Dell Networking SONiC: Dynamic Host Configuration Protocol Snooping

Сводка: Artikkeli sisältää tietoja DHCP (Dynamic Host Configuration Protocol) -protokollan snoopingista Dell Networking SONiC -protokollassa. Tässä artikkelissa käytetään Dell SONiC 4.1 -kytkintä. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Edellytykset
Käsitteet esitellään liitännän vakionimellä. Katso Dellin artikkelia 202172 Dell Networking S -sarja: Basic Interface Configuration – SONiC 4.0 : lisätietoja liitännän nimeämisestä


Indeksi

Johdanto
DHCP Layer 2 COPP Configuration (DHCP-kerroksen 2 COPP-määritys)
IPv4 DHCP Snooping -määritys
Tyhjennä merkinnät IPv4 DHCP Snooping Binding Table -taulukosta
Näytä IPv4 DHCP Snooping -tiedot
IPv6 DHCP Snooping -määritys
Tyhjennä merkinnät IPv6 DHCP Snooping Binding Table -taulukosta
Näytä IPv6 DHCP Snooping -tiedot
 

Johdanto

DHCP (Dynamic Host Configuration Protocol) -protokollan seuranta on suojausominaisuus, jolla verkon kytkimet voivat valvoa DHCP-hallintailmoituksia. Kytkin tunnistaa verkossa olevat DHCP-palvelimet ja -työasemat hallintasanomien avulla.

Kun otat DHCP-seurantatoiminnon käyttöön, kytkin alkaa valvoa DHCP-hallintapaketteja sekä DHCP-palvelimista että työasemista. Järjestelmä luo näiden tietojen avulla tietokannan.

DHCP Snooping -käyttöliittymiä on kahdentyyppisiä: luotettavat ja epäluotettavat liitännät. DHCP-työasemat liitetään epäluotettamiin liittymiin ja DHCP-palvelimiin luotettaviin liittymiin.

Kun kytkin vastaanottaa epäluotettavia portteja käyttäviltä työasemilta DHCP-viestejä, se välittää paketit samassa VLAN-verkossa oleviin luotettuihin portteihin. Kun määritetään portit, jotka muodostavat yhteyden DHCP-palvelimiin luotettuina, järjestelmä poistaa kaikki DHCP-palvelinten ja työasemien viestit, jotka se saa epäluotettavista käyttöliittymistä.

Tarkistamalla lähteen MAC-osoitteen Ethernet-otsikon ja asiakkaan MAC-osoitteen DHCP-otsikossa, DHCP snooping estää haitallisia DHCP-työasemia hankkimasta DHCP-käyttösopimusta.

Määritystiedot:
  • IPv4 ja IPv6 tukevat DHCP-snoopingia.
  • DHCPv6-snooping toimii vain tilallisen DHCPv6-palvelimen kanssa
  • Ota DHCP-snooping käyttöön yleisesti ja tietyissä VLAN-verkkojen yhteydessä.
  • Määritä VLAN-verkon portit luotetuksi tai epäluotetuksi.
  • Kaikkiin portteihin ei oletusarvoisesti luoteta.
  • Yhdistä DHCP-palvelimet luotettavien porttien kautta.
  • Yhdistä DHCP-työasemat epäluotettavia portteja käyttämällä.
  • Jos yhteys ei ole luotettu, kytkin katkaisee DHCP-paketit, jos lähteen MAC-osoite ei vastaa asiakkaan laitteiston osoitetta. Voit poistaa tämän toiminnon käytöstä poistamalla Verify MAC address (Vahvista MAC-osoite) -ominaisuuden käytöstä. Käytä tätä ominaisuutta reititetyissä DHCP-välitys- ja DHCP-yksittäislähetyspyyntöpaketeissa.
  • Kun otat DHCP Snoopingin käyttöön, Verify MAC address -ominaisuus on oletusarvoisesti käytössä.
  • DHCP Snoopingia ei käytetä VLAN-verkkoihin, joissa snooping ei ole käytössä.
  • Voit määrittää DHCP-snooping-sidontataulukon manuaalisesti.
  • Ennen kuin otat käyttöön DHCP-snoopingin, poista DHCP Layer 3 COPP -sääntö ja asenna DHCP Layer 2 COPP -sääntö. Lisätietoja on DHCP-tason 2 COPP-määritysosassa .
 

DHCP Layer 2 COPP Configuration

DHCP Snooping toimii seuraavasti:
  1. Poista DHCP Layer 3 COPP -sääntöjen asennus. Tämä on oletussääntö.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Asenna DHCP Layer 2 COPP -sääntö DHCP-snoopingia varten.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

IPv4 DHCP Snooping -määritys

Määritä DHCP Snooping seuraavasti:
  1. Ota DHCP Snooping käyttöön yleisesti.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Määritä DHCP-palvelimeen liitetyt liitännät luotetuksi.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Ota DHCP Snooping käyttöön VLAN- tai VLAN-luettelossa.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
HUOMAUTUS: Yllä oleva ilmoitus on INFO-ilmoitus. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (valinnainen) Disable DHCP source MAC address verification (Poista käytöstä DHCP-lähteen MAC-osoitteen vahvistus)
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (valinnainen) Luo staattinen merkintä DHCP-snooping-sidontataulukkoon.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
HUOMAUTUS: Poista staattinen merkintä IP-lähteen sidontakomennolla. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Tyhjennä merkinnät IPv4:n DHCP-snooping-sidontataulukosta

Tyhjennä kaikki tai tietyt dynaamiset merkinnät seuraavilla komennoilla:
  • Tyhjennä kaikki dynaamiset IP DHCP -snooping-sidontamerkinnät:
sonic(config)# clear ip dhcp snooping binding
  • Tietyn dynaamisen IP DHCP -snooping-sidontamerkinnän poistaminen:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Tyhjennä DHCP-snooping-tilastot:
sonic# clear ip dhcp snooping statistics
 

Näytä IPv4:n DHCP-snooping-tiedot.

  • Katso yleisiä tietoja DHCP-snoopingista:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • DHCP Snooping Binding Database -tietokannan tarkasteleminen:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Näytä DHCP-snooping-tilastot:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Määritä IPv6:n DHCP-snooping. 

Määritä DHCP Snooping seuraavasti:

  1. Ota DHCP Snooping käyttöön yleisesti.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Määritä DHCP-palvelimeen liitetyt liitännät luotetuksi.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Ota DHCP Snooping käyttöön VLAN- tai VLAN-luettelossa.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
HUOMAUTUS: Yllä oleva ilmoitus on INFO-ilmoitus. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (valinnainen) Disable DHCP source MAC address verification (Poista käytöstä DHCP-lähteen MAC-osoitteen vahvistus)
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (valinnainen) Luo staattinen merkintä DHCP-snooping-sidontataulukkoon.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
HUOMAUTUS: Poista staattinen merkintä IP-lähteen sidontakomennolla.

 

Tyhjennä IPv6:n DHCP-snooping-sidontataulukon merkinnät 

Tyhjennä kaikki tai tietyt dynaamiset merkinnät seuraavilla komennoilla:

  • Tyhjennä kaikki dynaamiset IP DHCP -snooping-sidontamerkinnät:
sonic(config)# clear ipv6 dhcp snooping binding
  • Tietyn dynaamisen IP DHCP -snooping-sidontamerkinnän poistaminen:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Tyhjennä DHCP-snooping-tilastot:
sonic# clear ipv6 dhcp snooping statistics

 

Näytä IPv6:n DHCP-snooping-tiedot. 

  • Katso yleisiä tietoja DHCP-snoopingista:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • DHCP Snooping Binding Database -tietokannan tarkasteleminen: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Näytä DHCP-snooping-tilastot: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Затронутые продукты

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Свойства статьи
Номер статьи: 000218723
Тип статьи: How To
Последнее изменение: 31 Oct 2023
Версия:  2
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.