Настройка DHCP snooping в связке с ip-source-guard на QTECH QSW-2900
Задача: настроить на коммутаторе QTECH QSW-2900 DHCP snooping в связке с ip-source-guard, для этого нам так же необходимо будет настроить на коммутаторе dhcp relay.
Оборудование:
- DHCP-сервер 192.168.200.11/24
- Коммутатор L2 ( QTECH QSW-2900 ) в роли агента DHCP Relay - IP 10.14.0.253/25
- DHCP – клиент, подсоединённые к 1-му порту коммутатора
- Vlan: 900
Итак, приступим, но для начала немного теории.
DHCP snooping — функция коммутаторах, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.
DHCP snooping регулирует только сообщения DHCP. Некоторые функции коммутаторов, не имеющие непосредственного отношения к DHCP, могут выполнять проверки на основании таблицы привязок DHCP snooping (DHCP snooping binding database). В их числе:
- IP Source Guard — выполняет проверку IP-адреса отправителя на основании таблицы привязок DHCP snooping или статических соответствий, предназначенная для борьбы с IP-spoofingом.
Для правильной работы DHCP snooping необходимо указать, какие порты коммутатора будут доверенными, а какие — ненадёжными:
- Ненадёжные (Untrusted) — порты, к которым подключены клиенты. DHCP-ответы, приходящие с этих портов, отбрасываются коммутатором. Для ненадёжных портов выполняется ряд проверок сообщений DHCP и создаётся база данных привязки DHCP (DHCP snooping binding database).
- Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор или DHCP-сервер.
Приступаем к настройке коммутатора:
Создадим vlan 900 назначим его на порт 1/1, как тегированный, а на абонентский порт 0/1 как акцесный. Уберем vlan 1 с этих портов, создадим ip интерфейс, включим dhcp-relay. Более подробно описано в статье Настройка DHCP Relay Option 82 на коммутаторах Qtech QSW-2900.
|
QTECH_2900> en QTECH_2900# conf t QTECH_2900(config)# vlan 900 QTECH_2900(config-if-vlan)# exit QTECH_2900(config)# interface ethernet 1/1 QTECH_2900(config-if-ethernet-1/1)# switchport mode trunk QTECH_2900(config-if-ethernet-1/1)# switchport trunk allowed vlan 900 QTECH_2900(config-if-ethernet-1/1)# switchport trunk native vlan 900 QTECH_2900(config-if-ethernet-1/1)# exit QTECH_2900(config)# interface ethernet 0/1 QTECH_2900(config-if-ethernet-0/1)# switchport mode access QTECH_2900(config-if-ethernet-0/1)# switchport access vlan 900 QTECH_2900(config-if-ethernet-0/1)# exit QTECH_2900(config)# vlan 1 QTECH(config-if-vlan)# no switchport ethernet 0/1 ethernet 1/1 QTECH(config-if-vlan)# exit QTECH_2900(config)# ipaddress vlan 900 QTECH_2900(config)# ipaddress 10.14.0.253 255.255.255.128 10.14.0.254 QTECH_2900(config)# no ipaddress vlan 1 QTECH_2900(config)# interface range ethernet 1/1 QTECH_2900(config-if-ethernet-1/1)# speed 1000 QTECH_2900(config-if-ethernet-1/1)# exit QTECH_2900(config)# dhcp-relay QTECH_2900(config)# dhcp option82 QTECH_2900(config)# dhcp option82 format normal QTECH_2900(config)# dhcp option82 remote-id string qtech QTECH_2900(config)# dhcp max-hops 16 QTECH_2900(config)# vlan 900 QTECH_2900(config-if-vlan)# dhcpserver ip 192.168.200.11 QTECH_2900(config-if-vlan)# dhcpserver backupip 192.168.200.10 QTECH_2900(config-if-vlan)# interface ip 10.14.0.253 255.255.255.128 10.14.0.254 QTECH_2900(config-if-vlan)# exit |
Теперь переходим к настройке DHCP snooping.
Включаем DHCP snooping
|
QTECH_2900(config)# dhcp-snooping |
Укажем vlan для dhcp-snooping
|
QTECH_2900(config)# dhcp-snooping vlan 900 |
Посмотрим, что у нас вышло:
QTECH(config)# sh dhcp-snooping vlan 900
Config information of DHCP Snooping:
DHCP Snooping allowed vlans:
900
DHCP Snooping status:Enable
VLAN information:
VLAN maxclients clients
900 2048 0
Теперь добавим порт 1/1 в доверенные (trusted)
|
QTECH_2900(config)# interface ethernet 1/1 QTECH(config-if-ethernet-1/1)# dhcp-snooping trust QTECH(config-if-ethernet-1/1)# exit |
C DHCP snooping закончили, переходим к настройке ip-source-guard.
Включаем ip-source-guard на абонентских портах:
|
QTECH_2900(config)# interface range ethernet 0/1 to ethernet 0/24 QTECH_2900(config-if-range)# ip-source-guard QTECH_2900(config-if-range)# exit |
Посмотрим, что из этого вышло:
QTECH_2900(config)# sh ip-source-guard
Port Status
e0/1 enable
e0/2 enable
e0/3 enable
e0/4 enable
e0/5 enable
e0/6 enable
e0/7 enable
e0/8 enable
e0/9 enable
e0/10 enable
e0/11 enable
e0/12 enable
e0/13 enable
e0/14 enable
e0/15 enable
e0/16 enable
e0/17 enable
e0/18 enable
e0/19 enable
e0/20 enable
e0/21 enable
e0/22 enable
e0/23 enable
e0/24 enable
e1/1 disable
e2/1 disable
Total entries: 26 .
Собственно вот и вся настройка, для проверки подключим абонента, скажем к 1-му порту и проверим:
QTECH_29009(config)# sh dhcp-snooping clients
DHCP client information:
IPAddress mac vlan port
10.14.0.136 00:24:21:6d:ce:b6 900 e0/1
P.S
Есди хотите в ручную привязать мак и ip-адрес к порту, необходимо выполнить команду:
|
QTECH_2900(config)# ip-source-guard bind ip 10.14.0.136 mac 00:24:21:6d:ce:b6 interface ethernet 0/1 |
Где 10.14.0.136 – ip-адрес, 00:24:21:6d:ce:b6 – mac адрес абонента, а interface ethernet 0/1 – номер порта.
