Dhcp snooping là gì

DHCP-Snooping là khả năng kháng hàng fake DHCPhường Server, chỉ rất nhiều DHCP. Server được sự cho phép của Admin bắt đầu có quyền cấp cho DHCP đến máy vi tính vào mạng.Quý Khách vẫn xem: Dhcp snooping là gì


Bạn đang xem: Dhcp snooping là gì

*

DHCP-Snooping là tài năng kháng giả mạo DHCP.. Server, chỉ phần lớn DHCPhường Server được sự chất nhận được của Admin new tất cả quyền cung cấp DHCP. cho máy tính xách tay vào mạng.Tính năng phòng giả mạo IP.. tốt kháng giả mạo MAC Address (ARPhường Inspection) những chuyển động dựa trên DHCP-Snooping. Chính bởi vậy DHCP-Snooping là phương pháp luôn luôn phải có Khi mong mỏi nâng cao tính bảo mật đến mạng LAN bằng phương pháp ngăn chặn đa số người dùng thực hiện phần mềm hàng nhái MAC, IP.. với mục tiêu xấu.
*



Xem thêm: Chứng Chỉ Ncea Là Gì - Tìm Hiểu Chứng Chỉ Ncea Của New Zealand

*

Hình 2. Switch IP-Com dùng làm thông số kỹ thuật DHCPhường SnoopingCách cấu hình DHCP Snooping bên trên SwitchĐầu tiên họ đã vào SW1 với nhảy kĩ năng DHCPhường Snooping:SW1(config)#ip dhcp snoopingChúng ta cần được kích hoạt cho các VLAN, trong trường hòa hợp này họ chỉ sử dụng mang lại VLAN1SW1(config)#ip dhcp snooping vlan 1Bây giờ đồng hồ họ đã thông số kỹ thuật interface f0/1 kết nối với DSW1 là một trusted port:SW1(config)#interface f0/1SW1(config-if)#ip dhcp snooping trustChúng ta đề xuất kích hoạt rate limiting bên trên những cổng untrusted nhằm số lượng giới hạn packet được truyền nhấn từng giây. Được thực hiện nhằm ngăn ngừa bài toán tiến công DHCP server bằng cách gửi không hề ít đề nghị cho DHCP.. server tạo cho DHCPhường hệ thống hết sạch các IP.. hỗ trợ mang đến clientSW1(config)#interface f0/1SW1(config-if)#ip dhcp snooping limit rate 25Kiểm traBây giờ chúng ta đã chất vấn lại cấu hình DHCPhường SnoopingSW1#show ip dhcp snoopingSwitch DHCPhường snooping is enabledDHCP.. snooping is configured on following VLANs: 1Insertion of option 82 is enabledOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterface Trusted Rate limit (pps)----------------------- ------- ----------------FastEthernet0/24 no unlimitedFastEthernet0/1 yes 25Tiếp theo bọn họ vẫn kết nối laptop client vào cổng Fa0/24 trên SW1 để xin IP. hễ, bạn cũng có thể thấy các IP được cấp đã có được DHCP. Snooping lưu lại:SW1#show ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN InterfaceDHCPhường Option 82Do Lúc kích hoạt tính năng DHCPhường Snooping trên SW1, DHCPhường Option 82 sẽ tiến hành cấp dưỡng các DHCP packet Lúc đi sang 1 switch. Option 82 cất công bố cụ thể về port mà client kết nối tới. Các gói tin DHCPhường cũng có theo một trường “giaddr” khoác định được tùy chỉnh cấu hình là 0.0.0.0 (một quý giá không giống 0)Khi DHCP.. Snooping hoặc DHCP relay agent được kích hoạt, DHCP Option 82 sẽ tiến hành cung ứng DHCPhường packet Lúc đi sang 1 switch. Option 82 chứa báo cáo cụ thể về port nhưng client kết nối cho tới.
*



Xem thêm: Render Là Gì ? Phần Mềm Rendering Tốt Nhất 2019 Render Là Gì

Hình 3. Mô hình DHCP. Snooping Option 82Trong mô hình này, các cổng đối diện cùng với DHCPhường Server là Fa0/2 trên SW1, Fa0/11 bên trên SW2, những cổng này đã có được thông số kỹ thuật là trusted. Mặc định SW1 đang cyếu DHCPhường. Option 82 vào toàn bộ những packet nhưng nó nhận được từ client. Cũng theo khoác định thì SW2 đã diệt các packet này Khi cảm nhận bởi vì một switch Khi DHCPhường. Snooping được kích hoạt đang diệt các packet bên trên cổng untrusted có cất Option 82 hoặc tất cả giaddr không giống 0 (ví dụ 0.0.0.0). Dưới đó là thông điệp nhưng mà họ thấy được ví như debug trên SW2 Khi SW1 gửi DHCPDISCOVER ra cổng Fa0/2%DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted portChúng ta rất có thể thấy cổng Fa0/24 bên trên SW2 là một cổng untrusted do đó nó vẫn bỏ những packet trường đoản cú Client gửi mang đến bởi tất cả cất Option 82 vị bên trên SW1 đã kích hoạt DHCPhường Snooping, các packet sẽ không khi nào mang lại được DSW1. Chúng ta sẽ giải quyết vụ việc này bằng cách áp dụng một lệnh bên trên SW2 vẫn trusted các gói tin đựng DHCP.. Option 82 được trao bên trên cổng untrusted (Fa0/24).SW2(config)#ip dhcp snooping information option allow-untrustedBởi vày DHCPhường Server của bọn họ là 1 trang bị Cisteo IOS, khoác định nó sẽ khước từ những gói tin đựng Option 82 đề xuất họ cũng rất cần được trust trên DSW1DSW1(config)#ip dhcp relay information trust-allDường như họ còn có một vài biện pháp khác ví như cấu hình trusted trên Fa0/24 của SW2 hoặc chúng ta cũng có thể thông số kỹ thuật trên SW1 (SW1(config)# #no ip dhcp snooping information option).LightJSC phân phối hận switch IP-Com, Airlive sầu...thông số kỹ thuật DHCP.. Snooping, liên hệ ngay với công ty chúng tôi để được tứ vấnLiên hệMs.Giang-0965072484Gmail-giangntChuyên mục: Hỏi Đáp

Chuyên mục: Hỏi Đáp