Dell Networking SONiC: Dynamic Host Configuration Protocol Snooping
Сводка: In dit artikel wordt uitgelegd hoe DHCP-snooping (Dynamic Host Configuration Protocol) wordt gebruikt in Dell Networking SONiC. Dit artikel gebruikt een switch met Dell SONiC 4.1.
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Инструкции
|
Vereisten
Standaardinterface-naamgeving wordt gebruikt om de concepten aan te tonen. Zie het Dell artikel 202172 Dell Networking S serie: Basic Interface Configuration - SONiC 4.0 voor meer informatie over interfacenamen |
Index
Inleiding
DHCP Layer 2 DHCP-configuratie
IPv4 DHCP-snoopingconfiguratie
Vermeldingen uit de IPv4 DHCP-snooping-bindingstabel
wissenIPv4 DHCP-snooping-informatie
weergevenIPv6 DHCP-snoopingconfiguratie
Vermeldingen uit de IPv6 DHCP-snooping-bindingstabel
wissenIPv6 DHCP-snooping-informatie weergeven
Inleiding
DHCP-snooping (Dynamic Host Configuration Protocol) is een beveiligingsfunctie waarmee switches in een netwerk DHCP-controleberichten kunnen bewaken. Een switch kan rogue DHCP-servers en clients in een netwerk identificeren met behulp van de controleberichten.Wanneer u DHCP-snooping inschakelt, begint de switch met het bewaken van DHCP-controlepakketten, zowel vanaf DHCP-servers als clients. Het systeem gebruikt deze informatie om een database op te bouwen.
Er zijn twee soorten DHCP-snooping-interfaces; vertrouwde en niet-vertrouwde interfaces. U verbindt DHCP-clients met niet-vertrouwde interfaces en DHCP-servers met vertrouwde interfaces.
Wanneer de switch DHCP-berichten ontvangt van clients op niet-vertrouwde poorten, worden de pakketten doorgestuurd naar de vertrouwde poorten in hetzelfde VLAN. Wanneer u poorten configureert die verbinding maken met DHCP-servers als vertrouwd, valt het systeem alle DHCP-server-naar-clientberichten weg die het ontvangt op niet-vertrouwde interfaces.
Door het bron-MAC-adres in de Ethernet-header te controleren met het MAC-adres van de client in de DHCP-header, minimaliseert DHCP-snooping schadelijke DHCP-clients van het verkrijgen van een DHCP-lease.
Configuratieopmerkingen:
- DHCP-snooping wordt ondersteund voor IPv4 en IPv6.
- DHCPv6 snooping werkt alleen met DHCPv6 stateful server
- Schakel DHCP-snooping wereldwijd en op specifieke VLAN's in.
- Configureer poorten binnen het VLAN om vertrouwd of niet vertrouwd te zijn.
- Alle poorten zijn standaard niet vertrouwd.
- Sluit DHCP-servers aan via vertrouwde poorten.
- Sluit DHCP-clients aan via niet-vertrouwde poorten.
- Op niet-vertrouwde interfaces laat de switch DHCP-pakketten vallen als het bron-MAC-adres niet overeenkomt met het hardwareadres van de client. U kunt dit gedrag uitschakelen door de functie Mac-adres controleren uit te schakelen. Gebruik deze functie voor DHCP-relay- en DHCP-unicast-aanvraagpakketten die worden gerouteerd.
- Wanneer u DHCP-snooping inschakelt, is de functie Verify MAC address standaard ingeschakeld.
- DHCP-snooping wordt niet toegepast op VLAN's waarop snooping niet is ingeschakeld.
- U kunt een handmatige vermelding configureren in de DHCP-snooping-bindingstabel.
- Voordat u DHCP-snooping inschakelt, verwijdert u de DHCP Layer 3 DHCP-regel en installeert u de DHCP Layer 2 DHCP-regel. Raadpleeg voor meer informatie het gedeelte DHCP Layer 2 DHCP DHCP-configuratie .
DHCP Layer 2 DHCP-configuratie
Voer deze configuratie uit om DHCP-snooping te laten werken:- Verwijder DHCP Layer 3 DHCP-regels. Dit is een standaardregel.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure terminal DELLSONiC(config)# policy-map copp-system-policy type copp DELLSONiC(config-policy-map)# no class copp-system-dhcp
-
Installeer DHCP Layer 2 DHCP-regel voor DHCP-snooping.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure terminal DELLSONiC(config)# policy-map copp-system-policy type copp DELLSONiC(config-policy-map)# class copp-system-dhcpl2 DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
IPv4 DHCP-snoopingconfiguratie
Als u DHCP-snooping wilt configureren, gebruikt u de volgende procedure:- Schakel DHCP-snooping wereldwijd in.
sonic(config)# ip dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ip dhcp snooping
- Configureer interfaces die zijn verbonden met de DHCP-server als vertrouwd.
sonic(config-if)# ip dhcp snooping trust admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration ! interface Eth1/1 mtu 9100 speed 100000 unreliable-los auto no shutdown ip dhcp snooping trust DELLSONiC(config-if-Eth1/1)# DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Enabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- Schakel DHCP-snooping in op een VLAN of een VLAN-lijst.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
OPMERKING: Het bovenstaande is een INFO-bericht.
DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Enabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- (Optioneel) DHCP-bron-MAC-adresverificatie uitschakelen
sonic(config)# no ip dhcp snooping verify mac-address admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Disabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1 DELLSONiC#
- (Optioneel) Maak een statische vermelding in de DHCP-snooping-bindingstabel.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
OPMERKING: Gebruik de geen-vorm van de opdracht IP-bronbinding om een statische vermelding te verwijderen.
admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1
DELLSONiC# show ip dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IP Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:22 10.10.100.150 100 Eth1/1 static NA DELLSONiC#
Verwijder vermeldingen uit de DHCP-snooping-bindingstabel voor IPv4
Gebruik de volgende opdrachten om alle of een specifieke dynamische vermelding te wissen:- Wis alle dynamische IP DHCP-snooping-bindingsvermeldingen:
sonic(config)# clear ip dhcp snooping binding
- Een specifieke dynamische IP DHCP-snooping-vermelding wissen:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
- Dhcp-snoopingstatistieken wissen:
sonic# clear ip dhcp snooping statistics
DHCP-snooping-informatie weergeven voor IPv4.
- Algemene informatie over DHCP-snooping weergeven:
sonic# show ip dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping DHCP snooping is Enabled DHCP snooping source MAC verification is Disabled DHCP snooping is enabled on the following VLANs: 100 200 201 DHCP snooping trusted interfaces: Eth1/1
- De DHCP-snooping-bindingsdatabase weergeven:
sonic# show ip dhcp snooping binding admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IP Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:22 10.10.100.150 100 Eth1/1 static NA
- DHCP-snoopingstatistieken weergeven:
sonic# show ip dhcp snooping statistics admin@DELLSONiC:~$ sonic-cli DELLSONiC# show ip dhcp snooping statistics Interface MAC Verify Client Ifc DHCP Server Failures Mismatch Msgs Recvd --------------- ---------- ---------- ----------- Eth1/1 0 0 0 Eth1/2 0 0 0 Eth1/3 0 0 0 Eth1/4 0 0 0 Eth1/5 0 0 0 Eth1/6 0 0 0 Eth1/7 0 0 0
CONFIGUREER DHCP-snooping voor IPv6.
Als u DHCP-snooping wilt configureren, gebruikt u de volgende procedure:
- Schakel DHCP-snooping wereldwijd in.
sonic(config)# ipv6 dhcp snooping admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: DHCPv6 snooping trusted interfaces: DELLSONiC#
- Configureer interfaces die zijn verbonden met de DHCP-server als vertrouwd.
sonic(config-if)# ipv6 dhcp snooping trust admin@DELLSONiC:~$ sonic-cli DELLSONiC#configure terminal DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration ! interface Eth1/1 mtu 9100 speed 100000 unreliable-los auto no shutdown ip dhcp snooping trust ipv6 dhcp snooping trust DELLSONiC(config-if-Eth1/1)#
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: DHCPv6 snooping trusted interfaces: Eth1/1
- Schakel DHCP-snooping in op een VLAN of een VLAN-lijst.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
OPMERKING: Het bovenstaande is een INFO-bericht.
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Enabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1
- (Optioneel) DHCP-bron-MAC-adresverificatie uitschakelen
sonic(config)# no ipv6 dhcp snooping verify mac-address admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address
DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Disabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1 DELLSONiC#
- (Optioneel) Maak een statische vermelding in de DHCP-snooping-bindingstabel.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IPv6 Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:11 2001:db8:3333::7778 100 Eth1/1 static NA DELLSONiC#
OPMERKING: Gebruik de geen-vorm van de opdracht IP-bronbinding om een statische vermelding te verwijderen.
Verwijder vermeldingen uit de DHCP-snooping-bindingstabel voor IPv6
Gebruik de volgende opdrachten om alle of een specifieke dynamische vermelding te wissen:
- Wis alle dynamische IP DHCP-snooping-bindingsvermeldingen:
sonic(config)# clear ipv6 dhcp snooping binding
- Een specifieke dynamische IP DHCP-snooping-vermelding wissen:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
- Dhcp-snoopingstatistieken wissen:
sonic# clear ipv6 dhcp snooping statistics
DHCP-snooping-informatie weergeven voor IPv6.
- Algemene informatie over DHCP-snooping weergeven:
sonic# show ipv6 dhcp snooping DELLSONiC# show ipv6 dhcp snooping DHCPv6 snooping is Enabled DHCPv6 snooping source MAC verification is Disabled DHCPv6 snooping is enabled on the following VLANs: 100 200 201 DHCPv6 snooping trusted interfaces: Eth1/1 DELLSONiC#
- De DHCP-snooping-bindingsdatabase weergeven:
sonic# show ipv6 dhcp snooping binding DELLSONiC# show ipv6 dhcp snooping binding Total number of Dynamic bindings: 0 Total number of Static bindings: 1 Total number of Tentative bindings: 0 MAC Address IPv6 Address VLAN Interface Type Lease (Secs) ----------------- --------------- ---- ----------- ------- ----------- aa:bb:cc:dd:11:11 2001:db8:3333::7778 100 Eth1/1 static NA DELLSONiC#
- DHCP-snoopingstatistieken weergeven:
sonic# show ipv6 dhcp snooping statistics DELLSONiC# show ipv6 dhcp snooping statistics Interface MAC Verify Client Ifc DHCP Server Failures Mismatch Msgs Recvd --------------- ---------- ---------- ----------- Eth1/1 0 0 0 Eth1/2 0 0 0 Eth1/3 0 0 0 Eth1/4 0 0 0
Затронутые продукты
Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ONСвойства статьи
Номер статьи: 000218723
Тип статьи: How To
Последнее изменение: 31 Oct 2023
Версия: 2
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.