникне:
- Коли sw1 отримує запит від хоста, він перевіряє його і, якщо все в порядку, відправляє далі. Але при цьому, в цей запит вставляється опція 82
- sw2, при отриманні запиту на ненадійному інтерфейсі, знову виконує перевірки і, побачивши опцію 82 в запиті, відкидає його
Є три способи вирішення цієї проблеми:
- Зробити порт a5 на комутаторі sw2 довіреною
- Хоча тоді запити від хостів і не будуть перевірятися, найчастіше, це не страшно, тому що, всі запити клієнтів вже були перевірені на sw1
- Налаштувати варіанти обробки опції 82 на sw2:
- Зберегти опцію 82 в пакеті, що прийшов
- Замінити опцію 82 в пакеті, що прийшов
- Відключити вставку опції 82 на sw1 (може бути не на всьому обладнанні)
[Ред] Налаштування DHCP snooping на комутаторах ProCurve
Включити DHCP snooping:
Включити DHCP snooping в VLAN, які повинні бути захищені з його допомогою:
[Ред] Налаштування довірених і ненадійних портів
За замовчуванням на комутаторі всі порти ненадійні, тому довірені порти треба явно вказувати.
Вказати довірені порти:
Максимальна кількість DHCP-серверів в списку - 20.
При необхідності можна вимкнути цю функцію:
[Ред] Опція 82
З опцією 82 пов'язані дві настройки:
- Налаштування значення remote ID;
- Налаштування політики обробки пакетів з опцією 82.
Налаштування remote ID:
Значення remote ID:
Налаштування політики обробки пакетів з опцією 82:
- drop - відкинути пакет;
- keep - комутатор відправляє пакет із збереженням значення опції 82;
- replace - комутатор відправляє пакет, але замінює значення опції 82.
Відключити вставку опції 82:
[Ред] DHCP snooping і DHCP-ретранслятор
Налаштування опції 82 з DHCP snooping перекривають будь-які глобальні настройки зазначені при налаштуванні комутатора для роботи DHCP-ретранслятором.
Опис процедури налаштування комутаторів ProCurve для роботи DHCP-ретранслятором можна прочитати на сторінці Опція 82 DHCP.
Якщо DHCP snooping не налаштований в VLAN, то для нього застосовуються загальні налаштування.
[Ред] Пошук несправностей
У прошивках старше K.15
Якщо необхідно вивести повідомлення налагодження в поточну сесію:
[Ред] Налаштування DHCP snooping на комутаторах Cisco
Включити DHCP snooping:
Включити DHCP snooping в VLAN, які повинні бути захищені з його допомогою:
[Ред] Налаштування довірених і ненадійних портів
За замовчуванням на комутаторі всі порти ненадійні, тому довірені порти треба явно вказувати.
Вказати довірені порти:
При необхідності можна вимкнути цю функцію:
[Ред] Додавання статичних записів в базу даних прив'язки DHCP
Додавання статичної записи в базу даних прив'язки DHCP:
[Ред] Опція 82
З опцією 82 пов'язані дві настройки:
- Налаштування значення remote ID;
- Налаштування політики обробки пакетів з опцією 82.
Налаштування політики обробки пакетів з опцією 82. Комутатор немає буде відкидати пакети, в яких є опція 82:
Відключити вставку опції 82: