SONiC do Dell Networking: Dynamic Host Configuration Protocol Snooping
Summary: Este artigo explica sobre o snooping do DHCP (Dynamic Host Configuration Protocol) no Dell Networking SONiC. Este artigo usa um comutador que executa o Dell SONiC 4.1.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
|
Pré-requisitos
A nomenclatura de interface padrão é usada para demonstrar os conceitos. Consulte o artigo da Dell 202172 Dell Networking Série S: Configuração básica de interface - SONiC 4.0 para obter mais informações sobre nomenclatura de interface |
Índice
Introdução
Configuração de COPP
de camada 2 do DHCPConfiguração de snooping
de DHCP IPv4Limpar entradas da tabela de vinculação de snooping
do DHCP IPv4Exibir informações de snooping
do DHCP IPv4Configuração de snooping
de DHCP IPv6Limpar entradas da tabela de vinculação de snooping
do DHCP IPv6Exibir informações de snooping do DHCP IPv6
Introdução
O snooping do DHCP (Dynamic Host Configuration Protocol) é um recurso de segurança que permite que os switches de uma rede monitorem mensagens de controle do DHCP. Um switch pode identificar clients e servidores DHCP mal-intencionados em uma rede usando as mensagens de controle.Quando você habilita o snooping do DHCP, o comutador começa a monitorar os pacotes de controle do DHCP a partir de clients e servidores DHCP. O sistema usa essas informações para criar um banco de dados.
Há dois tipos de interfaces de snooping do DHCP; interfaces confiáveis e não confiáveis. Você conecta clients DHCP a interfaces não confiáveis e servidores DHCP a interfaces confiáveis.
Quando o switch recebe mensagens DHCP de clients em portas não confiáveis que encaminha os pacotes para as portas confiáveis na mesma VLAN. Quando você configura as portas que se conectam aos servidores DHCP como confiáveis, o sistema descarta todas as mensagens de servidor DHCP para client que ele recebe em interfaces não confiáveis.
Ao verificar o endereço MAC de origem no cabeçalho Ethernet com o endereço MAC do client no cabeçalho do DHCP, o snooping do DHCP minimiza a aquisição de uma concessão de DHCP para clients DHCP mal-intencionados.
Notas de configuração:
- O snooping do DHCP é compatível com IPv4 e IPv6.
- O snooping do DHCPv6 funciona apenas com o servidor stateful DHCPv6
- Habilite o snooping do DHCP globalmente e em VLANs específicas.
- Configure as portas dentro da VLAN para serem confiáveis ou não confiáveis.
- Por padrão, todas as portas não são confiáveis.
- Conecte servidores DHCP por meio de portas confiáveis.
- Conecte clients DHCP por meio de portas não confiáveis.
- Em interfaces não confiáveis, o switch descarta pacotes DHCP se o endereço MAC de origem não corresponder ao endereço de hardware do client. Você pode desativar esse comportamento desativando o recurso Verificar endereço MAC. Use esse recurso para pacotes de solicitação unicast DHCP e de retransmissão DHCP que são roteados.
- Quando você habilita o snooping do DHCP, o recurso Verify MAC address é ativado por padrão.
- O snooping do DHCP não é aplicado às VLANs nas quais o snooping não está ativado.
- Você pode configurar uma entrada manual para a tabela de vinculação de snooping do DHCP.
- Antes de ativar o snooping do DHCP, remova a regra DHCP Layer 3 COPP e instale a regra DHCP Layer 2 COPP. Para obter mais detalhes, consulte a seção Configuração de COPP de camada 2 do DHCP .
Configuração de COPP de camada 2 do DHCP
Para que o snooping do DHCP funcione, execute esta configuração:- Desinstale as regras de COPP da camada 3 do DHCP. Esta é uma regra padrão.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure terminal DELLSONiC(config)# policy-map copp-system-policy type copp DELLSONiC(config-policy-map)# no class copp-system-dhcp
-
Instale a regra DHCP Layer 2 COPP para snooping do DHCP.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure terminal DELLSONiC(config)# policy-map copp-system-policy type copp DELLSONiC(config-policy-map)# class copp-system-dhcpl2 DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
Configuração de snooping de DHCP IPv4
Para configurar o snooping do DHCP, use o seguinte procedimento:- Habilite o snooping do DHCP globalmente.
sonic(config)# ip dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ip dhcp snooping
- Configure as interfaces conectadas ao servidor DHCP como confiáveis.
sonic(config-if)# ip dhcp snooping trust admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration ! interface Eth1/1 mtu 9100 speed 100000 unreliable-los auto no shutdown ip dhcp snooping trust DELLSONiC(config-if-Eth1/1)# DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Enabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- Habilite o snooping do DHCP em uma lista de VLAN ou VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
Nota: A mensagem acima é INFO.
DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Enabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- (Opcional) Desabilitar a verificação do endereço MAC de origem do DHCP
sonic(config)# no ip dhcp snooping verify mac-address admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Disabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1 DELLSONiC#
- (Opcional) Crie uma entrada estática na tabela de vinculação de snooping do DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
Nota: Use o comando no form of the IP source binding para remover uma entrada estática.
admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1
DELLSONiC# show ip dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IP Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:22 10.10.100.150 100 Eth1/1 static NA DELLSONiC#
Limpar entradas da tabela de vinculação de snooping do DHCP para IPv4
Use os seguintes comandos para limpar toda ou uma entrada dinâmica específica:- Limpe todas as entradas de vinculação de snooping do DHCP do IP dinâmico:
sonic(config)# clear ip dhcp snooping binding
- Limpe uma entrada de vinculação de snooping DHCP DHCP dinâmica específica:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
- Limpe as estatísticas de snooping do DHCP:
sonic# clear ip dhcp snooping statistics
Exibir informações de snooping do DHCP para IPv4.
- Visualize informações gerais sobre o snooping do DHCP:
sonic# show ip dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Disabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- Visualize o banco de dados de vinculação de snooping do DHCP:
sonic# show ip dhcp snooping binding admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IP Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:22 10.10.100.150 100 Eth1/1 static NA
- Exibir estatísticas de snooping do DHCP:
sonic# show ip dhcp snooping statistics admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping statistics Interface MAC Verify Client Ifc DHCP Server Failures Mismatch Msgs Recvd --------------- ---------- ---------- ----------- Eth1/1 0 0 0 Eth1/2 0 0 0 Eth1/3 0 0 0 Eth1/4 0 0 0 Eth1/5 0 0 0 Eth1/6 0 0 0 Eth1/7 0 0 0
Configure o snooping do DHCP para IPv6.
Para configurar o snooping do DHCP, use o seguinte procedimento:
- Habilite o snooping do DHCP globalmente.
sonic(config)# ipv6 dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: DHCPv6 snooping trusted interfaces: DELLSONiC#
- Configure as interfaces conectadas ao servidor DHCP como confiáveis.
sonic(config-if)# ipv6 dhcp snooping trust admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration ! interface Eth1/1 mtu 9100 speed 100000 unreliable-los auto no shutdown ip dhcp snooping trust ipv6 dhcp snooping trust DELLSONiC(config-if-Eth1/1)#
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: DHCPv6 snooping trusted interfaces: Eth1/1
- Habilite o snooping do DHCP em uma lista de VLAN ou VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
Nota: A mensagem acima é INFO.
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1
- (Opcional) Desabilitar a verificação do endereço MAC de origem do DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Disabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1 DELLSONiC#
- (Opcional) Crie uma entrada estática na tabela de vinculação de snooping do DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IPv6 Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:11 2001:db8:3333::7778 100 Eth1/1 static NA DELLSONiC#
Nota: Use o comando no form of the IP source binding para remover uma entrada estática.
Limpar entradas da tabela de vinculação de snooping do DHCP para IPv6
Use os seguintes comandos para limpar toda ou uma entrada dinâmica específica:
- Limpe todas as entradas de vinculação de snooping do DHCP do IP dinâmico:
sonic(config)# clear ipv6 dhcp snooping binding
- Limpe uma entrada de vinculação de snooping DHCP DHCP dinâmica específica:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
- Limpe as estatísticas de snooping do DHCP:
sonic# clear ipv6 dhcp snooping statistics
Exibir informações de snooping do DHCP para IPv6.
- Visualize informações gerais sobre o snooping do DHCP:
sonic# show ipv6 dhcp snooping DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Disabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1 DELLSONiC#
- Visualize o banco de dados de vinculação de snooping do DHCP:
sonic# show ipv6 dhcp snooping binding DELLSONiC# show ipv6 dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IPv6 Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:11 2001:db8:3333::7778 100 Eth1/1 static NA DELLSONiC#
- Exibir estatísticas de snooping do DHCP:
sonic# show ipv6 dhcp snooping statistics DELLSONiC# show ipv6 dhcp snooping statistics Interface MAC Verify Client Ifc DHCP Server Failures Mismatch Msgs Recvd --------------- ---------- ---------- ----------- Eth1/1 0 0 0 Eth1/2 0 0 0 Eth1/3 0 0 0 Eth1/4 0 0 0
Affected Products
Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ONArticle Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.