Dell Networking SONiC: Snooping av dynamisk värdkonfigurationsprotokoll

Сводка: I den här artikeln beskrivs DHCP-snooping (Dynamic Host Configuration Protocol) i Dell Networking SONiC. I den här artikeln används en switch som kör Dell SONiC 4.1.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Förutsättningar
Standardgränssnittnamngivning används för att demonstrera koncepten. Se Dell-artikeln 202172 Dell Networking S-serien: Grundläggande gränssnittskonfiguration – SONiC 4.0 för mer information om gränssnittsnamngivning


Index

Införandet
DHCP Layer 2 COPP-konfiguration
Konfiguration av IPv4 DHCP-snooping
Rensa poster från IPv4 DHCP-snoopingbindningstabellen
Visa information om
IPv4 DHCP-snoopingKonfiguration av IPv6 DHCP-snooping
Rensa poster från IPv6 DHCP-snoopingbindningstabellen
Visa information om IPv6 DHCP-snooping
 

Introduktion

DHCP-snooping (Dynamic Host Configuration Protocol) är en säkerhetsfunktion som gör det möjligt för switchar i ett nätverk att övervaka DHCP-kontrollmeddelanden. En switch kan identifiera falska DHCP-servrar och klienter i ett nätverk med hjälp av kontrollmeddelandena.

När du aktiverar DHCP-snooping börjar switchen övervaka DHCP-kontrollpaket både från DHCP-servrar och klienter. Systemet använder den här informationen för att skapa en databas.

Det finns två typer av DHCP-snoopinggränssnitt; betrodda och icke-betrodda gränssnitt. Du ansluter DHCP-klienter till icke-betrodda gränssnitt och DHCP-servrar till betrodda gränssnitt.

När switchen tar emot DHCP-meddelanden från klienter på ej betrodda portar vidarebefordrar den paketen till de betrodda portarna i samma VLAN. När du konfigurerar portar som ansluter till DHCP-servrar som betrodda tappar systemet alla DHCP-server-to-client-meddelanden som det tar emot i ej betrodda gränssnitt.

Genom att kontrollera källans MAC-adress i Ethernet-rubriken med klientens MAC-adress i DHCP-rubriken minimerar DHCP-snooping skadliga DHCP-klienter från att hämta ett DHCP-leasingavtal.

Konfigurationsanteckningar:
  • DHCP-snooping stöds för IPv4 och IPv6.
  • DHCPv6-snooping fungerar endast med den tillståndskänsliga servern DHCPv6
  • Aktivera DHCP-snooping globalt och på specifika VLAN-nätverk.
  • Konfigurera portar i VLAN-nätverket så att de är betrodda eller ej betrodda.
  • Som standard är alla portar inte betrodda.
  • Anslut DHCP-servrar via betrodda portar.
  • Anslut DHCP-klienter via ej betrodda portar.
  • På icke-betrodda gränssnitt tappar switchen DHCP-paket om käll-MAC-adressen inte matchar klientens maskinvaruadress. Du kan avaktivera det här beteendet genom att avaktivera funktionen För verifiering av MAC-adress. Använd den här funktionen för DHCP-relä och DHCP-unicast-begärandepaket som dirigeras.
  • När du aktiverar DHCP-snooping är verifiering av MAC-adressfunktionen aktiverad som standard.
  • DHCP-snooping tillämpas inte på VLAN där snooping inte är aktiverat.
  • Du kan konfigurera en manuell post till bindningstabellen för DHCP-snooping.
  • Innan du aktiverar DHCP-snooping tar du bort DHCP Layer 3 COPP-regeln och installerar DHCP Layer 2 COPP-regeln. Mer information finns i avsnittet DHCP Layer 2 COPP-konfiguration .
 

DHCP Layer 2 COPP-konfiguration

Gör följande för att DHCP-snooping ska fungera:
  1. Avinstallera DHCP Layer 3 COPP-regler. Det här är en standardregel.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Installera DHCP Layer 2 COPP-regeln för DHCP-snooping.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Konfiguration av IPv4 DHCP-snooping

Använd följande procedur för att konfigurera DHCP-snooping:
  1. Aktivera DHCP-snooping globalt.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Konfigurera gränssnitt som är anslutna till DHCP-servern som betrodda.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Aktivera DHCP-snooping på ett VLAN eller ett VLAN-lista.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
Obs! Ovanstående är ett INFO-meddelande. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Tillval) Avaktivera DHCP-käll-MAC-adressverifiering
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Tillval) Skapa en statisk post till bindningstabellen med DHCP-snooping.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
Obs! Använd no-formen av IP-källbindningskommandot för att ta bort en statisk post. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Rensa poster från bindningstabellen för DHCP-snooping för IPv4

Använd följande kommandon för att rensa alla eller en specifik dynamisk post:
  • Rensa alla dynamiska IP DHCP-snoopingbindningsposter:
sonic(config)# clear ip dhcp snooping binding
  • Rensa en specifik dynamisk IP DHCP-snoopingbindningspost:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Rensa DHCP-snoopingstatistik:
sonic# clear ip dhcp snooping statistics
 

Visa dhcp-snoopinginformation för IPv4.

  • Visa allmän information om DHCP-snooping:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Visa DHCP-snoopingbindningsdatabasen:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Visa DHCP-snoopingstatistik:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Konfigurera DHCP-snooping för IPv6. 

Använd följande procedur för att konfigurera DHCP-snooping:

  1. Aktivera DHCP-snooping globalt.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Konfigurera gränssnitt som är anslutna till DHCP-servern som betrodda.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Aktivera DHCP-snooping på ett VLAN eller ett VLAN-lista.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
Obs! Ovanstående är ett INFO-meddelande. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Tillval) Avaktivera DHCP-käll-MAC-adressverifiering
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Tillval) Skapa en statisk post till bindningstabellen med DHCP-snooping.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
Obs! Använd no-formen av IP-källbindningskommandot för att ta bort en statisk post.

 

Rensa poster från bindningstabellen för DHCP-snooping för IPv6 

Använd följande kommandon för att rensa alla eller en specifik dynamisk post:

  • Rensa alla dynamiska IP DHCP-snoopingbindningsposter:
sonic(config)# clear ipv6 dhcp snooping binding
  • Rensa en specifik dynamisk IP DHCP-snoopingbindningspost:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Rensa DHCP-snoopingstatistik:
sonic# clear ipv6 dhcp snooping statistics

 

Visa DHCP-snoopinginformation för IPv6. 

  • Visa allmän information om DHCP-snooping:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Visa DHCP-snoopingbindningsdatabasen: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Visa DHCP-snoopingstatistik: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Затронутые продукты

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Свойства статьи
Номер статьи: 000218723
Тип статьи: How To
Последнее изменение: 31 Oct 2023
Версия:  2
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.