Отправить запрос
    Базовая настройка DHCP-snooping на коммутаторах серии QSW-3300, QSW-3310,QSW-3750(TX/F), QSW-8200(RQ)

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Базовая настройка DHCP-snooping на коммутаторах серии QSW-3300, QSW-3310,QSW-3750(TX/F), QSW-8200(RQ)

    1. Фунционал DHCP_snooping
          DHCP-snooping (отслеживание протокола динамического конфигурирования сетвых устройств) — функционал коммутатора, для обеспечения заданного режима работы протокола DHCP при некорректном подключении сетевых устройств (например -  включение в клиенский порт сетевого устройства на котором запущен DHCP-сервер),  а также для  защиты от намеренного нарушения заданного режима работы протокола DHCP, таких как:
               - подмена DHCP-сервера  (DHCP-spoofing ) для последующего  перенаправления клиентского трафика и его прозрачного перехвата;
               - отказ в обслуживании  путем истощения адресного пула DHCP (DHCP-starvation)
         При включении DHCP-snooping коммутатор отслеживает процесс получения клиентами сетевой конфигурации по протоколу DHCP.  Для этого на коммутаторе указываются доверенные порты ( для подключения DHCP-сервера или DHCP-relay) и недоверенные порты(для подключения клиентов). Коммутатор пересылает  серверные DHCP-сообщения  (DHCPOFFER, DHCPACK,DHCPNACK ) полученные только на доверенных портах. Коммутатор пересылает клиентские DHCP-сообщения (DHCPDISCOVER, DHCPREQUEST, DHCPDecline, DHCPRelease, DHCPInform) только на доверенные порты. При получении серверных DHCP-сообщений на недоверенных портах можно настроить фиксацию этих событий в системном журнале. Также можно задать предельную скорость DHCP-сообщений на порту.

     2. Базовые команды конфигурирования DHCP-snooping

      2.1. Включение/выключение DHCP-snooping
              Глобальное включение/отключение
          (Config)# ip dhcp snooping enable               #Глобальное включение DHCP-Snooping
         (Config)#no ip dhcp snooping enable             #Глобальное выключение включение DHCP-Snooping
             Включение,отключение DHCP-snooping в выбранных vlan
          (Config)#ip dhcp snooping vlan 10-20 # Данная команда включает DHCP snooping для списка VLAN (в примере vlan с 10 по 20)
         (Config)#no ip dhcp snooping vlan 10-20 # Данная команда отключает DHCP snooping для списка VLAN (в примере vlan с 10 по 20) 
      
      2.2.Создание/удаление статической записи  DHCP-snooping
        (Config)#ip dhcp snooping binding 00:11:22:33:44:55 vlan 11 10.11.12.13 interface 1/0/10 #Статическая привязка DHCP Snooping.
       (Config)#no ip dhcp snooping binding 00:11:22:33:44:55  #Удаляет статическую привязку DHCP Snooping.
      2.3. Указание расположения базы данных DHCP-snooping
         (Config)#ip dhcp snooping database local                    #указываем локальное расположение базы-данных dhcp-snooping
        (Config)#ip dhcp snooping database tftp://host/filename #указываем удаленное расположение базы-данных dhcp-snooping
        (Config)#ip dhcp snooping database write-delay              #указываем интервал для сохранения базы dhcp-snooping в сек (default=300)
      2.4. Фильтрация сообщений DHCP на основе основе базы dhcp-snooping по  source-mac
         (Config)#ip dhcp snooping verify mac-address 
     
      2.5. Настройка предельной скорости получения DHCP-сообщений на порту коммутатора
         (Interface 1/0/x)#ip dhcp snooping limit rate 10 
        (Interface 1/0/x)#ip dhcp snooping limit rate 10 burst interval 10
      2.6. Настройка фиксации в системном журнале получения запрещенных пакетов на порту
        (Interface 1/0/x)#ip dhcp snooping log-invalid
      2.7.Указание порта как доверенного   
         (Interface 1/0/x)#ip dhcp snooping trust                   #для всех vlan
        (Interface 1/0/x)#ip dhcp snooping trust vlan 10-20,30-40  #для определенного списка vlan (в примере с 10 по 20 , а также с 30 по 40  )
    3. Базовые команды диагностики  DHCP-snooping

       3.1.Просмотр текущего статуса фунционала DHCP-snooping 
            #show ip dhcp snooping
       3.2 Просмотр таблицы привязок DHCP-snooping
            #show ip dhcp snooping binding
       3.3.Просмотр информации о конфигурации DHCP-snooping на интерфейсах
            #show ip dhcp snooping interfaces
       3.4 Просмотр статистики DHCP-snooping на интерфейсах
            #show ip dhcp snooping statistics
     4. Пример настройки DHCP-snooping. Порты 1/0/1 -1/0/4 для подключения клиентских ПК. Порт 1/0/5 - для подключения DHCP-сервера.
    DHCP snooping scketch QSW-3310.png
      (Config)#ip dhcp snooping enable
     (Config)#ip dhcp snooping vlan 1
     (Config)#ip dhcp snooping verify mac-address
     (Config)#interface 1/0/1-1/0/4
     (Interface 1/0/1-1/0/4)#ip dhcp snooping limit rate 3 burst interval 15
     (Interface 1/0/1-1/0/4)#ip dhcp snooping log-invalid
     (Interface 1/0/1-1/0/4)#exit
     (Config)#interface 1/0/5
     (Interface 1/0/5)#ip dhcp  snooping trust
     (Interface 1/0/5)#exit
     (Config)#exit


      


    Смотрите так же
    Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор...
    Vlan-translation VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж...
    Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610 Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.  Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:  ...

    К списку