Dell Networking SONiC: Dinamik Ana Bilgisayar Yapılandırma Protokolü Gözetlemesi

Summary: Bu makalede, Dell Networking SONiC'de Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) gözetlemesi açıklanmaktadır. Bu makale, Dell SONiC 4.1 çalıştıran bir anahtar kullanır.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Önkoşullar
Kavramları göstermek için standart arabirim adlandırması kullanılır. Dell Networking S Serisi 202172 Dell makalesine bakın: Temel Arabirim Yapılandırması - Arayüz adlandırması ile ilgili daha fazla bilgi için SONiC 4.0


Dizin

Giriş
DHCP Katman 2 KOİP Yapılandırması
IPv4 DHCP Gizli Arama Yapılandırması
IPv4 DHCP Gizli Arama Bağlama Tablosundan Girişleri Temizleme
IPv4 DHCP Gizli Arama Bilgilerini Görüntüleme
IPv6 DHCP Gizli Arama Yapılandırması
IPv6 DHCP Gizli Arama Bağlama Tablosundan Girişleri Temizleme
IPv6 DHCP Gizli Arama Bilgilerini Görüntüleme
 

Giriş

Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) gözetlemesi, ağdaki anahtarların DHCP denetim mesajlarını izlemesini sağlayan bir güvenlik özelliğidir. Anahtar, denetim mesajlarını kullanarak bir ağ üzerindeki rogue DHCP sunucularını ve istemcilerini tespit etme.

DHCP gözetlemeyi etkinleştirseniz anahtar, DHCP sunucularından ve istemcilerden DHCP denetim paketlerini izlemeye başlar. Sistem, veritabanı oluşturmak için bu bilgileri kullanır.

İki tür DHCP Gözetleme arabirimi vardır; güvenilir ve güvenilir olmayan arabirimler. DHCP istemcilerini güvenilir olmayan arabirimlere ve DHCP sunucularına güvenilir arabirimlere bağlayın.

Anahtar, güvenilir olmayan bağlantı noktalarındaki istemcilerden DHCP mesajları aldığında paketleri aynı VLAN'da güvenilir bağlantı noktalarına iletir. DHCP sunucularına bağlanan bağlantı noktalarını güvenilir olarak yapılandırsanız sistem, güvenilmeyen arabirimlerde aldığı DHCP sunucudan istemciye tüm mesajları bırakır.

DHCP gözetlemesi, Ethernet başlığındaki kaynak MAC adresini DHCP başlığındaki istemci MAC adresiyle kontrol etmek, kötü amaçlı DHCP istemcilerinin DHCP kiralamasını almalarını en aza indirir.

Yapılandırma Notları:
  • IPv4 ve IPv6 için DHCP gözetlemesi desteklenir.
  • DHCPv6 gözetlemesi yalnızca DHCPv6 durum bilgisi olan sunucuyla çalışır
  • DHCP gözetlemesini genel olarak ve belirli VLAN'larda etkinleştirin.
  • VLAN içindeki bağlantı noktalarını güvenilir veya güvenilir olmayan şekilde yapılandırın.
  • Varsayılan olarak, tüm bağlantı noktalarına güvenilmeyen bağlantı noktalarıdır.
  • DHCP sunucularını güvenilir bağlantı noktaları üzerinden bağlayın.
  • DHCP istemcilerini güvenilmeyen bağlantı noktaları üzerinden bağlayın.
  • Kaynak MAC adresi istemci donanım adresiyle eşleşmiyorsa anahtar, güvenilmeyen arabirimler üzerinde DHCP paketlerini bırakır. Mac adresini doğrula özelliğini devre dışı bırakarak bu davranışı devre dışı yapılandırmasını sönersiniz. Yönlendiren DHCP aktarma ve DHCP tek noktaya yayın isteği paketleri için bu özelliği kullanın.
  • DHCP gözetlemeyi etkinleştirildiğinde MAC adresini doğrulama özelliği varsayılan olarak etkindir.
  • DHCP Gözetlemesi, gizli aramanın etkinleştirilmemiş olduğu VLAN'lara uygulanmaz.
  • DHCP gözetleme bağlama tablosuna manuel bir giriş yapılandırabilirsiniz.
  • DHCP gözetlemeyi etkinleştirmeden önce DHCP Katman 3 KOİP kuralını kaldırın ve DHCP Katman 2 KOORP kuralını takın. Daha fazla ayrıntı için DHCP Katman 2 KOİP yapılandırması bölümüne bakın.
 

DHCP Katman 2 KOİP Yapılandırması

DHCP gözetlemesi çalışması için bu yapılandırmayı gerçekleştirin:
  1. DHCP Katman 3 KOİP kurallarını kaldırma. Bu, varsayılan bir kuraldır.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. DHCP gözetlemesi için DHCP Katman 2 KOİP kuralı yükleme.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

IPv4 DHCP Gizli Arama Yapılandırması

DHCP gözetlemesi yapılandırmak için aşağıdaki prosedürü kullanın:
  1. DHCP gözetlemeyi genel olarak etkinleştirin.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. DHCP sunucusuna bağlı arabirimleri güvenilir olarak yapılandırın.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. VLAN'da veya VLAN listesinde DHCP gözetlemesini etkinleştirin.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
NOT: Yukarıdaki bilgiler bir INFO mesajıdır. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (İsteğe bağlı) DHCP kaynak MAC adresi doğrulamayı devre dışı bırakma
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (İsteğe bağlı) DHCP gözetleme bağlama tablosuna statik bir giriş oluşturma.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
NOT: Statik bir girişi kaldırmak için IP kaynak bağlama komutunun hiçbir biçimi kullanma. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

IPv4 için DHCP gözetleme bağlama tablosundan girişleri temizleme

Tüm girdileri veya belirli bir dinamik girişi temizlemek için aşağıdaki komutları kullanın:
  • Tüm dinamik IP DHCP gözetleme bağlama girişlerini silin:
sonic(config)# clear ip dhcp snooping binding
  • Belirli bir dinamik IP DHCP gözetleme bağlama girişini temizleme:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • DHCP gözetleme istatistiklerini temizleme:
sonic# clear ip dhcp snooping statistics
 

IPv4 için DHCP gözetleme bilgilerini görüntüleme.

  • DHCP gözetlemesi ile ilgili genel bilgileri görüntüleme:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • DHCP gözetleme bağlama veritabanını görüntüleme:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • DHCP gözetleme istatistiklerini görüntüleme:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

IPv6 için DHCP gözetlemesi yapılandırın. 

DHCP gözetlemesi yapılandırmak için aşağıdaki prosedürü kullanın:

  1. DHCP gözetlemeyi genel olarak etkinleştirin.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. DHCP sunucusuna bağlı arabirimleri güvenilir olarak yapılandırın.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. VLAN'da veya VLAN listesinde DHCP gözetlemesini etkinleştirin.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
NOT: Yukarıdaki bilgiler bir INFO mesajıdır. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (İsteğe bağlı) DHCP kaynak MAC adresi doğrulamayı devre dışı bırakma
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (İsteğe bağlı) DHCP gözetleme bağlama tablosuna statik bir giriş oluşturma.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
NOT: Statik bir girişi kaldırmak için IP kaynak bağlama komutunun hiçbir biçimi kullanma.

 

IPv6 için DHCP gözetleme bağlama tablosundan girişleri temizleme 

Tüm girdileri veya belirli bir dinamik girişi temizlemek için aşağıdaki komutları kullanın:

  • Tüm dinamik IP DHCP gözetleme bağlama girişlerini silin:
sonic(config)# clear ipv6 dhcp snooping binding
  • Belirli bir dinamik IP DHCP gözetleme bağlama girişini temizleme:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • DHCP gözetleme istatistiklerini temizleme:
sonic# clear ipv6 dhcp snooping statistics

 

IPv6 için DHCP gözetleme bilgilerini görüntüleme. 

  • DHCP gözetlemesi ile ilgili genel bilgileri görüntüleme:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • DHCP gözetleme bağlama veritabanını görüntüleme: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • DHCP gözetleme istatistiklerini görüntüleme: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Affected Products

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Article Properties
Article Number: 000218723
Article Type: How To
Last Modified: 31 Oct 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.