SONiC Dell Networking: Snooping (Dynamic Host Configuration Protocol)

Summary: Questo articolo illustra lo snooping DHCP (Dynamic Host Configuration Protocol) in Dell Networking SONiC. Questo articolo utilizza uno switch con Dell SONiC 4.1.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prerequisiti
La denominazione dell'interfaccia standard viene utilizzata per dimostrare i concetti. Consultare l'articolo Di Dell 202172 Dell Networking serie S: Configurazione dell'interfaccia di base - SONiC 4.0 per ulteriori informazioni sulla denominazione dell'interfaccia


Indice

Introduzione
Configurazione
COPP di livello 2 DHCPConfigurazione
dello snooping DHCP IPv4Cancellazione delle voci dalla tabella di binding Snooping DHCP IPv4
Visualizzazione delle informazioni
di snooping DHCP IPv4Configurazione
dello snooping DHCP IPv6Cancellazione delle voci dalla tabella di binding Snooping DHCP IPv6
Visualizzazione delle informazioni di snooping DHCP IPv6
 

Introduzione

Lo snooping DHCP (Dynamic Host Configuration Protocol) è una funzionalità di protezione che consente agli switch di una rete di monitorare i messaggi di controllo DHCP. Uno switch può identificare i client e i server DHCP non autorizzati in una rete utilizzando i messaggi di controllo.

Quando si abilita lo snooping DHCP, lo switch avvia il monitoraggio dei pacchetti di controllo DHCP sia dai server DHCP che dai client. Il sistema utilizza queste informazioni per creare un database.

Esistono due tipi di interfacce Snooping DHCP; interfacce affidabili e non attendibili. È possibile connettere client DHCP a interfacce non attendibili e server DHCP a interfacce attendibili.

Quando lo switch riceve messaggi DHCP dai client su porte non attendibili, inoltra i pacchetti alle porte attendibili nella stessa VLAN. Quando si configurano le porte che si connettono ai server DHCP come attendibili, il sistema rilascia qualsiasi messaggio DHCP-server-to-client ricevuto su interfacce non attendibili.

Controllando l'indirizzo MAC di origine nell'intestazione Ethernet con l'indirizzo MAC del client nell'intestazione DHCP, lo snooping DHCP riduce al minimo l'acquisizione di un lease DHCP da parte di client DHCP dannosi.

Note di configurazione:
  • Lo snooping DHCP è supportato per IPv4 e IPv6.
  • Lo snooping DHCPv6 funziona solo con il server con stato DHCPv6
  • Abilitare lo snooping DHCP a livello globale e su VLAN specifiche.
  • Configurare le porte all'interno della VLAN in modo che siano attendibili o non attendibili.
  • Per impostazione predefinita, tutte le porte non sono attendibili.
  • Connettere i server DHCP tramite porte affidabili.
  • Connettere i client DHCP tramite porte non attendibili.
  • Nelle interfacce non attendibili, lo switch disattiva i pacchetti DHCP se l'indirizzo MAC di origine non corrisponde all'indirizzo hardware del client. È possibile disabilitare questo comportamento disabilitando la funzione Verifica indirizzo MAC. Utilizzare questa funzione per i pacchetti di richiesta unicast DHCP e DHCP instradati.
  • Quando si abilita lo snooping DHCP, la funzione Verifica indirizzo MAC è abilitata per impostazione predefinita.
  • Lo snooping DHCP non viene applicato alle VLAN su cui lo snooping non è abilitato.
  • È possibile configurare una voce manuale nella tabella di binding di snooping DHCP.
  • Prima di abilitare lo snooping DHCP, rimuovere la regola COPP DHCP Layer 3 e installare la regola COPP DHCP Layer 2. Per ulteriori informazioni, consultare la sezione configurazione COPP layer 2 DHCP .
 

Configurazione COPP di livello 2 DHCP

Affinché lo snooping DHCP funzioni, eseguire questa configurazione:
  1. Disinstallare le regole COPP di DHCP Layer 3. Questa è una regola predefinita.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Installare la regola COPP DHCP Layer 2 per lo snooping DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Configurazione dello snooping DHCP IPv4

Per configurare lo snooping DHCP, utilizzare la seguente procedura:
  1. Abilitare lo snooping DHCP a livello globale.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Configurare le interfacce connesse al server DHCP come attendibili.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Abilitare lo snooping DHCP su una VLAN o su un elenco VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
NOTA: Quanto sopra è un messaggio INFO. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Opzionale) Disabilitare la verifica dell'indirizzo MAC di origine DHCP
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Opzionale) Creare una voce statica nella tabella di binding di snooping DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
NOTA: Utilizzare la forma no del comando di binding di origine IP per rimuovere una voce statica. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Cancellare le voci dalla tabella di binding snooping DHCP per IPv4

Utilizzare i seguenti comandi per cancellare tutte le voci dinamiche o una voce dinamica specifica:
  • Cancellare tutte le voci di binding dhcp IP dinamico:
sonic(config)# clear ip dhcp snooping binding
  • Cancellare una specifica voce di binding snooping DHCP DINAMICO:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Cancellare le statistiche di snooping DHCP:
sonic# clear ip dhcp snooping statistics
 

Visualizzare le informazioni di snooping DHCP per IPv4.

  • Visualizzare informazioni generali sullo snooping DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Visualizzare il database del binding di snooping DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Visualizzare le statistiche di snooping DHCP:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Configurare lo snooping DHCP per IPv6. 

Per configurare lo snooping DHCP, utilizzare la seguente procedura:

  1. Abilitare lo snooping DHCP a livello globale.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Configurare le interfacce connesse al server DHCP come attendibili.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Abilitare lo snooping DHCP su una VLAN o su un elenco VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
NOTA: Quanto sopra è un messaggio INFO. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Opzionale) Disabilitare la verifica dell'indirizzo MAC di origine DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Opzionale) Creare una voce statica nella tabella di binding di snooping DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
NOTA: Utilizzare la forma no del comando di binding di origine IP per rimuovere una voce statica.

 

Cancellare le voci dalla tabella di binding di snooping DHCP per IPv6 

Utilizzare i seguenti comandi per cancellare tutte le voci dinamiche o una voce dinamica specifica:

  • Cancellare tutte le voci di binding dhcp IP dinamico:
sonic(config)# clear ipv6 dhcp snooping binding
  • Cancellare una specifica voce di binding snooping DHCP DINAMICO:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Cancellare le statistiche di snooping DHCP:
sonic# clear ipv6 dhcp snooping statistics

 

Visualizzare le informazioni di snooping DHCP per IPv6. 

  • Visualizzare informazioni generali sullo snooping DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Visualizzare il database del binding di snooping DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Visualizzare le statistiche di snooping DHCP: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Affected Products

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Article Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.