Базовая настройка DHCP-snooping на коммутаторах серии QSW-3300, QSW-3310,QSW-3750(TX/F), QSW-8200(RQ)

1. Фунционал DHCP_snooping
      DHCP-snooping (отслеживание протокола динамического конфигурирования сетвых устройств) — функционал коммутатора, для обеспечения заданного режима работы протокола DHCP при некорректном подключении сетевых устройств (например -  включение в клиенский порт сетевого устройства на котором запущен DHCP-сервер),  а также для  защиты от намеренного нарушения заданного режима работы протокола DHCP, таких как:
           - подмена DHCP-сервера  (DHCP-spoofing ) для последующего  перенаправления клиентского трафика и его прозрачного перехвата;
           - отказ в обслуживании  путем истощения адресного пула DHCP (DHCP-starvation)
     При включении DHCP-snooping коммутатор отслеживает процесс получения клиентами сетевой конфигурации по протоколу DHCP.  Для этого на коммутаторе указываются доверенные порты ( для подключения DHCP-сервера или DHCP-relay) и недоверенные порты(для подключения клиентов). Коммутатор пересылает  серверные DHCP-сообщения  (DHCPOFFER, DHCPACK,DHCPNACK ) полученные только на доверенных портах. Коммутатор пересылает клиентские DHCP-сообщения (DHCPDISCOVER, DHCPREQUEST, DHCPDecline, DHCPRelease, DHCPInform) только на доверенные порты. При получении серверных DHCP-сообщений на недоверенных портах можно настроить фиксацию этих событий в системном журнале. Также можно задать предельную скорость DHCP-сообщений на порту.

 2. Базовые команды конфигурирования DHCP-snooping

  2.1. Включение/выключение DHCP-snooping
          Глобальное включение/отключение

      (Config)# ip dhcp snooping enable               #Глобальное включение DHCP-Snooping

      (Config)#no ip dhcp snooping enable             #Глобальное выключение включение DHCP-Snooping

         Включение,отключение DHCP-snooping в выбранных vlan

      (Config)#ip dhcp snooping vlan 10-20 # Данная команда включает DHCP snooping для списка VLAN (в примере vlan с 10 по 20)

      (Config)#no ip dhcp snooping vlan 10-20 # Данная команда отключает DHCP snooping для списка VLAN (в примере vlan с 10 по 20) 

  
  2.2.Создание/удаление статической записи  DHCP-snooping

    (Config)#ip dhcp snooping binding 00:11:22:33:44:55 vlan 11 10.11.12.13 interface 1/0/10 #Статическая привязка DHCP Snooping.

    (Config)#no ip dhcp snooping binding 00:11:22:33:44:55  #Удаляет статическую привязку DHCP Snooping.

  2.3. Указание расположения базы данных DHCP-snooping

     (Config)#ip dhcp snooping database local                    #указываем локальное расположение базы-данных dhcp-snooping

     (Config)#ip dhcp snooping database tftp://host/filename    #указываем удаленное расположение базы-данных dhcp-snooping

     (Config)#ip dhcp snooping database write-delay              #указываем интервал для сохранения базы dhcp-snooping в сек (default=300)

  2.4. Фильтрация сообщений DHCP на основе основе базы dhcp-snooping по  source-mac

     (Config)#ip dhcp snooping verify mac-address 
 

  2.5. Настройка предельной скорости получения DHCP-сообщений на порту коммутатора

     (Interface 1/0/x)#ip dhcp snooping limit rate 10 

     (Interface 1/0/x)#ip dhcp snooping limit rate 10 burst interval 10

  2.6. Настройка фиксации в системном журнале получения запрещенных пакетов на порту

    (Interface 1/0/x)#ip dhcp snooping log-invalid

 

  2.7.Указание порта как доверенного   

     (Interface 1/0/x)#ip dhcp snooping trust                   #для всех vlan

     (Interface 1/0/x)#ip dhcp snooping trust vlan 10-20,30-40  #для определенного списка vlan (в примере с 10 по 20 , а также с 30 по 40  )

3. Базовые команды диагностики  DHCP-snooping

   3.1.Просмотр текущего статуса фунционала DHCP-snooping 

        #show ip dhcp snooping

   3.2 Просмотр таблицы привязок DHCP-snooping

        #show ip dhcp snooping binding

 

   3.3.Просмотр информации о конфигурации DHCP-snooping на интерфейсах

        #show ip dhcp snooping interfaces

 

   3.4 Просмотр статистики DHCP-snooping на интерфейсах

        #show ip dhcp snooping statistics

 4. Пример настройки DHCP-snooping. Порты 1/0/1 -1/0/4 для подключения клиентских ПК. Порт 1/0/5 - для подключения DHCP-сервера.

  (Config)#ip dhcp snooping enable

  (Config)#ip dhcp snooping vlan 1

  (Config)#ip dhcp snooping verify mac-address

  (Config)#interface 1/0/1-1/0/4

  (Interface 1/0/1-1/0/4)#ip dhcp snooping limit rate 3 burst interval 15

  (Interface 1/0/1-1/0/4)#ip dhcp snooping log-invalid

  (Interface 1/0/1-1/0/4)#exit

  (Config)#interface 1/0/5

  (Interface 1/0/5)#ip dhcp  snooping trust

  (Interface 1/0/5)#exit

  (Config)#exit