Hướng dẫn chi tiết cách cấu hình dhcp Snooping trên switch cisco

mo-hinh-dhcp-option-82

Cấu hình DHCP Snooping có chức năng như một bức tường lửa để ngăn chặn việc giả mạo DHCP Server để gửi các gói tin DHCP giả mạo. Vậy cách cấu hình DHCP trên Switch Cisco như thế nào?

Tính năng DHCP Snooping là gì?

DHCP Snooping là một tính năng như một bức tường lửa bảo mật giúp ngăn chặn các cuộc tấn công vào hệ thống mạng của các doanh nghiệp. Các tin tặc sẽ cố gắng gửi các thông tin giả mạo nhằm đánh lừa Switch ha máy tính nhằm chuyển tiếp dữ liệu doanh nghiệp tới Gateway giả mạo. Mục đích chính của các tin tặc là trở thành man in the middle, nhằm giả mạo DHCP Server trả lời cho các gói tin DHCPDISCOVER trước khi DHC Server thật sự trả lời. Từ đó, DHCP giả sẽ gửi thông tin cấu hình IP, trong đó có Gateway giả mạo.

Khi máy tính của người dùng gửi dữ liệu đến Gateway ra mạng bên ngoài, các máy tính của các hacker sẽ trở thành Gateway trong trường hợp này. Tin tặc sẽ phân tích các thông tin chuyển tới máy tính của họ (Gateway giả).

Với tính năng DHCP Snooping, IP Source Guard và Dynamic được tích hợp trên Cisco Switch sẽ giúp bảo vệ và ngăn chặn các cuộc tấn công mạng. Thông thường, mỗi Server DHCP sẽ có chức năng cung cấp các thông tin cơ bản cho một máy tính bất kỳ hoạt động trên mạng.

Xem thêm: Tổng hợp các phiên bản Windows Server

Cách cấu hình DHCP Snooping trên Switch Cisco

Mô tả

Các client sẽ kết nối với port untrusted, client sẽ gửi thông điệp DHCPDISCOVER với DHCP Snooping đã được bật lên thì Switch chỉ forward thông điệp DHCP broadcast đến các cổng trusted. Trong mô hình DHCP Snooping, distribution switch sẽ đóng vai trò là một DHCP Server. Trong đó, Trusted port là port duy nhất cho phép DHCP Server gửi thông điệp trả lời DHCPOFFER.

mo-hinh-cau-hinh-dhcp-snooping

Mô hình cấu hình DHCP Snooping

Cách cấu hình

Đầu tiên, chúng ta vào SW1 rồi bật tính năng DHCP Snooping.

SW1(config)#ip dhcp snooping

Sau đó chúng ta cần kích hoạt cho các VLAN, khi đó chúng ta chỉ dùng cho VLAN1.

SW1(config)#ip dhcp snooping vlan 1

Lúc này, chúng ta sẽ cấu hình interface f0/1 kết nối với DSW1 là một trusted port.

SW1(config)#interface f0/1

SW1(config-if)#ip dhcp snooping trust

Chúng ta cần kích hoạt rate limiting trên các cổng untrusted để giới hạn packet được truyền nhận mỗi giây để ngăn chặn việc quá tải DHCP Server.

SW1(config)#interface f0/1

SW1(config-if)#ip dhcp snooping limit rate 25

Kiểm tra

Lúc này, chúng ta sẽ kiểm tra lại cấu hình DHCP Snooping

cach-kiem-tra-cau-hinh-dhcp-Snooping

Cách kiểm tra cấu hình DHCP Snooping

Tiếp đến, chúng ta sẽ kết nối máy tính client vào cổng Fa0/24 trên SW1 để xin IP động. Khi đó, chúng ta sẽ thấy các IP được cấp đã được DHCP Snooping lưu lại

Mô hình DHCP Option 82

mo-hinh-dhcp-option-82

Mô hình DHCP Option 82

Trong mô hình DHCP Option 82, các cổng đối diện với DHCP Server là Fa0/2 trên SW1, Fa0/11 trên SW2, các cổng này đã được cấu hình là trusted. Trong đó SW1 sẽ chèn DHCP Option 82 vào các packet mà mô hình này nhận được từ client. Cũng theo mặc định, SW2 sẽ hủy các packet này khi nhận được vì 1 Switch khi kích hoạt DHCP Snooping các packet trên cổng untrusted có chứa Option 82 hoặc có giaddr khác 0 sẽ bị hủy. Đây sẽ là thông điệp mà chúng ta thấy nếu debug trên SW2 thì SW1 gửi DHCPDISCOVER ra cổng.

Fa0/2%DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port

Vì cổng Fa0/24 trên SW2 là một cổng untrusted nên nó sẽ hủy các packet từ client gửi đến vì có chứa Option 82 do SW1 đã kích hoạt DHCP Snooping, nên các packet sẽ không bao giờ đến được DSW1. Vì thế, chúng ta sẽ sử dụng lệnh trên SW2 để trusted các gói tin chứa DHCP Option 82 được nhận trên cổng untrusted để giải quyết vấn đề đó.

SW2(config)#ip dhcp snooping information option allow-untrusted

Để tránh việc DHCP Server từ chối các gói tin chứa Option 82, chúng ta cần trust trên DSW1.

DSW1(config)#ip dhcp relay information trust-all

Ngoài ra, chúng ta vẫn có các cách khác như cấu hình trusted trên Fa0/24 của SW2 hoặc chúng ta có thể cấu hình trên SW1.

SW1(config)# #no ip dhcp snooping information option

Hy vọng qua bài viết về cấu hình DHCP Snooping của chúng tôi phía trên, bạn đã có thêm những thông tin bổ ích về tính năng này.

Xem thêm: https://datech.vn/tuong-lua-firewall-la-gi-cac-chuc-nang-cua-firewall

Hãy bình luận đầu tiên

Để lại một phản hồi

Thư điện tử của bạn sẽ không được hiện thị công khai.


*