Wat is
DHCP snooping?
DHCP Snooping (het snuffelen). Het is één van de
belangrijkste default security settings in je
netwerk. Hiermee zorg je ervoor dat er maar één DHCP in je netwerk kan zijn.
Waarom DHCP snooping?
Waarom is dat belangrijk? Omdat meerdere DHCP server je netwerk down kunnen
brengen. Down? Ja, dat niemand meer kan werken. En je als netwerkbeheerder een
dagtaak hebt om de oorzaak te achterhalen (true
story).
Begrippen die je tegenkomt bij DHCP snooping
·
snooping trust
·
snooping event
·
snooping limit rate
·
snooping packet
Configuring DHCP snooping on the switch
Het configureren van DHCP-snooping op een switch heeft de volgende stappen.
• DHCP-snooping
is standaard uitgeschakeld op switches. Om deze functie te gebruiken, moeten we
deze eerst inschakelen.
• DHCP-snooping
werkt per VLAN-basis. Zodra DHCP-snooping is
ingeschakeld, moeten we het VLAN opgeven waarop we dit willen toepassen. Je
kunt één VLAN of meerdere VLAN's specificeren. Om één
VLAN te configureren, voer je één VLAN-nummer in. Om een reeks VLAN's te configureren, voert u een begin- en een
eind-VLAN-nummer of een streepje en het bereik van VLAN's
in.
• DHCP-snooping
behandelt alle poorten van het opgegeven VLAN als de trusted
(vertrouwde) poorten. Een untrusted poort is een
poort die geen DHCP-packets (berichten) accepteert.
Met andere woorden, als een apparaat is aangesloten op een untrusted
poort, kan het IP-configuratie verkrijgen van de DHCP-server, maar het kan geen
IP-configuratie aanbieden. Het wordt één richtingsverkeer.
• Als er een DHCP-server op de poort is
aangesloten, moeten we die poort configureren als de trusted
(vertrouwde) poort. Een vertrouwde poort is een poort die DHCP-serverberichten
accepteert. Met andere woorden, een DHCP-server kan alleen IP-configuratie
bieden als deze is aangesloten op een vertrouwde poort.
De volgende tabel bevat de opdrachten
die worden gebruikt om DHCP-snooping op
Cisco-switches te configureren en te verifiëren.
|
Command |
Description |
|
Switch(config)# ip dhcp snooping |
To enable DHCP snooping
globally. |
|
Switch(config)# ip dhcp snooping vlan number [number] |
To enable DHCP snooping on the
specified VLAN. |
|
Switch(config-if)# ip dhcp snooping trust |
To configure the interface
as a trusted interface. |
|
Switch(config-if)# ip dhcp snooping limit rate [rate] |
To limit the number of DHCP
packets that the interface can receive in a second. |
|
Switch# show ip dhcp snooping |
To view DHCP snooping
configuration and status |
|
Switch# debug ip dhcp snooping event |
To debug DHCP snooping
events. |
|
Switch# debug ip dhcp snooping packet |
To view DHCP messages and
packets. |
Een simpel voorbeeld
Stel dat op je switch de DHCP server op Interface fa/04 is aangesloten. Dit is
dus je trusted poort. Gebruik dan de volgende
commando’s
Switch(config)#interface fa0/4
Switch(config-if)#ip dhcp snooping trust
Easy toch?
Rate-Limit
Met het commando limit rate kun je aangeven hoeveel DHCP berichten over je netwerk
gaan. Als er meer dan zoveel DHCP aanvragen per seconden worden verstuurd. Dan
heb je misschien met een attack te maken. Dit noemen ze een DHCP Starvation Attack. Je kan daarom met het volgende command
de limit aangeven. Deze limit kun je plaatsen op een trusted
als een untrusted poort.
ip dhcp snooping limit rate [number]
Show Snooping
De configuratie kun je bekijken met : Show ip DHCP snooping
Debuggen
Met
de volgende commando’s kun je debug messages bekijken
debug ip dhcp snooping event
en
debug ip dhcp snooping
packet