DHCP Snooping là gì? Cấu hình của DHCP trên switch Cisco

By
-
Cập nhật lúc:
0
50
Lượt xem: 19
Rate this post

Trong lĩnh vực máy tính, DHCP Snooping là một nhóm các kỹ thuật được áp dụng để tăng cường tính bảo mật của giao thức DHCP. Chỉ có các máy chủ DHCP được quản trị viên cho phép mới có thể cấp địa chỉ IP cho các máy tính trong mạng. Cùng với Datech tìm hiểu cách cấu hình DHCP trên switch và router của Cisco nhé.

DHCP Snooping là gì?

DHCP Snooping là tính năng chống giả mạo máy chủ DHCP, có thể coi như một tính năng của tường lửa. Tính năng này giúp ngăn chặn các cuộc tấn công từ tin tặc vào hệ thống mạng và đánh cắp thông tin quan trọng của doanh nghiệp.

Tin tặc sẽ gửi thông tin giả mạo để làm cho phần mềm máy tính bị đánh lừa. Từ đó, dữ liệu của người dùng sẽ được chuyển đến máy chủ giả mạo. Mục đích của tin tặc là trở thành “man in the middle”. Khi đã đạt được điều này, máy tính sẽ gửi tín hiệu đến gateway để thông tin được đưa ra mạng bên ngoài.

Từ đó, tin tặc sẽ phân tích mọi dữ liệu của bạn và chuyển đến gateway giả mạo, tức là máy tính của họ. Nhờ tính năng DHCP Snooping, IP Source, Dynamic tích hợp trên switch Cisco, máy tính của bạn sẽ được bảo vệ và ngăn chặn khỏi các cuộc tấn công này.

DHCP Snooping là gì?

Nguyên lý hoạt động của chế độ DHCP

Khi chế độ này được kích hoạt, các cổng trên switch sẽ được phân loại thành hai loại: cổng tin cậy (trusted) và cổng không tin cậy (untrusted). Những cổng tin cậy sẽ nhận DHCP Reply từ server DHCP, trong khi đó, những cổng không tin cậy sẽ nhận DHCP Request từ các máy tính của người dùng.

Thiết lập này trên Cisco Switch cũng thực hiện phân tích các gói DHCP Request, Reply, và xây dựng một bảng cơ sở dữ liệu gồm các địa chỉ IP được cấp, MAC và các cổng thông tin mà máy tính đó được liên kết đến.

Cách thực hiện cấu hình DHCP Snooping trên switch Cisco

Bước 1: Bật tính năng toàn cục trên switch Cisco

SW1(config)#ip dhcp snooping.
SW2(config)#ip dhcp snooping.
SW3(config)#ip dhcp snooping.

Bước 2: Bật DHCP Snooping trên VLAN 10

SW1(config)#ip dhcp snooping vlan 10.
SW2(config)#ip dhcp snooping vlan 10.
SW3(config)#ip dhcp snooping vlan 10.

Bước 3: Vô hiệu hóa tùy chọn 82 được chèn trong gói DHCP

SW1(config)#no ip dhcp snooping information option.
SW2(config)#no ip dhcp snooping information option.
SW3(config)#no ip dhcp snooping information option.

Bước 4: Xác định cấu hình những giao diện đáng tin cậy trên các switch (Những giao diện kết nối với máy chủ DHCP hợp pháp)

SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# ip dhcp snooping trust.

SW2(config)# interface GigabitEthernet0/1
SW2(config-if)# ip dhcp snooping trust.

SW3(config)# interface FastEthernet0/1
SW3(config-if)# ip dhcp snooping trust.

Bước 5: Xác định cấu hình giới hạn tốc độ với yêu cầu DHCP từ máy khách (tùy chọn)

SW1(config)# interface FastEthernet0/1
SW1(config-if)# ip dhcp snooping limit rate 20.

SW2(config)# interface FastEthernet0/1
SW2(config-if)# ip dhcp snooping limit rate 20.

SW3(config)# interface FastEthernet0/1
SW3(config-if)# ip dhcp snooping limit rate 20.

Bước 6: Xác minh DHCP trên switch Cisco

SW1#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
————————- ——- —————-
GigabitEthernet0/1 yes unlimited
FastEthernet0/1 no 20.

SW2#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
——————————- ——– —————-
GigabitEthernet0/1 yes unlimited
FastEthernet0/1 no 20.

SW3#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: 0001.9641.6CBE (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
—————————- ——- ———— —————-
FastEthernet0/1 yes yes unlimited.

Cách thực hiện cấu hình DHCP trên Switch Cisco

Cuối cùng, bạn đã thực hiện cấu hình DHCP Cisco trên các switch như sau:

Switch 1

SW1#show run
hostname SW1
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
interface FastEthernet0/1
switchport access vlan 10
ip dhcp snooping limit rate 20
switchport mode access
!
[output omitted] !
interface GigabitEthernet0/1
ip dhcp snooping trust
switchport mode trunk
!

Switch 2

SW2#show run
hostname SW2
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport access vlan 10
ip dhcp snooping limit rate 20
switchport mode access
!
[output omitted] !
interface GigabitEthernet0/1
ip dhcp snooping trust
switchport mode trunk
!

Switch 3

SW3# show run
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
interface FastEthernet0/1
ip dhcp snooping trust
switchport access vlan 10
switchport mode access
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk.

Cách thực hiện cấu hình DHCP trên router Cisco

Cấu hình router cấp IP động

Về cách thực hiện cấu hình DHCP trên Cisco Packet Tracer, có hai bước chính như sau:

Trên router Cisco

Bước 1: Thực hiện cấu hình cơ bản cho router để đặt IP.

Router(config)#interface f0/0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#no shutdown

Tiếp theo, bật dịch vụ DHCP: Router(config)#service dhcp.

Bước 2: Tạo một pool để cấp IP cho client.

Router(config)#ip dhcp pool Network_10 (Bạn có thể đặt tên khác cho pool cấp IP)
Router(dhcp-config)#network 10.0.0.0 255.255.255.0
Router(dhcp-config)#default-router 10.0.0.1
Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4

Bước 3: Tạo một dãy IP để loại trừ. IP này không được cấp cho client mà sử dụng cho những server.

Router(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10

Bước 4: Để xem lại cấu hình DHCP router Cisco, bạn nhập lệnh sau: Router(config)#show ip dhcp binding.

Trên PC 1

Bạn sử dụng lệnh để xóa IP và yêu cầu DHCP Snooping.

C:Documents and Settingspc1> ipconfig /release
C:Documents and Settingspc1> ipconfig /renew

Cách thực hiện cấu hình DHCP trên router Cisco cấp IP động

Cấu hình router cấp IP cố định cho client

Trên client

Bạn sử dụng MAC của PC 2: 00-50-56-3D-7A-3C.

Trên router

Bước 1: Chuyển lại MAC client để phù hợp với cấu hình của thiết bị Cisco yêu cầu MAC dạng “AAAA.BBBB.CCCC.DDDD”. Để chuyển, bạn thêm 01 vào đầu MAC client (00-50-56-3D-7A-3C -> 0100.5056.3D7A.3C) và nhập lệnh như sau:

Router(config)#ip dhcp pool PC2
Router(dhcp-config)#host 10.0.0.100 255.255.255.0
Router(dhcp-config)#client-identifier 0100.5056.3D7A.3C
Router(dhcp-config)#default-router 10.0.0.1
Router(dhcp-config)#dns-server 10.0.0.1

Bước 2: Xem lại cấu hình trên router.

Trên đây là những thông tin cơ bản về DHCP Snooping và cách thực hiện. Nếu bạn có nhu cầu lắp đặt mạng của các hãng công nghệ thông tin trên thế giới, DATECH sẽ là sự lựa chọn hoàn hảo. Liên hệ ngay hotline để được tư vấn và hỗ trợ nhanh chóng nhé!

RELATED ARTICLESMORE FROM AUTHOR