Rogue DHCP Server DHCP Snooping Cisco Switch

การตั้งค่า DHCP Snooping บน Cisco Switch

เปิดการทำงานของ DHCP Snooping บน Global
เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ
กำหนดพอร์ต Trusted และ Untrusted
ปิดการทำงาน Option 82

เพียง 3 Steps นี้ ก็สามารถใช้งายได้แล้วครับ ในส่วนการตั้งค่าอื่นๆเป็น Optional เราลองมาดูกันครับ

จาก Diagram ตามรูป ผมจะเริ่มจากการทดสอบให้ PC ทั้ง 2 เครื่องรับ DHCP ดูก่อนนะครับ เดี๋ยวมาดูกันว่า PC ทั้ง 2 เครื่องนี้ จะได้ DHCP จากใคร ?

VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r
DDORA IP 192.168.1.51/24 GW 192.168.1.1

ลองดูผลทดสอบครับ

เครื่อง vPC5 ได้ IP address ถูกต้องมาจาก DHCP Server ตัวจริง
เครื่อง vPC4 ได้ IP address ไม่ถูกต้องมาจาก Rouge DHCP

ทีนี้เราก็จะมาตั้งค่าเพื่อป้องกัน Rogue DHCP ด้วย DHCP Snooping กันครับ

Step 1 : เปิดการทำงานของ DHCP Snooping บน Global

SW1(config)# ip dhcp snooping

Step 2 : เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ

SW1(config)# ip dhcp snooping vlan 1

ถ้าต้องการเปิดการทำงานหลาย VLAN ต่อเนื่องกัน

SW1(config)# ip dhcp snooping vlan 1-100

ถ้าต้องการเปิดการทำงานหลาย VLAN แบบไม่ต่อเนื่องกัน

SW1(config)# ip dhcp snooping vlan 1,2,5,7,9

Step 3 : กำหนดพอร์ต Trusted และ Untrusted

SW1(config)# interface e0/0
SW1(config-if)# ip dhcp snooping trust

Note : ส่วน Untrusted Port ไม่จำเป็นต้องตั้งค่าใดๆ เพราะพอร์ตที่ไม่ได้ถูกกำหนดให้เป็น Trusted Port จะเป็น Untrusted Port โดย Default

Step 4 : ปิดการทำงาน Option 82 (ในบทความนี้ขอยังไม่พูดถึง Option 82 นะครับ เพราะมีรายละเอียดพอสมควร)

SW1(config)# no ip dhcp snooping information option

Step 5 (Option) : กำหนดจำนวน Packet Per Second (pps) ของ DHCP Packet เพื่อป้องกันการ Flood DHCP Packet ที่ Untrusted Port

SW1(config)# interface e0/1
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/2
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/3
SW1(config-if)# ip dhcp snooping limit rate 100

เสร็จเรียบร้อยแล้วครับ เรามาดูคำสั่งที่ใช้ตรวจสอบการตั้งค่ากันครับ

สุดท้าย เรามาลองทดสอบกันครับ หลังจากที่เราตั้งค่า DHCP Snooping ไปแล้ว โดยทดสอบเหมือนตอนแรกครับ คือให้ PC ทั้ง 2 เครื่อง รับ DHCP มาลองดูกันว่าจะได้รับ IP addess ถูกต้องหรือไม่

VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r
DDORA IP 10.100.0.25/24 GW 10.100.0.1

สังเกตุไหมครับว่า ตอนนี้ PC ทั้ง 2 เครื่อง ได้รับ IP address จาก DHCP Server อย่างถูกต้องแล้ว แม้ว่าผมจะ Release , Renew IP อีกกี่ครั้ง ก็ยังคงได้รับ IP address ถูกต้องเหมือนเดิม

ผมตรวจสอบว่า Packet โดน Drop ไปจริงหรือไม่

เห็นไหมครับ มี Packets ถูก Drop ไปจาก Untrusted Port เรียบร้อยแล้ว แบบนี้เราก็สามารถป้องกัน Rogue DHCP ที่มาเชื่อมต่อในระบบเราได้แล้วครับ

และนอกจากนั้น DHCP Snooping มันจะทำการเก็บข้อมูลไว้ด้วยว่า เครื่อง Mac Address ไหน ได้รับ DHCP เป็น IP address เบอร์อะไร เชื่อมต่ออยู่ที่พอร์ตไหน และ VLAN อะไร

http://netprime-system.com/dhcp-snooping-part2/

Surin

free codes

Rogue DHCP Server DHCP Snooping Cisco Switch

การตั้งค่า DHCP Snooping บน Cisco Switch

เปิดการทำงานของ DHCP Snooping บน Global

เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ

กำหนดพอร์ต Trusted และ Untrusted

ปิดการทำงาน Option 82

เพียง 3 Steps นี้ ก็สามารถใช้งายได้แล้วครับ ในส่วนการตั้งค่าอื่นๆเป็น Optional เราลองมาดูกันครับ

VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r
DDORA IP 192.168.1.51/24 GW 192.168.1.1

ลองดูผลทดสอบครับ

เครื่อง vPC5 ได้ IP address ถูกต้องมาจาก DHCP Server ตัวจริง

เครื่อง vPC4 ได้ IP address ไม่ถูกต้องมาจาก Rouge DHCP

ทีนี้เราก็จะมาตั้งค่าเพื่อป้องกัน Rogue DHCP ด้วย DHCP Snooping กันครับ

Step 1 : เปิดการทำงานของ DHCP Snooping บน Global

SW1(config)# ip dhcp snooping

Step 2 : เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ

SW1(config)# ip dhcp snooping vlan 1

ถ้าต้องการเปิดการทำงานหลาย VLAN ต่อเนื่องกัน

SW1(config)# ip dhcp snooping vlan 1-100

ถ้าต้องการเปิดการทำงานหลาย VLAN แบบไม่ต่อเนื่องกัน

SW1(config)# ip dhcp snooping vlan 1,2,5,7,9

Step 3 : กำหนดพอร์ต Trusted และ Untrusted

SW1(config)# interface e0/0
SW1(config-if)# ip dhcp snooping trust

Note : ส่วน Untrusted Port ไม่จำเป็นต้องตั้งค่าใดๆ เพราะพอร์ตที่ไม่ได้ถูกกำหนดให้เป็น Trusted Port จะเป็น Untrusted Port โดย Default

Step 4 : ปิดการทำงาน Option 82 (ในบทความนี้ขอยังไม่พูดถึง Option 82 นะครับ เพราะมีรายละเอียดพอสมควร)

SW1(config)# no ip dhcp snooping information option

Step 5 (Option) : กำหนดจำนวน Packet Per Second (pps) ของ DHCP Packet เพื่อป้องกันการ Flood DHCP Packet ที่ Untrusted Port

SW1(config)# interface e0/1
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/2
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/3
SW1(config-if)# ip dhcp snooping limit rate 100

เสร็จเรียบร้อยแล้วครับ เรามาดูคำสั่งที่ใช้ตรวจสอบการตั้งค่ากันครับ

VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r
DDORA IP 10.100.0.25/24 GW 10.100.0.1

ผมตรวจสอบว่า Packet โดน Drop ไปจริงหรือไม่

http://netprime-system.com/dhcp-snooping-part2/

การตั้งค่า DHCP Snooping บน Cisco Switch

เปิดการทำงานของ DHCP Snooping บน Global

เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ

กำหนดพอร์ต Trusted และ Untrusted

ปิดการทำงาน Option 82

เพียง 3 Steps นี้ ก็สามารถใช้งายได้แล้วครับ ในส่วนการตั้งค่าอื่นๆเป็น Optional เราลองมาดูกันครับ

VPC5> ip dhcp -r DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r DDORA IP 192.168.1.51/24 GW 192.168.1.1

ลองดูผลทดสอบครับ

เครื่อง vPC5 ได้ IP address ถูกต้องมาจาก DHCP Server ตัวจริง

เครื่อง vPC4 ได้ IP address ไม่ถูกต้องมาจาก Rouge DHCP

ทีนี้เราก็จะมาตั้งค่าเพื่อป้องกัน Rogue DHCP ด้วย DHCP Snooping กันครับ

Step 1 : เปิดการทำงานของ DHCP Snooping บน Global

SW1(config)# ip dhcp snooping

Step 2 : เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ

SW1(config)# ip dhcp snooping vlan 1

ถ้าต้องการเปิดการทำงานหลาย VLAN ต่อเนื่องกัน

SW1(config)# ip dhcp snooping vlan 1-100

ถ้าต้องการเปิดการทำงานหลาย VLAN แบบไม่ต่อเนื่องกัน

SW1(config)# ip dhcp snooping vlan 1,2,5,7,9

Step 3 : กำหนดพอร์ต Trusted และ Untrusted

SW1(config)# interface e0/0 SW1(config-if)# ip dhcp snooping trust

Note : ส่วน Untrusted Port ไม่จำเป็นต้องตั้งค่าใดๆ เพราะพอร์ตที่ไม่ได้ถูกกำหนดให้เป็น Trusted Port จะเป็น Untrusted Port โดย Default

Step 4 : ปิดการทำงาน Option 82 (ในบทความนี้ขอยังไม่พูดถึง Option 82 นะครับ เพราะมีรายละเอียดพอสมควร)

SW1(config)# no ip dhcp snooping information option

Step 5 (Option) : กำหนดจำนวน Packet Per Second (pps) ของ DHCP Packet เพื่อป้องกันการ Flood DHCP Packet ที่ Untrusted Port

SW1(config)# interface e0/1 SW1(config-if)# ip dhcp snooping limit rate 100 SW1(config)# interface e0/2 SW1(config-if)# ip dhcp snooping limit rate 100 SW1(config)# interface e0/3 SW1(config-if)# ip dhcp snooping limit rate 100

เสร็จเรียบร้อยแล้วครับ เรามาดูคำสั่งที่ใช้ตรวจสอบการตั้งค่ากันครับ

VPC5> ip dhcp -r DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r DDORA IP 10.100.0.25/24 GW 10.100.0.1

ผมตรวจสอบว่า Packet โดน Drop ไปจริงหรือไม่

http://netprime-system.com/dhcp-snooping-part2/

VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r
DDORA IP 192.168.1.51/24 GW 192.168.1.1

SW1(config)# interface e0/0
SW1(config-if)# ip dhcp snooping trust

SW1(config)# interface e0/1
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/2
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/3
SW1(config-if)# ip dhcp snooping limit rate 100

VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1

VPC4> ip dhcp -r
DDORA IP 10.100.0.25/24 GW 10.100.0.1