Dell Networking SONiC: Dynamic Host Configuration Protocol Snooping

Summary: In dit artikel wordt uitgelegd hoe DHCP-snooping (Dynamic Host Configuration Protocol) wordt gebruikt in Dell Networking SONiC. Dit artikel gebruikt een switch met Dell SONiC 4.1.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Vereisten
Standaardinterface-naamgeving wordt gebruikt om de concepten aan te tonen. Zie het Dell artikel 202172 Dell Networking S serie: Basic Interface Configuration - SONiC 4.0 voor meer informatie over interfacenamen


Index

Inleiding
DHCP Layer 2 DHCP-configuratie
IPv4 DHCP-snoopingconfiguratie
Vermeldingen uit de IPv4 DHCP-snooping-bindingstabel
wissenIPv4 DHCP-snooping-informatie
weergevenIPv6 DHCP-snoopingconfiguratie
Vermeldingen uit de IPv6 DHCP-snooping-bindingstabel
wissenIPv6 DHCP-snooping-informatie weergeven
 

Inleiding

DHCP-snooping (Dynamic Host Configuration Protocol) is een beveiligingsfunctie waarmee switches in een netwerk DHCP-controleberichten kunnen bewaken. Een switch kan rogue DHCP-servers en clients in een netwerk identificeren met behulp van de controleberichten.

Wanneer u DHCP-snooping inschakelt, begint de switch met het bewaken van DHCP-controlepakketten, zowel vanaf DHCP-servers als clients. Het systeem gebruikt deze informatie om een database op te bouwen.

Er zijn twee soorten DHCP-snooping-interfaces; vertrouwde en niet-vertrouwde interfaces. U verbindt DHCP-clients met niet-vertrouwde interfaces en DHCP-servers met vertrouwde interfaces.

Wanneer de switch DHCP-berichten ontvangt van clients op niet-vertrouwde poorten, worden de pakketten doorgestuurd naar de vertrouwde poorten in hetzelfde VLAN. Wanneer u poorten configureert die verbinding maken met DHCP-servers als vertrouwd, valt het systeem alle DHCP-server-naar-clientberichten weg die het ontvangt op niet-vertrouwde interfaces.

Door het bron-MAC-adres in de Ethernet-header te controleren met het MAC-adres van de client in de DHCP-header, minimaliseert DHCP-snooping schadelijke DHCP-clients van het verkrijgen van een DHCP-lease.

Configuratieopmerkingen:
  • DHCP-snooping wordt ondersteund voor IPv4 en IPv6.
  • DHCPv6 snooping werkt alleen met DHCPv6 stateful server
  • Schakel DHCP-snooping wereldwijd en op specifieke VLAN's in.
  • Configureer poorten binnen het VLAN om vertrouwd of niet vertrouwd te zijn.
  • Alle poorten zijn standaard niet vertrouwd.
  • Sluit DHCP-servers aan via vertrouwde poorten.
  • Sluit DHCP-clients aan via niet-vertrouwde poorten.
  • Op niet-vertrouwde interfaces laat de switch DHCP-pakketten vallen als het bron-MAC-adres niet overeenkomt met het hardwareadres van de client. U kunt dit gedrag uitschakelen door de functie Mac-adres controleren uit te schakelen. Gebruik deze functie voor DHCP-relay- en DHCP-unicast-aanvraagpakketten die worden gerouteerd.
  • Wanneer u DHCP-snooping inschakelt, is de functie Verify MAC address standaard ingeschakeld.
  • DHCP-snooping wordt niet toegepast op VLAN's waarop snooping niet is ingeschakeld.
  • U kunt een handmatige vermelding configureren in de DHCP-snooping-bindingstabel.
  • Voordat u DHCP-snooping inschakelt, verwijdert u de DHCP Layer 3 DHCP-regel en installeert u de DHCP Layer 2 DHCP-regel. Raadpleeg voor meer informatie het gedeelte DHCP Layer 2 DHCP DHCP-configuratie .
 

DHCP Layer 2 DHCP-configuratie

Voer deze configuratie uit om DHCP-snooping te laten werken:
  1. Verwijder DHCP Layer 3 DHCP-regels. Dit is een standaardregel.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Installeer DHCP Layer 2 DHCP-regel voor DHCP-snooping.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

IPv4 DHCP-snoopingconfiguratie

Als u DHCP-snooping wilt configureren, gebruikt u de volgende procedure:
  1. Schakel DHCP-snooping wereldwijd in.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Configureer interfaces die zijn verbonden met de DHCP-server als vertrouwd.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Schakel DHCP-snooping in op een VLAN of een VLAN-lijst.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
OPMERKING: Het bovenstaande is een INFO-bericht. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Optioneel) DHCP-bron-MAC-adresverificatie uitschakelen
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Optioneel) Maak een statische vermelding in de DHCP-snooping-bindingstabel.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
OPMERKING: Gebruik de geen-vorm van de opdracht IP-bronbinding om een statische vermelding te verwijderen. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Verwijder vermeldingen uit de DHCP-snooping-bindingstabel voor IPv4

Gebruik de volgende opdrachten om alle of een specifieke dynamische vermelding te wissen:
  • Wis alle dynamische IP DHCP-snooping-bindingsvermeldingen:
sonic(config)# clear ip dhcp snooping binding
  • Een specifieke dynamische IP DHCP-snooping-vermelding wissen:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Dhcp-snoopingstatistieken wissen:
sonic# clear ip dhcp snooping statistics
 

DHCP-snooping-informatie weergeven voor IPv4.

  • Algemene informatie over DHCP-snooping weergeven:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • De DHCP-snooping-bindingsdatabase weergeven:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • DHCP-snoopingstatistieken weergeven:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

CONFIGUREER DHCP-snooping voor IPv6. 

Als u DHCP-snooping wilt configureren, gebruikt u de volgende procedure:

  1. Schakel DHCP-snooping wereldwijd in.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Configureer interfaces die zijn verbonden met de DHCP-server als vertrouwd.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Schakel DHCP-snooping in op een VLAN of een VLAN-lijst.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
OPMERKING: Het bovenstaande is een INFO-bericht. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Optioneel) DHCP-bron-MAC-adresverificatie uitschakelen
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Optioneel) Maak een statische vermelding in de DHCP-snooping-bindingstabel.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
OPMERKING: Gebruik de geen-vorm van de opdracht IP-bronbinding om een statische vermelding te verwijderen.

 

Verwijder vermeldingen uit de DHCP-snooping-bindingstabel voor IPv6 

Gebruik de volgende opdrachten om alle of een specifieke dynamische vermelding te wissen:

  • Wis alle dynamische IP DHCP-snooping-bindingsvermeldingen:
sonic(config)# clear ipv6 dhcp snooping binding
  • Een specifieke dynamische IP DHCP-snooping-vermelding wissen:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Dhcp-snoopingstatistieken wissen:
sonic# clear ipv6 dhcp snooping statistics

 

DHCP-snooping-informatie weergeven voor IPv6. 

  • Algemene informatie over DHCP-snooping weergeven:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • De DHCP-snooping-bindingsdatabase weergeven: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • DHCP-snoopingstatistieken weergeven: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Affected Products

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Article Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.