Dell Networking SONiC: Відстеження протоколу динамічної конфігурації хоста

Сводка: У цій статті пояснюється відстеження протоколу динамічної конфігурації хоста (DHCP) у Dell Networking SONiC. У цій статті використовується комутатор під керуванням Dell SONiC 4.1.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Передумови
Для демонстрації концепцій використовується стандартне найменування інтерфейсу. Дивіться статтю Dell 202172 Dell Networking S-Series: Базова конфігурація інтерфейсу - SONiC 4.0 для отримання додаткової інформації про іменування інтерфейсів


Індекс

Введення
Конфігурація
DHCP рівня 2 COPPКонфігурація
відстеження IPv4 DHCPОчистити записи з таблиці прив'язки відстеження IPv4 DHCP
Перегляд інформації про
стеження IPv4 DHCPКонфігурація
відстеження IPv6 DHCPОчистіть записи з таблиці прив'язки відстеження IPv6 DHCP
Перегляд інформації про відстеження IPv6 DHCP
 

Введення

Відстеження протоколу динамічної конфігурації хоста (DHCP) — це функція безпеки, яка дозволяє комутаторам у мережі відстежувати керуючі повідомлення DHCP. Комутатор може ідентифікувати шахрайські DHCP-сервери та клієнтів у мережі за допомогою керуючих повідомлень.

Коли ви вмикаєте відстеження DHCP, комутатор починає відстежувати пакети керування DHCP як із серверів DHCP, так і з клієнтів. Система використовує цю інформацію для побудови бази даних.

Існує два типи інтерфейсів DHCP Snooping; довірені та ненадійні інтерфейси. Ви підключаєте клієнти DHCP до ненадійних інтерфейсів, а DHCP-сервери – до довірених інтерфейсів.

Коли комутатор отримує DHCP-повідомлення від клієнтів на недовірених портах, він пересилає пакети на довірені порти в тому ж VLAN. Коли ви налаштовуєте порти, які з'єднуються з серверами DHCP, як надійні, система відкидає будь-які повідомлення DHCP-server-to-client, які вона отримує на ненадійних інтерфейсах.

Звіряючи вихідну MAC-адресу в заголовку Ethernet з клієнтською MAC-адресою в заголовку DHCP, відстеження DHCP мінімізує можливість зловмисних клієнтів DHCP отримати оренду DHCP.

Примітки щодо конфігурації:
  • Відстеження DHCP підтримується для IPv4 та IPv6.
  • Відстеження DHCPv6 працює лише з сервером зі збереженням стану DHCPv6
  • Увімкніть відстеження DHCP глобально та на певних VLAN.
  • Налаштуйте порти в VLAN на довірені або ненадійні.
  • За замовчуванням усі порти є ненадійними.
  • Підключайте DHCP-сервери через довірені порти.
  • Підключайте DHCP-клієнти через ненадійні порти.
  • На ненадійних інтерфейсах комутатор скидає пакети DHCP, якщо вихідна MAC-адреса не збігається з адресою апаратного забезпечення клієнта. Ви можете вимкнути цю поведінку, вимкнувши функцію Перевірка MAC-адреси. Використовуйте цю функцію для ретрансляції DHCP і одноадресних пакетів запитів DHCP, які маршрутизуються.
  • Коли ви вмикаєте відстеження DHCP, функція «Перевірка MAC-адреси» вмикається за замовчуванням.
  • DHCP Snooping не застосовується до VLAN, на яких не ввімкнено стеження.
  • Ви можете налаштувати ручне введення в таблицю прив'язки стеження DHCP.
  • Перш ніж увімкнути відстеження DHCP, видаліть правило DHCP рівня 3 COPP і встановіть правило DHCP рівня 2 COPP. Для отримання більш детальної інформації дивіться розділ конфігурації DHCP Layer 2 COPP .
 

Конфігурація DHCP рівня 2 COPP

Щоб відстеження DHCP працювало, виконайте таку конфігурацію:
  1. Видаліть правила DHCP рівня 3 COPP. Це правило за замовчуванням.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Встановіть правило DHCP рівня 2 COPP для відстеження DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Конфігурація відстеження IPv4 DHCP

Щоб налаштувати відстеження DHCP, виконайте наступну процедуру:
  1. Увімкніть відстеження DHCP глобально.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Налаштуйте інтерфейси, які з'єднано з сервером DHCP, як надійні.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Увімкніть відстеження DHCP у VLAN або списку VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
ПРИМІТКА: Наведене вище є INFO-повідомленням. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (Необов'язково.) Вимкніть перевірку MAC-адреси джерела DHCP
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Необов'язково.) Створіть статичний запис у таблицю зв'язування DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
ПРИМІТКА: Скористайтеся командою no для прив'язки джерела IP, щоб видалити статичний запис. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Очистіть записи з таблиці прив'язки відстеження DHCP для IPv4

Скористайтеся наведеними нижче командами, щоб очистити весь або певний динамічний запис:
  • Очистіть усі динамічні записи прив'язки IP DHCP:
sonic(config)# clear ip dhcp snooping binding
  • Очистіть певний динамічний запис прив'язки відстеження IP DHCP:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Чиста статистика стеження DHCP:
sonic# clear ip dhcp snooping statistics
 

Перегляд інформації про відстеження DHCP для IPv4.

  • Перегляньте загальну інформацію про стеження за DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Перегляньте базу даних прив'язки DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Переглянути статистику стеження за DHCP:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Налаштуйте відстеження DHCP для IPv6. 

Щоб налаштувати відстеження DHCP, виконайте наступну процедуру:

  1. Увімкніть відстеження DHCP глобально.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Налаштуйте інтерфейси, які з'єднано з сервером DHCP, як надійні.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Увімкніть відстеження DHCP у VLAN або списку VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
ПРИМІТКА: Наведене вище є INFO-повідомленням. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (Необов'язково.) Вимкніть перевірку MAC-адреси джерела DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (Необов'язково.) Створіть статичний запис у таблицю зв'язування DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
ПРИМІТКА: Скористайтеся командою no для прив'язки джерела IP, щоб видалити статичний запис.

 

Очистіть записи з таблиці прив'язки відстеження DHCP для IPv6 

Скористайтеся наведеними нижче командами, щоб очистити весь або певний динамічний запис:

  • Очистіть усі динамічні записи прив'язки IP DHCP:
sonic(config)# clear ipv6 dhcp snooping binding
  • Очистіть певний динамічний запис прив'язки відстеження IP DHCP:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Чиста статистика стеження DHCP:
sonic# clear ipv6 dhcp snooping statistics

 

Перегляд інформації про відстеження DHCP для IPv6. 

  • Перегляньте загальну інформацію про стеження за DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Перегляньте базу даних прив'язки DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Переглянути статистику стеження за DHCP: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Затронутые продукты

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Свойства статьи
Номер статьи: 000218723
Тип статьи: How To
Последнее изменение: 31 Oct 2023
Версия:  2
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.