SONiC de Dell Networking: Búsqueda de protocolo de configuración dinámica de host
Summary: En este artículo, se explica acerca de la búsqueda del protocolo de configuración dinámica de host (DHCP) en SoNiC de Dell Networking. En este artículo, se utiliza un switch que ejecuta Dell SONiC 4.1. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
|
Requisitos previos
La denominación de interfaz estándar se utiliza para demostrar los conceptos. Consulte el artículo de Dell 202172 Dell Networking serie S: Configuración básica de la interfaz: SONiC 4.0 para obtener más información sobre la denominación de la interfaz |
Índice
Introducción
Configuración de COPP de capa 2 de
DHCPConfiguración
de búsqueda de DHCP IPv4Borrar entradas de la tabla de vinculación de búsqueda de DHCP IPv4
Ver información
de búsqueda de DHCP IPv4Configuración
de búsqueda de DHCP IPv6Borrar entradas de la tabla de vinculación de búsqueda de DHCP IPv6
Ver información de búsqueda de DHCP IPv6
Introducción
La supervisión del protocolo de configuración dinámica de host (DHCP) es una función de seguridad que permite que los switches de una red supervisen los mensajes de control de DHCP. Un switch puede identificar servidores DHCP no autorizados y clientes en una red mediante los mensajes de control.Cuando habilita la supervisión de DHCP, el switch comienza a monitorear los paquetes de control de DHCP desde los servidores DHCP y los clientes. El sistema utiliza esta información para crear una base de datos.
Hay dos tipos de interfaces de búsqueda de DHCP; interfaces confiables y no confiables. Los clientes DHCP se conectan a interfaces no confiables y los servidores DHCP a interfaces de confianza.
Cuando el switch recibe mensajes DHCP de clientes en puertos no confiables que reenvían los paquetes a los puertos de confianza en la misma VLAN. Cuando configura puertos que se conectan a servidores DHCP como de confianza, el sistema interrumpe los mensajes de servidor DHCP a cliente que recibe en interfaces no confiables.
Mediante la comprobación de la dirección MAC de origen en el encabezado Ethernet con la dirección MAC del cliente en el encabezado DHCP, la búsqueda de DHCP minimiza que los clientes DHCP maliciosos adquieran un alquiler de DHCP.
Notas de configuración:
- La búsqueda de DHCP es compatible con IPv4 e IPv6.
- La búsqueda de DHCPv6 solo funciona con el servidor con estado DHCPv6
- Habilite la búsqueda de DHCP globalmente y en VLAN específicas.
- Configure los puertos dentro de la VLAN para que sean de confianza o no sean de confianza.
- De manera predeterminada, todos los puertos no son de confianza.
- Conecte servidores DHCP a través de puertos de confianza.
- Conecte clientes DHCP a través de puertos no confiables.
- En interfaces no confiables, el switch interrumpe los paquetes DHCP si la dirección MAC de origen no coincide con la dirección de hardware del cliente. Puede deshabilitar este comportamiento desactivando la función Verificar dirección MAC. Utilice esta función para los paquetes de solicitud de unidifusión dhcp y retransmisión DHCP que se enrutan.
- Cuando habilita la búsqueda de DHCP, la función Verificar dirección MAC está habilitada de manera predeterminada.
- La búsqueda de DHCP no se aplica a las VLAN en las que la búsqueda no está habilitada.
- Puede configurar una entrada manual en la tabla de vinculación de búsqueda de DHCP.
- Antes de habilitar la búsqueda de DHCP, quite la regla DE COPP de capa 3 de DHCP e instale la regla COPP de capa 2 de DHCP. Para obtener más detalles, consulte la sección Configuración de COPP de capa 2 de DHCP .
Configuración de COPP de capa 2 de DHCP
Para que la búsqueda de DHCP funcione, realice esta configuración:- Desinstale las reglas COPP de capa 3 de DHCP. Esta es una regla predeterminada.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure terminal DELLSONiC(config)# policy-map copp-system-policy type copp DELLSONiC(config-policy-map)# no class copp-system-dhcp
-
Instale la regla COPP de capa 2 de DHCP para la búsqueda de DHCP.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure terminal DELLSONiC(config)# policy-map copp-system-policy type copp DELLSONiC(config-policy-map)# class copp-system-dhcpl2 DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
Configuración de búsqueda de DHCP IPv4
Para configurar la búsqueda de DHCP, utilice el siguiente procedimiento:- Habilite la búsqueda de DHCP globalmente.
sonic(config)# ip dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ip dhcp snooping
- Configure las interfaces que están conectadas al servidor DHCP como de confianza.
sonic(config-if)# ip dhcp snooping trust admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration ! interface Eth1/1 mtu 9100 speed 100000 unreliable-los auto no shutdown ip dhcp snooping trust DELLSONiC(config-if-Eth1/1)# DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Enabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- Habilite la búsqueda de DHCP en una VLAN o una lista de VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
NOTA: Lo anterior es un mensaje de INFORMACIÓN.
DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Enabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- (Opcional) Deshabilitar la verificación de la dirección MAC de origen dhcp
sonic(config)# no ip dhcp snooping verify mac-address admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Disabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1 DELLSONiC#
- (Opcional) Cree una entrada estática en la tabla de vinculación de búsqueda de DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
NOTA: Utilice la forma no del comando de vinculación de origen de IP para eliminar una entrada estática.
admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1
DELLSONiC# show ip dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IP Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:22 10.10.100.150 100 Eth1/1 static NA DELLSONiC#
Borrar entradas de la tabla de vinculación de búsqueda de DHCP para IPv4
Utilice los siguientes comandos para borrar todas las entradas dinámicas o específicas:- Borre todas las entradas de vinculación de sondeo de DHCP de IP dinámica:
sonic(config)# clear ip dhcp snooping binding
- Borre una entrada de vinculación de sondeo de DHCP IP dinámica específica:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
- Borrar estadísticas de búsqueda de DHCP:
sonic# clear ip dhcp snooping statistics
Ver información de búsqueda de DHCP para IPv4.
- Ver información general sobre la búsqueda de DHCP:
sonic# show ip dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Disabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- Vea la base de datos de vinculación de búsqueda de DHCP:
sonic# show ip dhcp snooping binding admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IP Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:22 10.10.100.150 100 Eth1/1 static NA
- Ver estadísticas de búsqueda de DHCP:
sonic# show ip dhcp snooping statistics admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping statistics Interface MAC Verify Client Ifc DHCP Server Failures Mismatch Msgs Recvd --------------- ---------- ---------- ----------- Eth1/1 0 0 0 Eth1/2 0 0 0 Eth1/3 0 0 0 Eth1/4 0 0 0 Eth1/5 0 0 0 Eth1/6 0 0 0 Eth1/7 0 0 0
Configure la búsqueda de DHCP para IPv6.
Para configurar la búsqueda de DHCP, utilice el siguiente procedimiento:
- Habilite la búsqueda de DHCP globalmente.
sonic(config)# ipv6 dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: DHCPv6 snooping trusted interfaces: DELLSONiC#
- Configure las interfaces que están conectadas al servidor DHCP como de confianza.
sonic(config-if)# ipv6 dhcp snooping trust admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration ! interface Eth1/1 mtu 9100 speed 100000 unreliable-los auto no shutdown ip dhcp snooping trust ipv6 dhcp snooping trust DELLSONiC(config-if-Eth1/1)#
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: DHCPv6 snooping trusted interfaces: Eth1/1
- Habilite la búsqueda de DHCP en una VLAN o una lista de VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
NOTA: Lo anterior es un mensaje de INFORMACIÓN.
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1
- (Opcional) Deshabilitar la verificación de la dirección MAC de origen dhcp
sonic(config)# no ipv6 dhcp snooping verify mac-address admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Disabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1 DELLSONiC#
- (Opcional) Cree una entrada estática en la tabla de vinculación de búsqueda de DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IPv6 Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:11 2001:db8:3333::7778 100 Eth1/1 static NA DELLSONiC#
NOTA: Utilice la forma no del comando de vinculación de origen de IP para eliminar una entrada estática.
Borrar entradas de la tabla de vinculación de búsqueda de DHCP para IPv6
Utilice los siguientes comandos para borrar todas las entradas dinámicas o específicas:
- Borre todas las entradas de vinculación de sondeo de DHCP de IP dinámica:
sonic(config)# clear ipv6 dhcp snooping binding
- Borre una entrada de vinculación de sondeo de DHCP IP dinámica específica:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
- Borrar estadísticas de búsqueda de DHCP:
sonic# clear ipv6 dhcp snooping statistics
Ver información de búsqueda de DHCP para IPv6.
- Ver información general sobre la búsqueda de DHCP:
sonic# show ipv6 dhcp snooping DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Disabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1 DELLSONiC#
- Vea la base de datos de vinculación de búsqueda de DHCP:
sonic# show ipv6 dhcp snooping binding DELLSONiC# show ipv6 dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IPv6 Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:11 2001:db8:3333::7778 100 Eth1/1 static NA DELLSONiC#
- Ver estadísticas de búsqueda de DHCP:
sonic# show ipv6 dhcp snooping statistics DELLSONiC# show ipv6 dhcp snooping statistics Interface MAC Verify Client Ifc DHCP Server Failures Mismatch Msgs Recvd --------------- ---------- ---------- ----------- Eth1/1 0 0 0 Eth1/2 0 0 0 Eth1/3 0 0 0 Eth1/4 0 0 0
Affected Products
Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ONArticle Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.