Dell Networking SONiC: Відстеження протоколу динамічної конфігурації хоста

Zusammenfassung: У цій статті пояснюється відстеження протоколу динамічної конфігурації хоста (DHCP) у Dell Networking SONiC. У цій статті використовується комутатор під керуванням Dell SONiC 4.1.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Передумови
Для демонстрації концепцій використовується стандартне найменування інтерфейсу. Дивіться статтю Dell 202172 Dell Networking S-Series: Базова конфігурація інтерфейсу - SONiC 4.0 для отримання додаткової інформації про іменування інтерфейсів


Індекс

Введення
Конфігурація
DHCP рівня 2 COPPКонфігурація
відстеження IPv4 DHCPОчистити записи з таблиці прив'язки відстеження IPv4 DHCP
Перегляд інформації про
стеження IPv4 DHCPКонфігурація
відстеження IPv6 DHCPОчистіть записи з таблиці прив'язки відстеження IPv6 DHCP
Перегляд інформації про відстеження IPv6 DHCP
 

Введення

Відстеження протоколу динамічної конфігурації хоста (DHCP) — це функція безпеки, яка дозволяє комутаторам у мережі відстежувати керуючі повідомлення DHCP. Комутатор може ідентифікувати шахрайські DHCP-сервери та клієнтів у мережі за допомогою керуючих повідомлень.

Коли ви вмикаєте відстеження DHCP, комутатор починає відстежувати пакети керування DHCP як із серверів DHCP, так і з клієнтів. Система використовує цю інформацію для побудови бази даних.

Існує два типи інтерфейсів DHCP Snooping; довірені та ненадійні інтерфейси. Ви підключаєте клієнти DHCP до ненадійних інтерфейсів, а DHCP-сервери – до довірених інтерфейсів.

Коли комутатор отримує DHCP-повідомлення від клієнтів на недовірених портах, він пересилає пакети на довірені порти в тому ж VLAN. Коли ви налаштовуєте порти, які з'єднуються з серверами DHCP, як надійні, система відкидає будь-які повідомлення DHCP-server-to-client, які вона отримує на ненадійних інтерфейсах.

Звіряючи вихідну MAC-адресу в заголовку Ethernet з клієнтською MAC-адресою в заголовку DHCP, відстеження DHCP мінімізує можливість зловмисних клієнтів DHCP отримати оренду DHCP.

Примітки щодо конфігурації:
  • Відстеження DHCP підтримується для IPv4 та IPv6.
  • Відстеження DHCPv6 працює лише з сервером зі збереженням стану DHCPv6
  • Увімкніть відстеження DHCP глобально та на певних VLAN.
  • Налаштуйте порти в VLAN на довірені або ненадійні.
  • За замовчуванням усі порти є ненадійними.
  • Підключайте DHCP-сервери через довірені порти.
  • Підключайте DHCP-клієнти через ненадійні порти.
  • На ненадійних інтерфейсах комутатор скидає пакети DHCP, якщо вихідна MAC-адреса не збігається з адресою апаратного забезпечення клієнта. Ви можете вимкнути цю поведінку, вимкнувши функцію Перевірка MAC-адреси. Використовуйте цю функцію для ретрансляції DHCP і одноадресних пакетів запитів DHCP, які маршрутизуються.
  • Коли ви вмикаєте відстеження DHCP, функція «Перевірка MAC-адреси» вмикається за замовчуванням.
  • DHCP Snooping не застосовується до VLAN, на яких не ввімкнено стеження.
  • Ви можете налаштувати ручне введення в таблицю прив'язки стеження DHCP.
  • Перш ніж увімкнути відстеження DHCP, видаліть правило DHCP рівня 3 COPP і встановіть правило DHCP рівня 2 COPP. Для отримання більш детальної інформації дивіться розділ конфігурації DHCP Layer 2 COPP .
 

Конфігурація DHCP рівня 2 COPP

Щоб відстеження DHCP працювало, виконайте таку конфігурацію:
  1. Видаліть правила DHCP рівня 3 COPP. Це правило за замовчуванням.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Встановіть правило DHCP рівня 2 COPP для відстеження DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Конфігурація відстеження IPv4 DHCP

Щоб налаштувати відстеження DHCP, виконайте наступну процедуру:
  1. Увімкніть відстеження DHCP глобально.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Налаштуйте інтерфейси, які з'єднано з сервером DHCP, як надійні.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Увімкніть відстеження DHCP у VLAN або списку VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
ПРИМІТКА: Наведене вище є INFO-повідомленням. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Необов'язково.) Вимкніть перевірку MAC-адреси джерела DHCP
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Необов'язково.) Створіть статичний запис у таблицю зв'язування DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
ПРИМІТКА: Скористайтеся командою no для прив'язки джерела IP, щоб видалити статичний запис. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Очистіть записи з таблиці прив'язки відстеження DHCP для IPv4

Скористайтеся наведеними нижче командами, щоб очистити весь або певний динамічний запис:
  • Очистіть усі динамічні записи прив'язки IP DHCP:
sonic(config)# clear ip dhcp snooping binding
  • Очистіть певний динамічний запис прив'язки відстеження IP DHCP:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Чиста статистика стеження DHCP:
sonic# clear ip dhcp snooping statistics
 

Перегляд інформації про відстеження DHCP для IPv4.

  • Перегляньте загальну інформацію про стеження за DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Перегляньте базу даних прив'язки DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Переглянути статистику стеження за DHCP:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Налаштуйте відстеження DHCP для IPv6. 

Щоб налаштувати відстеження DHCP, виконайте наступну процедуру:

  1. Увімкніть відстеження DHCP глобально.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Налаштуйте інтерфейси, які з'єднано з сервером DHCP, як надійні.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Увімкніть відстеження DHCP у VLAN або списку VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
ПРИМІТКА: Наведене вище є INFO-повідомленням. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Необов'язково.) Вимкніть перевірку MAC-адреси джерела DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Необов'язково.) Створіть статичний запис у таблицю зв'язування DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
ПРИМІТКА: Скористайтеся командою no для прив'язки джерела IP, щоб видалити статичний запис.

 

Очистіть записи з таблиці прив'язки відстеження DHCP для IPv6 

Скористайтеся наведеними нижче командами, щоб очистити весь або певний динамічний запис:

  • Очистіть усі динамічні записи прив'язки IP DHCP:
sonic(config)# clear ipv6 dhcp snooping binding
  • Очистіть певний динамічний запис прив'язки відстеження IP DHCP:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Чиста статистика стеження DHCP:
sonic# clear ipv6 dhcp snooping statistics

 

Перегляд інформації про відстеження DHCP для IPv6. 

  • Перегляньте загальну інформацію про стеження за DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Перегляньте базу даних прив'язки DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Переглянути статистику стеження за DHCP: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Betroffene Produkte

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Artikeleigenschaften
Artikelnummer: 000218723
Artikeltyp: How To
Zuletzt geändert: 31 Okt. 2023
Version:  2
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.