Dell Networking SONiC: Podsłuchiwanie protokołu Dynamic Host Configuration Protocol

Summary: Ten artykuł zawiera informacje na temat podsłuchiwania protokołu DHCP (Dynamic Host Configuration Protocol) w dell Networking SONiC. W tym artykule wykorzystano przełącznik z technologią Dell SONiC 4.1. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Wymagania wstępne
Standardowe nazewnictwo interfejsów służy do demonstrowania koncepcji. Zapoznaj się z artykułem firmy Dell 202172 Dell Networking serii S: Konfiguracja interfejsu podstawowego — SONiC 4.0 — więcej informacji na temat nazewnictwa interfejsów


Indeks

Wprowadzenie
Konfiguracja
COPP warstwy DHCP 2Konfiguracja
podsłuchiwania DHCP IPv4Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP IPv4
Wyświetlanie informacji
o podsłuchiwaniu DHCP IPv4Konfiguracja
podsłuchiwania DHCP IPv6Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP IPv6
Wyświetlanie informacji o podsłuchiwaniu DHCP IPv6
 

Wprowadzenie

Podsłuchiwanie protokołu DHCP (Dynamic Host Configuration Protocol) to funkcja zabezpieczeń, która umożliwia przełącznikom w sieci monitorowanie komunikatów sterowania DHCP. Przełącznik może zidentyfikować fałszywe serwery i klienty DHCP w sieci przy użyciu komunikatów sterowania.

Po włączeniu podsłuchiwania DHCP przełącznik rozpoczyna monitorowanie pakietów sterowania DHCP zarówno z serwerów DHCP, jak i klientów. System używa tych informacji do utworzenia bazy danych.

Istnieją dwa typy interfejsów podsłuchiwania DHCP; zaufanych i niezaufanych interfejsów. Klienty DHCP są podłączane do niezaufanych interfejsów i serwerów DHCP do zaufanych interfejsów.

Gdy przełącznik odbiera komunikaty DHCP od klientów na niezaufanych portach, przekazuje pakiety do zaufanych portów w tej samej sieci VLAN. Po skonfigurowaniu portów łączących się z serwerami DHCP jako zaufanych system zrzuca wszystkie komunikaty DHCP-server-to-client otrzymywane w niezaufanych interfejsach.

Sprawdzając źródłowy adres MAC w nagłówku Ethernet z adresem MAC klienta w nagłówku DHCP, podsłuchiwanie DHCP minimalizuje pozyskiwanie dzierżawy DHCP przez złośliwe klienty DHCP.

Uwagi dotyczące konfiguracji:
  • Podsłuchiwanie DHCP jest obsługiwane przez protokół IPv4 i IPv6.
  • Podsłuchiwanie DHCPv6 działa tylko z serwerem stanu DHCPv6
  • Włącz globalne podsłuchiwanie DHCP i określone sieci VLAN.
  • Skonfiguruj porty w sieci VLAN tak, aby były zaufane lub niezaufane.
  • Domyślnie wszystkie porty są niezaufane.
  • Podłącz serwery DHCP za pośrednictwem zaufanych portów.
  • Podłączanie klientów DHCP za pośrednictwem niezaufanych portów.
  • W niezaufanych interfejsach przełącznik odrzuca pakiety DHCP, jeśli źródłowy adres MAC nie odpowiada adresowi sprzętoweowi klienta. Można wyłączyć to zachowanie, wyłączając funkcję Weryfikacja adresu MAC. Użyj tej funkcji dla przekaźnika DHCP i pakietów żądań emisji pojedynczej DHCP, które są kierowane.
  • Po włączeniu śledzeniu DHCP funkcja Sprawdzanie adresu MAC jest domyślnie włączona.
  • Podsłuchiwanie DHCP nie jest stosowane do sieci VLAN, na których podsłuchiwanie nie jest włączone.
  • Można skonfigurować ręczny wpis do tabeli powiązania podsłuchiwania DHCP.
  • Przed włączeniem podsłuchiwania DHCP usuń regułę COPP warstwy DHCP 3 i zainstaluj regułę COPP warstwy DHCP 2. Aby uzyskać więcej informacji, zapoznaj się z sekcją konfiguracji COPP warstwy DHCP 2 .
 

Konfiguracja COPP warstwy DHCP 2

Aby podsłuchiwanie DHCP działało, wykonaj następujące czynności konfiguracyjne:
  1. Odinstaluj reguły COPP warstwy DHCP 3. Jest to reguła domyślna.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Instalacja reguły COPP warstwy DHCP 2 dla podsłuchiwania DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Konfiguracja podsłuchiwania DHCP IPv4

Aby skonfigurować podsłuchiwanie DHCP, wykonaj następujące czynności:
  1. Włącz globalne podsłuchiwanie DHCP.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Konfiguracja interfejsów podłączonych do serwera DHCP jako zaufanych.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Włącz podsłuchiwanie DHCP na sieci VLAN lub na liście sieci VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
UWAGA: Powyższy komunikat zawiera informacje. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (opcjonalnie) Wyłącz weryfikację adresu MAC źródła DHCP
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (opcjonalnie) Utwórz statyczny wpis do tabeli powiązania podsłuchiwania DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
UWAGA: Użyj polecenia powiązania źródłowego ADRESU IP, aby usunąć wpis statyczny. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP dla IPv4

Użyj następujących poleceń, aby wyczyścić wszystkie lub określone wpisy dynamiczne:
  • Wyczyść wszystkie dynamiczne wpisy powiązania DHCP podsłuchiwania IP:
sonic(config)# clear ip dhcp snooping binding
  • Skasuj określony wpis powiązania podsłuchiwania IP DHCP:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Wyczyść statystyki podsłuchiwania DHCP:
sonic# clear ip dhcp snooping statistics
 

Wyświetlanie informacji o podsłuchiwaniu DHCP dla IPv4.

  • Wyświetlanie ogólnych informacji o podsłuchiwaniu DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Wyświetl bazę danych powiązania podsłuchiwania DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Wyświetlanie statystyk podsłuchiwania DHCP:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Konfiguracja podsłuchiwania DHCP dla IPv6. 

Aby skonfigurować podsłuchiwanie DHCP, wykonaj następujące czynności:

  1. Włącz globalne podsłuchiwanie DHCP.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Konfiguracja interfejsów podłączonych do serwera DHCP jako zaufanych.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Włącz podsłuchiwanie DHCP na sieci VLAN lub na liście sieci VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
UWAGA: Powyższy komunikat zawiera informacje. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (opcjonalnie) Wyłącz weryfikację adresu MAC źródła DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (opcjonalnie) Utwórz statyczny wpis do tabeli powiązania podsłuchiwania DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
UWAGA: Użyj polecenia powiązania źródłowego ADRESU IP, aby usunąć wpis statyczny.

 

Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP dla IPv6 

Użyj następujących poleceń, aby wyczyścić wszystkie lub określone wpisy dynamiczne:

  • Wyczyść wszystkie dynamiczne wpisy powiązania DHCP podsłuchiwania IP:
sonic(config)# clear ipv6 dhcp snooping binding
  • Skasuj określony wpis powiązania podsłuchiwania IP DHCP:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Wyczyść statystyki podsłuchiwania DHCP:
sonic# clear ipv6 dhcp snooping statistics

 

Wyświetlanie informacji o podsłuchiwaniu DHCP dla IPv6. 

  • Wyświetlanie ogólnych informacji o podsłuchiwaniu DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Wyświetl bazę danych powiązania podsłuchiwania DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Wyświetlanie statystyk podsłuchiwania DHCP: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Affected Products

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Article Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.