Dell Networking SONiC: Funkce Snooping protokolu Dynamic Host Configuration

Zusammenfassung: Tento článek vysvětluje, jak sledujete protokol DHCP (Dynamic Host Configuration Protocol) v nástroji Dell Networking SONiC. Tento článek používá přepínač s nástrojem Dell SONiC 4.1.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Požadavky
K demonstraci konceptů se používá standardní označování rozhraní. Přečtěte si článek společnosti Dell 202172 Dell Networking řady S: Basic Interface Configuration – SONiC 4.0 – další informace týkající se pojmenování rozhraní


Index

Úvod
Konfigurace
COPP vrstvy DHCP 2Konfigurace
funkce IPv4 DHCP SnoopingVymazání položek z tabulky Snooping Binding Table
protokolu IPv4 DHCPZobrazení informací o
funkce IPv4 DHCP SnoopingKonfigurace
funkce Snooping DHCP IPv6Vymazání položek z tabulky vazby funkce IPv6 DHCP Snooping
Zobrazení informací o funkce IPv6 DHCP Snooping
 

Úvod

Sledování protokolu DHCP (Dynamic Host Configuration Protocol) je bezpečnostní funkce, která umožňuje přepínačům v síti sledovat zprávy řízení DHCP. Přepínač může pomocí řídicích zpráv identifikovat falešných serverů DHCP a klientů v síti.

Když povolíte sledování serveru DHCP, přepínač začne sledovat pakety řízení DHCP ze serverů DHCP i klientů. Systém tyto informace používá k vytvoření databáze.

Existují dva typy rozhraní DHCP Snooping. důvěryhodná a nedůvěryhodná rozhraní. Připojíte klienty DHCP k nedůvěryhodným rozhraním a serverům DHCP k důvěryhodným rozhraním.

Když přepínač obdrží zprávy DHCP od klientů na nedůvěryhodných portech, předá pakety na důvěryhodné porty ve stejné síti VLAN. Když nakonfigurujete porty, které se připojují k serverům DHCP jako důvěryhodné, systém odstraní všechny zprávy dhcp-server-to-client, které obdrží na nedůvěryhodných rozhraních.

Kontrola zdrojové adresy MAC v záhlaví Sítě Ethernet s adresou MAC klienta v záhlaví DHCP minimalizuje získávání klientů DHCP se zlými úmysly v získání zapůjčení DHCP.

Poznámky ke konfiguraci:
  • Funkce snoopingu DHCP je podporována pro protokol IPv4 a IPv6.
  • Snooping DHCPv6 funguje pouze se stavovým serverem DHCPv6
  • Globální povolení funkce DHCP snooping a na určitých sítích VLAN.
  • Konfigurace portů v rámci sítě VLAN, aby byla důvěryhodná nebo nedůvěryhodná.
  • Ve výchozím nastavení nejsou všechny porty nedůvěryhodné.
  • Připojení serverů DHCP prostřednictvím důvěryhodných portů.
  • Připojení klientů DHCP prostřednictvím nedůvěryhodných portů.
  • V nedůvěryhodných rozhraních přepínač sníží pakety DHCP, pokud adresa MAC zdroje neodpovídá hardwarové adrese klienta. Toto chování můžete zakázat vypnutím funkce Verify MAC Address. Tuto funkci použijte pro směrované pakety typu relé DHCP a požadavek na jednosměrové vysílání DHCP.
  • Když povolíte funkci DHCP snooping, funkce Verify MAC Address je ve výchozím nastavení povolena.
  • Funkce "Snooping" DHCP se nenese na sítě VLAN, na kterých není funkce snooping povolena.
  • Ruční položku pro tabulku snooping binding DHCP můžete nakonfigurovat.
  • Před povolením funkce snoopingu DHCP odeberte pravidlo COPP vrstvy DHCP 3 a nainstalujte pravidlo COPP vrstvy DHCP 2. Další podrobnosti naleznete v části konfigurace COPP vrstvy DHCP 2 .
 

Konfigurace COPP vrstvy DHCP 2

Aby funkce funkce DHCP snooping fungovala, proveďte tuto konfiguraci:
  1. Odinstalace pravidel COPP vrstvy DHCP 3. Toto je výchozí pravidlo.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Instalace pravidla COPP vrstvy DHCP 2 pro snooping DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Konfigurace funkce IPv4 DHCP Snooping

Při konfiguraci funkce snoopingu DHCP postupujte následovně:
  1. Globální povolení funkce DHCP snooping.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Nakonfigurujte rozhraní připojená k serveru DHCP jako důvěryhodná.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Povolení funkce DHCP snooping na síti VLAN nebo seznamu sítí VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
POZNÁMKA: Výše uvedená zpráva je INFORMAČNÍ. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Volitelné) Zakažte ověřování zdrojové adresy MAC DHCP.
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Volitelné) Vytvořte statickou položku do tabulky snooping binding DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
POZNÁMKA: K odstranění statické položky použijte příkaz pro vazbu zdroje IP v podobě "no". 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Vymazání položek z tabulky snoopingu DHCP pro protokol IPv4

Chcete-li vymazat všechny nebo konkrétní dynamické položky, použijte následující příkazy:
  • Vymažte všechny položky dynamické vazby IP DHCP snooping:
sonic(config)# clear ip dhcp snooping binding
  • Vymažte konkrétní položku vazby dynamické IP DHCP snooping:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Vymažte statistiky funkce DHCP snooping:
sonic# clear ip dhcp snooping statistics
 

Zobrazení informací o snoopingu DHCP pro protokol IPv4.

  • Zobrazit obecné informace o snoopingu DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Zobrazení databáze vazby funkce snooping DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Zobrazení statistik funkce DHCP snoopingu:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Konfigurace funkce DHCP snooping pro protokol IPv6. 

Při konfiguraci funkce snoopingu DHCP postupujte následovně:

  1. Globální povolení funkce DHCP snooping.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Nakonfigurujte rozhraní připojená k serveru DHCP jako důvěryhodná.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Povolení funkce DHCP snooping na síti VLAN nebo seznamu sítí VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
POZNÁMKA: Výše uvedená zpráva je INFORMAČNÍ. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Volitelné) Zakažte ověřování zdrojové adresy MAC DHCP.
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Volitelné) Vytvořte statickou položku do tabulky snooping binding DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
POZNÁMKA: K odstranění statické položky použijte příkaz pro vazbu zdroje IP v podobě "no".

 

Vymazání položek z tabulky snoopingu DHCP pro protokol IPv6 

Chcete-li vymazat všechny nebo konkrétní dynamické položky, použijte následující příkazy:

  • Vymažte všechny položky dynamické vazby IP DHCP snooping:
sonic(config)# clear ipv6 dhcp snooping binding
  • Vymažte konkrétní položku vazby dynamické IP DHCP snooping:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Vymažte statistiky funkce DHCP snooping:
sonic# clear ipv6 dhcp snooping statistics

 

Zobrazení informací o snoopingu DHCP pro protokol IPv6. 

  • Zobrazit obecné informace o snoopingu DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Zobrazení databáze vazby funkce snooping DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Zobrazení statistik funkce DHCP snoopingu: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Betroffene Produkte

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Artikeleigenschaften
Artikelnummer: 000218723
Artikeltyp: How To
Zuletzt geändert: 31 Okt. 2023
Version:  2
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.