FS S5500 DHCP-Snooping Konfiqurasiyası
DHCP-Snooping Konfiqurasiyası
DHCP-Snooping Konfiqurasiya Tapşırıqları
DHCP-Snooping saxta DHCP serverinin DHCP paketlərini mühakimə edərək, MAC ünvanı və IP ünvanı arasında məcburi əlaqə saxlamaqla DHCP xidmətini təmin etməsinin qarşısını almaqdır. L2 açarı MAC ünvanı və IP ünvanı arasındakı əlaqəyə uyğun olaraq DAI funksiyasını və IP mənbə qoruyucu funksiyasını yerinə yetirə bilər. DHCP-snooping əsasən DHCP paketlərini izləmək və MAC-IP bağlama siyahısını dinamik şəkildə saxlamaq üçündür. L2 keçidi qeyri-qanuni istifadəçilərin şəbəkə hücumunun qarşısını almaq üçün MAC-IP bağlama əlaqəsinə uyğun gəlməyən paketləri süzür.
- DHCP-gözləmənin aktivləşdirilməsi/deaktiv edilməsi
- VLAN-da DHCP-gözləmənin aktivləşdirilməsi
- DHCP-ə güvənən interfeysə interfeysin qurulması
- VLAN-da DAI-nin aktivləşdirilməsi
- ARP etibarlı interfeysə interfeysin qurulması
- VLAN-da mənbə IP ünvanının monitorinqini aktivləşdirir
- IP mənbə ünvanının monitorinqi ilə etibarlı olan interfeysə bir interfeys təyin etmək
- DHCP-snooping bağlamasının ehtiyat nüsxəsini çıxarmaq üçün TFTP serverinin konfiqurasiyası
- Konfiqurasiya a file DHCP-snooping məcburi ehtiyat nüsxəsinin adı
- DHCP-snooping məcburi ehtiyat nüsxəsi üçün intervalın konfiqurasiyası
- Bağlama əlaqəsinin əl ilə konfiqurasiyası və ya əlavə edilməsi
- DHCP-snooping monitorinqi və saxlanması
- ExampDHCP-gözləmə konfiqurasiyası üçün
DHCP-Snooping-in aktivləşdirilməsi/deaktiv edilməsi
Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| ip dhcp-rele snooping | DHCP snooping imkan verir. |
| heç bir ip dhcp-relay snooping | Defolt parametrləri bərpa edir. |
Bu əmr qlobal konfiqurasiya rejimində DHCP snoopingini aktivləşdirmək üçün istifadə olunur. Bu əmr yerinə yetirildikdən sonra keçid bütün DHCP paketlərini izləmək və müvafiq bağlama əlaqəsini yaratmaqdır.
Qeyd: Əgər müştəri keçidin ünvanını bu əmr icra edilməzdən əvvəl əldə edərsə, keçid müvafiq bağlama əlaqəsini əlavə edə bilməz.
VLAN-da DHCP-Snooping-in aktivləşdirilməsi
VLAN-da DHCP snooping aktivləşdirilibsə, VLAN-dakı bütün etibarsız fiziki portlardan alınan DHCP paketləri qanuni olaraq yoxlanılacaq. VLAN-dakı etibarsız fiziki portlardan alınan DHCP cavab paketləri daha sonra atılacaq və saxta və ya yanlış konfiqurasiya edilmiş DHCP serverinin ünvan paylama xidmətləri göstərməsinin qarşısını alacaq. Etibarsız portlardan DHCP sorğu paketi üçün, əgər DHCP sorğu paketindəki aparat ünvanı sahəsi bu paketin MAC ünvanı ilə uyğun gəlmirsə, DHCP sorğu paketi DHCP DOS üçün hücum paketi kimi istifadə edilən saxta paket kimi düşünülür. və sonra keçid onu atacaq. Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| Ip dhcp-relay snooping vlan vlan_id | VLAN-da DHCP-gözləməni aktivləşdirir. |
| heç bir ip dhcp-snooping vlan vlan_id | VLAN-da DHCP-gözləməni söndürür. |
DHCP-Güvənli İnterfeys üçün İnterfeysin qurulması
Əgər interfeys DHCP-ə güvənən interfeys kimi təyin edilibsə, bu interfeysdən alınan DHCP paketləri yoxlanılmayacaq.
Fiziki interfeys konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| dhcp snooping etibar | DHCP-ə güvənən interfeysə interfeys təyin edir. |
| dhcp snooping etibarı yoxdur | DHCP etibarsız interfeysə interfeysi davam etdirir. |
İnterfeys standart olaraq etibarsız interfeysdir.
VLAN-da DAI-nin aktivləşdirilməsi
VLAN-ın bütün fiziki portlarında dinamik ARP monitorinqi aparıldıqda, mənbə MAC ünvanı və bu paketin mənbə IP ünvanı konfiqurasiya edilmiş MAC-IP bağlama əlaqəsi ilə uyğun gəlmirsə, qəbul edilmiş ARP paketi rədd ediləcək. İnterfeysdəki bağlama əlaqəsi DHCP tərəfindən dinamik şəkildə bağlana və ya əl ilə konfiqurasiya edilə bilər. Fiziki interfeysdə heç bir MAC ünvanları IP ünvanlarına bağlı deyilsə, keçid bütün ARP paketlərinin yönləndirilməsini rədd edir.
|
Əmr |
Məqsəd |
| ip arp yoxlama vlan vlanid | VLAN-dakı bütün etibarsız portlarda dinamik ARP monitorinqini aktivləşdirir. |
| ip arp yoxlama vlan yoxdur vlanid | VLAN-dakı bütün etibarsız portlarda dinamik ARP monitorinqini söndürür. |
İnterfeysin ARP-Trusting Interface üçün qurulması
Etibarlı interfeyslərdə ARP monitorinqi aktiv deyil. İnterfeyslər standart olaraq etibarsızdır. İnterfeys konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| arp yoxlama etimad | ARP etibarlı interfeysə interfeys təyin edir. |
| arp yoxlama etibarı yoxdur | ARP-in etibarsız interfeysinə interfeysi bərpa edir. |
VLAN-da Mənbə IP Ünvanının Monitorinqinin aktivləşdirilməsi
Mənbə IP ünvanının monitorinqi VLAN-da aktivləşdirildikdən sonra, mənbə MAC ünvanları və mənbə IP ünvanları konfiqurasiya edilmiş MAC-dən IP bağlama əlaqəsi ilə uyğun gəlmirsə, VLAN-dakı bütün fiziki portlardan alınan IP paketləri rədd ediləcək. İnterfeysdəki bağlama əlaqəsi DHCP tərəfindən dinamik şəkildə bağlana və ya əl ilə konfiqurasiya edilə bilər. Fiziki interfeysdə heç bir MAC ünvanları IP ünvanlarına bağlı deyilsə, keçid fiziki interfeysdən alınan bütün IP paketləri yönləndirməyi rədd edir. Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| ip vlan mənbəsini yoxlayın vlanid | VLAN-dakı bütün etibarsız interfeyslərdə mənbə IP ünvanının yoxlanılmasını aktivləşdirir. |
| heç bir ip yoxlayın mənbə vlan vlanid | VLAN-dakı bütün interfeyslərdə mənbə IP ünvan yoxlamasını söndürür. |
IP Mənbə Ünvanı Monitorinqi ilə Etibarlı Olan Bir İnterfeys Qurulması
İnterfeysdə etibarlı mənbə IP ünvanı varsa, mənbə ünvanının yoxlanılması interfeysdə aktiv deyil. İnterfeys konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| ip-mənbə etibarı | Etibarlı mənbə IP ünvanı olan interfeysə interfeys təyin edir. |
| Ip-mənbə etibarı yoxdur | Etibarsız mənbə IP ünvanı ilə interfeysi bərpa edir. |
İnterfeys Bağlamasının Yedəklənməsi üçün TFTP Serverinin konfiqurasiyası
Keçid konfiqurasiyası yenidən işə salındıqdan sonra əvvəllər konfiqurasiya edilmiş interfeys bağlaması itiriləcək. Bu halda, bu interfeysdə heç bir məcburi əlaqə yoxdur. Mənbə IP ünvanının monitorinqi işə salındıqdan sonra keçid bütün IP paketlərinin yönləndirilməsindən imtina etdi. TFTP serveri interfeys bağlama ehtiyat nüsxəsi üçün konfiqurasiya edildikdən sonra bağlama əlaqəsi TFTP protokolu vasitəsilə serverə yedəklənəcək. Kommutator yenidən işə salındıqdan sonra keçid avtomatik olaraq TFTP serverindən bağlanma siyahısını yükləyir və şəbəkənin normal işləməsini təmin edir. Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| ip dhcp-relay snooping verilənlər bazası agenti IP ünvanı | İnterfeys bağlamasının ehtiyat nüsxəsini çıxarmaq üçün TFTP serverinin IP ünvanını konfiqurasiya edir. |
| heç bir ip dhcp-relay snooping verilənlər bazası agenti | İnterfeys bağlamasının ehtiyat nüsxəsini çıxarmaq üçün TFTP Serverini ləğv edir. |
Konfiqurasiya a File Interface Binding Backup üçün ad
İnterfeys bağlama əlaqəsinin ehtiyat nüsxəsini çıxararkən, müvafiq filead TFTP serverində saxlanacaq. Bu yolla, müxtəlif açarlar eyni TFTP serverinə öz interfeys bağlayan əlaqələrin ehtiyat nüsxəsini çıxara bilər.
Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin
|
Əmr |
Məqsəd |
| ip dhcp-relay snooping db-file ad | Konfiqurasiya edir a file interfeys bağlama ehtiyat nüsxəsi üçün ad. |
| heç bir ip dhcp-relay snooping db-file | Ləğv edir a file interfeys bağlama ehtiyat nüsxəsi üçün ad. |
İnterfeys Bağlama Yedəkləməsinin Yoxlanması üçün Aralığın Konfiqurasiyası
İnterfeysdə MAC-dən IP-yə bağlama əlaqəsi dinamik olaraq dəyişir. Beləliklə, müəyyən bir fasilədən sonra bağlama əlaqəsinin yeniləndiyini yoxlamaq lazımdır. Məcburi əlaqə yenilənirsə, onun yenidən yedəklənməsi lazımdır. Standart interval 30 dəqiqədir
|
Əmr |
Məqsəd |
| ip dhcp-relay snooping yazmaq ədəd | İnterfeys bağlama ehtiyat nüsxəsini yoxlamaq üçün intervalı konfiqurasiya edir. |
| heç bir ip dhcp-relay snooping yazma | Defolt parametrlərə interfeys bağlama ehtiyat nüsxəsinin yoxlanılması intervalını davam etdirir. |
İnterfeys Bağlamanın Əllə Konfiqurasiyası
Əgər host ünvanı DHCP vasitəsilə əldə etmirsə, hostun şəbəkəyə daxil olmasını təmin etmək üçün keçidin interfeysinə bağlama elementini əlavə edə bilərsiniz. Müvafiq bağlama siyahısından elementləri silmək üçün heç bir ip mənbəyi bağlayan MAC IP-ni işə sala bilməzsiniz. Qeyd edək ki, əl ilə konfiqurasiya edilmiş bağlama elementləri dinamik olaraq konfiqurasiya edilmiş bağlama elementlərindən daha yüksək prioritetə malikdir. Əl ilə konfiqurasiya edilmiş bağlama elementi və dinamik olaraq konfiqurasiya edilmiş bağlama elementi eyni MAC ünvanına malikdirsə, əl ilə konfiqurasiya edilmiş olan dinamik konfiqurasiya edilmişi yeniləyir. İnterfeys bağlayıcı element MAC ünvanını unikal indeks kimi qəbul edir. Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin.
|
Əmr |
Məqsəd |
| ip mənbə bağlanması MAC IP interfeys ad | İnterfeys bağlanmasını əl ilə konfiqurasiya edir. |
| ip mənbə bağlaması yoxdur MAC IP | İnterfeys bağlayan elementi ləğv edir. |
L2 DHCP paketlərinin yönləndirilməsinə keçid
Aşağıdakı əmr DHCP relayını həyata keçirmək üçün DHCP paketlərini təyin edilmiş DHCP serverinə yönləndirmək üçün istifadə edilə bilər. Bu əmrin mənfi forması DHCP relesini bağlamaq üçün istifadə edilə bilər.
Qeyd: Bu əmr yalnız L2 açarlarında DHCP relayını aktivləşdirmək üçün istifadə edilə bilər, L3 açarlarında isə DHCP relayı DHCP serveri tərəfindən həyata keçirilir. Qlobal konfiqurasiya rejimində aşağıdakı əmrləri yerinə yetirin
|
Əmr |
Məqsəd |
| ip dhcp-relay agenti | DHCP relayını aktivləşdirir. |
| ip dhcp-relay köməkçi-ünvanı ünvanı vlan vlan-id | Relenin təyinat ünvanını və VLAN-ı konfiqurasiya edir. |
DHCP-Snooping-in monitorinqi və saxlanması
EXEC rejimində aşağıdakı əmrləri yerinə yetirin
|
Əmr |
Məqsəd |
| ip dhcp-relay snooping göstərin | DHCP-snooping konfiqurasiyası haqqında məlumatları göstərir. |
| ip dhcp-relay snooping bağlamasını göstərin | İnterfeysdə effektiv ünvan bağlama elementlərini göstərir. |
| ip dhcp-relay snooping bütün məcburi göstər | DHCP snooping tərəfindən yaradılan bütün bağlama elementlərini göstərir. |
| [ yox ] ip dhcp-relayını düzəldin [ gözetleme | bağlama |
hadisə ] |
DHCP relay snooping keçidini aktivləşdirir və ya söndürür. |
Aşağıda DHCP snooping konfiqurasiyası haqqında məlumat göstərilir:
switch#show ip dhcp-relay snooping ip dhcp-relay snooping vlan 3 ip arp inspection vlan 3 DHCP Snooping inspection interface: FastEthernet0/1 ARP Inspect interface: FastEthernet0/11 switch#show ip dhcp-relay snooping time IPdressed Adware snooping IP addressed Növ VLAN interfeysi 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 Aşağıda dhcp-relay gözetleme açarı haqqında bütün məcburi məlumat göstərilir#show ip dhcp-relay snooping time Adres məcburi bütün IP ünvanlı Tip VLAN interfeysi 00-e0-0f-32-1c-59 192.2.2.1 sonsuz MANUAL 1 FastEthernet0/2 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 Aşağıdakı FastEthernet0/c haqqında məlumatları göstərir. -rele snooping. switch#debug ip DHCP-gözləmə paketi DHCPR: vlan 3-dən l2 paketini qəbul edin, diID: 3 DHCPR: DHCP paket len 3 DHCPR: FastEthernet277/0 interfeysinə bağlama əlavə edin DHCPR: paketi göndərin davam edin DHCPR: l3 paketini vlan-dan qəbul edin : 2 DHCPR: DHCP paket len 3 DHCPR: paketi davam etdirin DHCPR: vlan 1-dən l300 paketi alın, diID: 2 DHCPR: DHCP paketi len 3 DHCPR: paket göndərin davam edin DHCPR: vlan 3-dən l289 paket qəbul edin, DHCPR: DHCP paket len 2 DHCPR: FastEthernet3/1 interfeysində yeniləmə bağlama DHCPR: IP ünvanı: 300, icarə müddəti 0 saniyə DHCPR: paketi göndərmək davam edir
ExampDHCP-Snooping Konfiqurasiyasının le
Şəbəkə topologiyası Şəkil 1-də göstərilmişdir.
- Şəxsi A şəbəkəsini birləşdirən VLAN 1-də DHCP snoopingini aktivləşdirin. Switch_config# ip dhcp-relay snooping Switch_config#ip dhcp-relay snooping vlan 1
- Şəxsi şəbəkəni birləşdirən VLAN 2-də DHCP snoopingi aktivləşdirin B. Switch_config# ip dhcp-relay snooping Switch_config# ip dhcp-relay snooping vlan 2
- DHCP serverini DHCP-ə güvənən interfeysə bağlayan interfeysi təyin edir. Switch_config_f0/1# dhcp snooping etibarı
Sənədlər / Resurslar
 |
FS S5500 DHCP-Snooping Konfiqurasiyası [pdf] İstifadəçi təlimatı S5500 DHCP-Snooping Konfiqurasiyası, DHCP-Snooping Konfiqurasiyası, Snooping Konfiqurasiyası, 48T8SP |
