+7 (495) 797-3311
Узнать цену
Компания Решения Продукция
Сервис Новости Где купить

Узнать цену
ФИО *
E-mail *
Телефон *
Компания
Оборудование
* - поля, обязательные для заполнения
Отправить
QTECH - Quality Technology
Ethernet коммутаторы
Интеллектуальные решения
Оптические модули
Оборудование PON
Оборудование TDM
Мультимедиа
Транспортные сети передачи данных
Оборудование VoIP
Системы питания и контроля
Мобильные устройства и аксессуары
Пассивное телекоммуникационное оборудование
Абонентское оборудование
Беспроводные системы связи
Системы видеонаблюдения
Системы безопасности
Архив оборудования
 
РЕШЕНИЯ
ЗАЯВКА НА ТЕСТИРОВАНИЕ
СЕРТИФИКАТЫ
ВОПРОСЫ И ОТВЕТЫ
ПУБЛИКАЦИИ


 

Настройка DHCP snooping в связке с ip-source-guard на QTECH QSW-2900

20.04.2010, Сайт "Настройка активного оборудования различных вендоров", biparasite.ru

Задача: настроить на коммутаторе QTECH QSW-2900 DHCP snooping в связке с ip-source-guard, для этого нам так же необходимо будет настроить на коммутаторе dhcp relay.

dhc-snooping

Оборудование:

1. DHCP-сервер 192.168.200.11/24
2. Коммутатор L2 ( QTECH QSW-2900 ) в роли агента DHCP Relay
- IP 10.14.0.253/25
- Vlan: 900
3. DHCP – клиент, подсоединённые к 1-му порту коммутатора

Итак, приступим, но для начала немного теории.

DHCP snooping — функция коммутаторах, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.

DHCP snooping регулирует только сообщения DHCP. Некоторые функции коммутаторов, не имеющие непосредственного отношения к DHCP, могут выполнять проверки на основании таблицы привязок DHCP snooping (DHCP snooping binding database). В их числе:

- IP Source Guard — выполняет проверку IP-адреса отправителя на основании таблицы привязок DHCP snooping или статических соответствий, предназначенная для борьбы с IP-spoofingом.

Для правильной работы DHCP snooping необходимо указать, какие порты коммутатора будут доверенными, а какие — ненадёжными:

- Ненадёжные (Untrusted) — порты, к которым подключены клиенты. DHCP-ответы, приходящие с этих портов, отбрасываются коммутатором. Для ненадёжных портов выполняется ряд проверок сообщений DHCP и создаётся база данных привязки DHCP (DHCP snooping binding database).

- Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор или DHCP-сервер.

Приступаем к настройке коммутатора:

Создадим vlan 900 назначим его на порт 1/1, как тегированный, а на абонентский порт 0/1 как акцесный. Уберем vlan 1 с этих портов, создадим ip интерфейс, включим dhcp-relay. Более подробно описано в статье Настройка DHCP Relay Option 82 на коммутаторах Qtech QSW-2900.

QTECH_2900> en
QTECH_2900# conf t
QTECH_2900(config)# vlan 900
QTECH_2900(config-if-vlan)# exit
QTECH_2900(config)# interface ethernet 1/1
QTECH_2900(config-if-ethernet-1/1)# switchport mode trunk
QTECH_2900(config-if-ethernet-1/1)# switchport trunk allowed vlan 900
QTECH_2900(config-if-ethernet-1/1)# switchport trunk native vlan 900
QTECH_2900(config-if-ethernet-1/1)# exit
QTECH_2900(config)# interface ethernet 0/1
QTECH_2900(config-if-ethernet-0/1)# switchport mode access
QTECH_2900(config-if-ethernet-0/1)# switchport access vlan 900
QTECH_2900(config-if-ethernet-0/1)# exit
QTECH_2900(config)# vlan 1
QTECH(config-if-vlan)# no switchport ethernet 0/1 ethernet 1/1
QTECH(config-if-vlan)# exit
QTECH_2900(config)# ipaddress vlan 900
QTECH_2900(config)# ipaddress 10.14.0.253 255.255.255.128 10.14.0.254
QTECH_2900(config)# no ipaddress vlan 1
QTECH_2900(config)# interface range ethernet 1/1
QTECH_2900(config-if-ethernet-1/1)# speed 1000
QTECH_2900(config-if-ethernet-1/1)# exit
QTECH_2900(config)# dhcp-relay
QTECH_2900(config)# dhcp option82
QTECH_2900(config)# dhcp option82 format normal
QTECH_2900(config)# dhcp option82 remote-id string qtech
QTECH_2900(config)# dhcp max-hops 16
QTECH_2900(config)# vlan 900
QTECH_2900(config-if-vlan)# dhcpserver ip 192.168.200.11
QTECH_2900(config-if-vlan)# dhcpserver backupip 192.168.200.10
QTECH_2900(config-if-vlan)# interface ip 10.14.0.253 255.255.255.128 10.14.0.254
QTECH_2900(config-if-vlan)# exit

Теперь переходим к настройке DHCP snooping.

Включаем DHCP snooping

QTECH_2900(config)# dhcp-snooping

Укажем vlan для dhcp-snooping

QTECH_2900(config)# dhcp-snooping vlan 900

Посмотрим, что у нас вышло:

QTECH(config)# sh dhcp-snooping vlan 900
Config information of DHCP Snooping:
DHCP Snooping allowed vlans:
900
DHCP Snooping status:Enable
VLAN information:
VLAN maxclients clients
900 2048 0

Теперь добавим порт 1/1 в доверенные (trusted)

QTECH_2900(config)# interface ethernet 1/1
QTECH(config-if-ethernet-1/1)# dhcp-snooping trust
QTECH(config-if-ethernet-1/1)# exit

C DHCP snooping закончили, переходим к настройке ip-source-guard.

Включаем ip-source-guard на абонентских портах:

QTECH_2900(config)# interface range ethernet 0/1 to ethernet 0/24
QTECH_2900(config-if-range)# ip-source-guard
QTECH_2900(config-if-range)# exit

Посмотрим, что из этого вышло:

QTECH_2900(config)# sh ip-source-guard
Port Status
e0/1 enable
e0/2 enable
e0/3 enable
e0/4 enable
e0/5 enable
e0/6 enable
e0/7 enable
e0/8 enable
e0/9 enable
e0/10 enable
e0/11 enable
e0/12 enable
e0/13 enable
e0/14 enable
e0/15 enable
e0/16 enable
e0/17 enable
e0/18 enable
e0/19 enable
e0/20 enable
e0/21 enable
e0/22 enable
e0/23 enable
e0/24 enable
e1/1 disable
e2/1 disable
Total entries: 26 .

Собственно вот и вся настройка, для проверки подключим абонента, скажем к 1-му порту и проверим:

QTECH_29009(config)# sh dhcp-snooping clients
DHCP client information:
IPAddress mac vlan port
10.14.0.136 00:24:21:6d:ce:b6 900 e0/1

P.S
Есди хотите в ручную привязать мак и ip-адрес к порту, необходимо выполнить команду:

QTECH_2900(config)# ip-source-guard bind ip 10.14.0.136 mac 00:24:21:6d:ce:b6 interface ethernet 0/1

Где 10.14.0.136 – ip-адрес, 00:24:21:6d:ce:b6 – mac адрес абонента, а interface ethernet 0/1 – номер порта.




Все обзоры
ПОДПИСКА НА НОВОСТИ
Подписавшись на рассылку новостей, Вы будете 4-5 раз в месяц получать профессиональные обзоры сетевого оборудования QTECH, практичные готовые решения для организации сетей связи, информацию о новинках и специальных акциях компании.