Dell Networking SONiC. Отслеживание протокола динамической конфигурации доступа

Summary: В этой статье описывается отслеживание протокола DHCP в Dell Networking SONiC. В этой статье используется коммутатор под управлением Dell SONiC 4.1.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Предварительные условия
Для демонстрации концепций используется стандартное именование интерфейсов. См. статью Dell 202172 Dell Networking серии S: Базовая конфигурация интерфейса — SONiC 4.0 для получения дополнительной информации об именовании интерфейсов


Индекс

Введение
Конфигурация COPP
уровня 2 DHCPКонфигурация отслеживания IPv4 DHCP
Очистка записей из таблицы привязки IPv4 DHCP для отслеживания
Просмотр информации об отслеживании IPv4 DHCP
Конфигурация отслеживания IPv6 DHCP
Очистка записей из таблицы привязки для отслеживания IPv6 DHCP
Просмотр информации о перехвате IPv6 DHCP
 

Введение

Отслеживание протокола DHCP — это функция безопасности, которая позволяет коммутаторам в сети отслеживать сообщения управления DHCP. Коммутатор может выявлять недобросообразные серверы DHCP и клиенты в сети с помощью сообщений управления.

При включении отслеживания DHCP коммутатор начинает мониторинг пакетов управления DHCP как с серверов DHCP, так и с клиентов. Система использует эту информацию для создания базы данных.

Существует два типа интерфейсов отслеживания DHCP: надежных и ненадежных интерфейсов. Клиенты DHCP подключаются к ненадежным интерфейсам и серверам DHCP к доверенным интерфейсам.

Когда коммутатор получает от клиентов сообщения DHCP на ненадежных портах, он пересылает пакеты в надежные порты в той же VLAN. Когда порты, подключенные к DHCP-серверам, настроены как надежные, система отключит все сообщения DHCP-сервера от клиента, получаемые на ненадежных интерфейсах.

Проверяя MAC-адрес исходной системы в заголовоке Ethernet с MAC-адресом клиента в заголовоке DHCP, отслеживание DHCP сводит к минимуму количество вредоносных клиентов DHCP от приобретения аренды DHCP.

Примечания к конфигурации:
  • Отслеживание DHCP поддерживается для IPv4 и IPv6.
  • Отслеживание DHCPv6 работает только с сервером DHCPv6 с отслеживанием состояния
  • Включите глобальное отслеживание DHCP и в определенных сетях VLAN.
  • Настройте порты в сети VLAN как надежные или ненадежные.
  • По умолчанию все порты ненадежные.
  • Подключите DHCP-серверы через доверенные порты.
  • Подключите клиенты DHCP через ненадежные порты.
  • В ненадежных интерфейсах коммутатор сбрасывает пакеты DHCP, если MAC-адрес источника не соответствует адресу оборудования клиента. Это поведение можно отключить, отключив функцию Verify MAC address (Проверить MAC-адрес). Используйте эту функцию для ретрансляторов DHCP и пакетов одноадресной передачи запросов DHCP, которые перенаправляются.
  • При включении отслеживания DHCP функция проверки MAC-адреса включена по умолчанию.
  • Отслеживание DHCP не применяется к VLAN, в которых отслеживание не включено.
  • Можно настроить ручную запись в таблице привязки отслеживания DHCP.
  • Перед включением отслеживания DHCP удалите правило COPP уровня 3 DHCP и установите правило COPP уровня 2 DHCP. Дополнительные сведения см. в разделе Конфигурация COPP уровня 2 DHCP .
 

Конфигурация COPP уровня 2 DHCP

Чтобы отслеживание DHCP было выполнено, выполните данной конфигурации:
  1. Удалите правила COPP уровня 3 DHCP. Это правило по умолчанию.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Установите правило COPP уровня 2 DHCP для отслеживания DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Конфигурация отслеживания IPv4 DHCP

Чтобы настроить отслеживание DHCP, выполните следующую процедуру:
  1. Включите глобальное отслеживание DHCP.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Настройте интерфейсы, подключенные к DHCP-серверу, как доверенные.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Включите отслеживание DHCP в VLAN или списке VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
ПРИМЕЧАНИЕ. Выше приведено сообщение INFO. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (дополнительно) Отключение проверки MAC-адреса источника DHCP
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (дополнительно) Создайте статическую запись в таблицу привязки отслеживания DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
ПРИМЕЧАНИЕ. Используйте команду привязки источника IP без формы, чтобы удалить статическую запись. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Удаление записей из таблицы привязки отслеживания DHCP для IPv4

Используйте следующие команды для очистки всех или определенной динамической строки:
  • Очистите все динамические записи привязки DHCP для отслеживания IP-адресов:
sonic(config)# clear ip dhcp snooping binding
  • Очистите конкретную запись привязки динамического ip-адреса DHCP для отслеживания:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Очистите статистику отслеживания DHCP:
sonic# clear ip dhcp snooping statistics
 

Просмотр информации о перехвате DHCP для IPv4.

  • Просмотр общих сведений о перехвате DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Просмотр базы данных привязки для отслеживания DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Просмотр статистики отслеживания DHCP:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Настройте отслеживание DHCP для IPv6. 

Чтобы настроить отслеживание DHCP, выполните следующую процедуру:

  1. Включите глобальное отслеживание DHCP.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Настройте интерфейсы, подключенные к DHCP-серверу, как доверенные.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Включите отслеживание DHCP в VLAN или списке VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
ПРИМЕЧАНИЕ. Выше приведено сообщение INFO. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (дополнительно) Отключение проверки MAC-адреса источника DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (дополнительно) Создайте статическую запись в таблицу привязки отслеживания DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
ПРИМЕЧАНИЕ. Используйте команду привязки источника IP без формы, чтобы удалить статическую запись.

 

Удаление записей из таблицы привязки отслеживания DHCP для IPv6 

Используйте следующие команды для очистки всех или определенной динамической строки:

  • Очистите все динамические записи привязки DHCP для отслеживания IP-адресов:
sonic(config)# clear ipv6 dhcp snooping binding
  • Очистите конкретную запись привязки динамического ip-адреса DHCP для отслеживания:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Очистите статистику отслеживания DHCP:
sonic# clear ipv6 dhcp snooping statistics

 

Просмотр информации о перехвате DHCP для IPv6. 

  • Просмотр общих сведений о перехвате DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Просмотр базы данных привязки для отслеживания DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Просмотр статистики отслеживания DHCP: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Affected Products

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Article Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.