کانفیگ و راه اندازی DHCP snooping در سیسکو ساده است، در این مقاله نحوه پیکره بندی و تنظیم DHCP snooping در تجهیزات Cisco را به شما عزیزان آموزش خواهیم داد، همراه داتیس نتورک باشید.
راه اندازی DHCP snooping در سیسکو
در شبکه های کامپیوتری DHCP snooping یک سری تکنیک هایی است که برای بهبود امنیت زیرساخت DHCP استفاده می شود.
هنگامی که سرورهای DHCP در حال اختصاص دادن آدرس IP به کلاینت های LAN هستند ،DHCP snooping را می توان بر روی سوئیچ های LAN پیکربندی کرد تا از ترافیک DHCP مخرب یا نادرست یا سرورهای DHCP rogue جلوگیری کند.
این سرویس پکت های مربوط به DHCP Server اصلی را هم sniff و بررسی میکند و از آن جدولی به نام DHCP Binding Table میسازد که در آن مشخص میشود که هر IP و Mac Address مربوط به کدام پورت است ، و اگر دیتایی از آیپی و مک invalidـی دریافت شود ، آنهارا Drop میکند.
در این مقاله قصد داریم نحوه کانفیگ و راه اندازی DHCP snooping در سیسکو را به شما عزیزان آموزش دهیم، همراه داتیس نتورک باشید.
مراحل پیکره بندی
در محیط سوئیچ سرور در مد کانفیگ ابتدا Dhcp snooping فعال شود :
datis.switch(config)#ip dhcp snooping
پورت های مورد نظر را تعیین شوند(همیشه پورت های Trunk باید Trust شوند تا packet اجازه عبور داشته باشد .و در صورت وجود سرور،پورت سرور نیز باید تنظیم شود)
datis.switch(config)#int range fastEthernet 0/22-24
datis.switch(config-if-range)#ip dhcp snooping trust
و سپس انتخاب vlan های vlan 1-4094 زیرا ممکن است بعدها در شبکه vlan جدید اضافه شود.:
datis.switch(config-if-range)#ip dhcp snooping vlan 1-4094
جهت مشاهده پیکربندی اعمال شده از دستور زیر استفاده شود:
datis.switch#sh ip dhcp snooping
پیکر بندی پورت DHCP-Server در DHCP snooping:
فقط فعالسازی و کانفیگ DHCP snooping کافی نیست.
ما باید برخی از پورت های سوئیچ را که به DHCP-Server متصل هستن به صورت Trust پیکربندی کنیم:
Switch1(config)#interface eth 0/3
Switch1(config-if)#ip dhcp snooping trust
تنظیم محدودیت های پیام های DHCP روی پورتهای سوییچ
حمله DoS به سرور DHCP نوع دیگری از حمله است که نفوذگر می تواند با یک تکنیک خاص آن را کند و یا از کار بی اندازد.
این حمله با ارسال درخواستهای بسیار برای IP انجام میشود و DHCP-Server نیز همه آنها را پردازش و پاسخ می دهد.
برای برطرف کردن این حمله DoS ، می توان این ویژگی امنیتی لایه ۲ را تنظیم کرد تا تعداد پیام های DHCP در ثانیه را که مجاز به عبور از پورتهای سوئیچ هستند را محدود کند.
در این روش ما آهسته یا به طور کامل مانع از جاری شدن سیل درخواست های DHCP غیر واقعی خواهیم کرد.
برای تعیین حد مجاز پیام های DHCP در یک پورت به پنج پیام در هر ثانیه از این دستور استفاده می کنیم:
Switch1(config)#interface eth 0/0 Switch1(config-if)#ip dhcp snooping limit rate 5
امیدواریم مقاله آموزش مراحل پیکره بندی DHCP snooping در Cisco مفید بوده باشد.
داتیس نتورک را در شبکه های اجتماعی دنبال کنید.
