Dell Networking SONiC: Snooping av dynamisk värdkonfigurationsprotokoll

Summary: I den här artikeln beskrivs DHCP-snooping (Dynamic Host Configuration Protocol) i Dell Networking SONiC. I den här artikeln används en switch som kör Dell SONiC 4.1.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Förutsättningar
Standardgränssnittnamngivning används för att demonstrera koncepten. Se Dell-artikeln 202172 Dell Networking S-serien: Grundläggande gränssnittskonfiguration – SONiC 4.0 för mer information om gränssnittsnamngivning


Index

Införandet
DHCP Layer 2 COPP-konfiguration
Konfiguration av IPv4 DHCP-snooping
Rensa poster från IPv4 DHCP-snoopingbindningstabellen
Visa information om
IPv4 DHCP-snoopingKonfiguration av IPv6 DHCP-snooping
Rensa poster från IPv6 DHCP-snoopingbindningstabellen
Visa information om IPv6 DHCP-snooping
 

Introduktion

DHCP-snooping (Dynamic Host Configuration Protocol) är en säkerhetsfunktion som gör det möjligt för switchar i ett nätverk att övervaka DHCP-kontrollmeddelanden. En switch kan identifiera falska DHCP-servrar och klienter i ett nätverk med hjälp av kontrollmeddelandena.

När du aktiverar DHCP-snooping börjar switchen övervaka DHCP-kontrollpaket både från DHCP-servrar och klienter. Systemet använder den här informationen för att skapa en databas.

Det finns två typer av DHCP-snoopinggränssnitt; betrodda och icke-betrodda gränssnitt. Du ansluter DHCP-klienter till icke-betrodda gränssnitt och DHCP-servrar till betrodda gränssnitt.

När switchen tar emot DHCP-meddelanden från klienter på ej betrodda portar vidarebefordrar den paketen till de betrodda portarna i samma VLAN. När du konfigurerar portar som ansluter till DHCP-servrar som betrodda tappar systemet alla DHCP-server-to-client-meddelanden som det tar emot i ej betrodda gränssnitt.

Genom att kontrollera källans MAC-adress i Ethernet-rubriken med klientens MAC-adress i DHCP-rubriken minimerar DHCP-snooping skadliga DHCP-klienter från att hämta ett DHCP-leasingavtal.

Konfigurationsanteckningar:
  • DHCP-snooping stöds för IPv4 och IPv6.
  • DHCPv6-snooping fungerar endast med den tillståndskänsliga servern DHCPv6
  • Aktivera DHCP-snooping globalt och på specifika VLAN-nätverk.
  • Konfigurera portar i VLAN-nätverket så att de är betrodda eller ej betrodda.
  • Som standard är alla portar inte betrodda.
  • Anslut DHCP-servrar via betrodda portar.
  • Anslut DHCP-klienter via ej betrodda portar.
  • På icke-betrodda gränssnitt tappar switchen DHCP-paket om käll-MAC-adressen inte matchar klientens maskinvaruadress. Du kan avaktivera det här beteendet genom att avaktivera funktionen För verifiering av MAC-adress. Använd den här funktionen för DHCP-relä och DHCP-unicast-begärandepaket som dirigeras.
  • När du aktiverar DHCP-snooping är verifiering av MAC-adressfunktionen aktiverad som standard.
  • DHCP-snooping tillämpas inte på VLAN där snooping inte är aktiverat.
  • Du kan konfigurera en manuell post till bindningstabellen för DHCP-snooping.
  • Innan du aktiverar DHCP-snooping tar du bort DHCP Layer 3 COPP-regeln och installerar DHCP Layer 2 COPP-regeln. Mer information finns i avsnittet DHCP Layer 2 COPP-konfiguration .
 

DHCP Layer 2 COPP-konfiguration

Gör följande för att DHCP-snooping ska fungera:
  1. Avinstallera DHCP Layer 3 COPP-regler. Det här är en standardregel.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Installera DHCP Layer 2 COPP-regeln för DHCP-snooping.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Konfiguration av IPv4 DHCP-snooping

Använd följande procedur för att konfigurera DHCP-snooping:
  1. Aktivera DHCP-snooping globalt.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Konfigurera gränssnitt som är anslutna till DHCP-servern som betrodda.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Aktivera DHCP-snooping på ett VLAN eller ett VLAN-lista.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
Obs! Ovanstående är ett INFO-meddelande. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Tillval) Avaktivera DHCP-käll-MAC-adressverifiering
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Tillval) Skapa en statisk post till bindningstabellen med DHCP-snooping.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
Obs! Använd no-formen av IP-källbindningskommandot för att ta bort en statisk post. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Rensa poster från bindningstabellen för DHCP-snooping för IPv4

Använd följande kommandon för att rensa alla eller en specifik dynamisk post:
  • Rensa alla dynamiska IP DHCP-snoopingbindningsposter:
sonic(config)# clear ip dhcp snooping binding
  • Rensa en specifik dynamisk IP DHCP-snoopingbindningspost:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Rensa DHCP-snoopingstatistik:
sonic# clear ip dhcp snooping statistics
 

Visa dhcp-snoopinginformation för IPv4.

  • Visa allmän information om DHCP-snooping:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Visa DHCP-snoopingbindningsdatabasen:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Visa DHCP-snoopingstatistik:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Konfigurera DHCP-snooping för IPv6. 

Använd följande procedur för att konfigurera DHCP-snooping:

  1. Aktivera DHCP-snooping globalt.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Konfigurera gränssnitt som är anslutna till DHCP-servern som betrodda.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Aktivera DHCP-snooping på ett VLAN eller ett VLAN-lista.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
Obs! Ovanstående är ett INFO-meddelande. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Tillval) Avaktivera DHCP-käll-MAC-adressverifiering
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Tillval) Skapa en statisk post till bindningstabellen med DHCP-snooping.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
Obs! Använd no-formen av IP-källbindningskommandot för att ta bort en statisk post.

 

Rensa poster från bindningstabellen för DHCP-snooping för IPv6 

Använd följande kommandon för att rensa alla eller en specifik dynamisk post:

  • Rensa alla dynamiska IP DHCP-snoopingbindningsposter:
sonic(config)# clear ipv6 dhcp snooping binding
  • Rensa en specifik dynamisk IP DHCP-snoopingbindningspost:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Rensa DHCP-snoopingstatistik:
sonic# clear ipv6 dhcp snooping statistics

 

Visa DHCP-snoopinginformation för IPv6. 

  • Visa allmän information om DHCP-snooping:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Visa DHCP-snoopingbindningsdatabasen: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Visa DHCP-snoopingstatistik: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Affected Products

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Article Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.