0981 558668
  • Tin tức giải pháp công nghệ của CISCO
  • Cisco Solution

Hướng dẫn chi tiết cách cấu hình DHCP Snooping trên Cisco Switch

Bài viết này sẽ hướng dẫn bạn đọc cách cấu hình DHCP Snooping trên Cisco Switch, đây là phương pháp cài đặt không thể thiếu trên mỗi thiết bị giúp hệ thống hoạt động ổn định mà không bị trục trặc chồng chéo IP

 Để hiểu được cách cấu hình DHCP Snooping cho các thiết bị cisco switch, đầu tiên chúng ta phải hiểu rõ khái niệm cũng như tính năng thực tế của thuật ngữ này trên switch.

DHCP Snooping là chế độ gì?

DHCP Snooping có thể hiểu như một tính năng tường lửa bảo bật giúp ngăn chặn các cuộc tấn công của tin tặc vào hệ thống mạng của doanh nghiệp đánh cắp các thông tin quan trọng. Các tin tặng sẽ sử dụng các cách gửi các thông tin giẩ mạo để đánh lừa switch ha máy tính nhằm chuyển tiếp dữ liệu người dùng tới Getaway giả mạo. Mục đích chính của cá hacker tấn công là trở thành man in the middle, khi mày tính gửi dử liệu đến gateway để ra mạng bên ngoài, hacker sẽ phân tích mọi thông tin dữ liệu chuyển tới vì máy tính của họ chính là cá Gateway giả mạo đó.

Với các tính năng DHCP Snooping, IP Source Guard và Dynamic được tích hợp trên cisco switch sẽ giúp bảo vệ và ngăn chặn các cuộc tấn công nay

Thông thường, một sever DHCP sẽ có nhiệm vụ cung cấp các thông tin cơ bản cho một máy tính bất kỳ hoạt động trên mạng.

Ví dụ: máy tính người sử dụng có thể nhận địa chi IP, Gateway, DNS...Nếu như hacker tạo một cuộc tấn công xây dựng một hệ thống DHCP giả mạo trong cùng mạng với mạnh máy tính đang sử dụng, khi máy tính thực hiện gửi Broadcast DHCP Request, từ đó sever dhcp gia rmaoj có thể gửi thông tin trả lời và máy tính người dùng sẽ nhận nhầm sever giả mạo làm Gateway. Lúc này, tất cả các dữ liệu gử ra mạng bên ngoài sẽ đi qua Gateway giả mạo và hacker sẽ phân tích và lấy được những dữ liệu quan trọng, điểm nguy hại ở đây đó là các dữ liệu ấy vẫn gửi ra ngoài bình thường và không có một phát hiện cảnh báo nào. Đây là một dạng tấn công có thuật ngữ man in the middle, nghĩa là kẻ tấn công sẽ thay đổi đường đi của gói lữu liệu mà người dùng không thể phát hiện.

cấu hình dhcp snooping cisco switch

Với DHCP Snooping, nó sẽ giúp bạn ngăn chặn các cuộc tấn công này, khi chế độ này kích hoạt các cổng trên switch sẽ phân loại thành các cổng tin cậy và không tin cậy. Các cổng tin cậy sẽ cho phép nhận DHCP Reply và được gắn với Sever DHCP còn đối với các cổng không tin cậy nó chỉ cho phép nhận DHCP Request gắn với máy tính người dùng. Khi DHCP giả gắn vào cổng không tin cậy và gửi DHCp Rely thì gói Reply này ngay lập tức sẽ bị loại bỏ. DHCP Snooping sẽ thực hiện phân tích các gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC và thông tin cổng máy tính đó trực thuộc.

Các bước cấu hình DHCP Snooping 

- Kích hoạt tính năng DHCP Snopping
A1(config)#ip dhcp snooping 
A1 (config)#ip dhcp snooping vlan 2
- Tính năng information option cho phép chuyển dữ liệu thông tin về cổng máy tính đó thuộc khi thực hiện DHCP Request, tuy nhiên tùy chọn này buộc Sever DHCP phải hỗ trơ, trường hợp không cần thiết hãy tắt tính nưng này.
A1 (config)#no ip dhcp snooping information option
- Cho phép kiểm tra địa chỉ MAC
A1 (config)#ip dhcp snooping verify mac-address 
- Xác định cổng tin cậy ( trusted ) và không tin cậy ( untrusted )
A1 (config)#interface gig1/0/48
A1 (config-if)#ip dhcp snooping trust
A1 (config)#int range gig1/0/1–47,gig1/0/49-52 
A1 (config-if)#no ip dhcp snooping trust
- Tạo db lưu trữ
A1(config)#ip dhcp snooping database flash:snooping-db

Kiểm tra

- Sử dụng các lệnh sau để kiểm tra cấu hình
A1#show ip dhcp snooping
A1#show ip dhcp snooping binding
- Trong một số trường hợp kẻ tấn công có thể thực hiện DHCP Request với địa chỉ MAC giả, sử dụng hết dãy địa chỉ trên Server DHCP. Và Server DHCP không còn địa chỉ để cấp cho người dùng khác . Để hạn chế DHCP Snooping cho phép giới hạn tốc độ gói Request được gởi
 
Trên đây là khái niệm cũng như các bước cấu hình và thiết lập DHCP Snooping trên Cisco Switch, sau khi thiết lập xong chúng ta tiến hành kiểm tra lại cấu hình bằng cú pháp câu lệnh như hướng dẫn bên trên. DHCP Snooping là tính năng có trên các dòng Switch Cisco Catalyst của hãng.
Các tin khác
Thông tin liên hệ
Hà Nội: 024.22255666
Hồ Chí Minh: 028.62959919
Số di động: 0981 558 668
thegioicisco@gmail.com

Video

0981 558 668

0981558668