DHCP Snooping

Hálózatok általános

hello,

egy másik topicban már érintettük (kalóz DHCP szerver), de legyen neki saját, mert itt már csak erre szeretnék fókuszálni.

adott egy céges hálózat, kaszkádolt HP v1910-24G switchekkel. a cél, hogy csak a tűzfalon (ami az internet gateway) futó DHCP szervertől fogadjanak a kliensek DHCP offer-t. az egyetlen igazán jó megoldásnak a DHCP Snooping tűnik erre.

elolvasva a manual-t (új nekem a téma teljesen, és switch menedzselésben is kezdő vagyok), úgy tűnik, mindössze annyi a feladat, hogy a kaszkád portokat, amiken a switchek fűzve vannak, trusted-ra állítom, a többit, amin a kliensek és egyebek lógnak, meg hagyom untrusted-on. meg persze bekapcsolom a snooping-ot.

pár kérdés azért felmerült:

- valóban ennyi az egész?

- https://www.manualslib.com/manual/633028/Hp-V1910.html?page=301#manual

itt az alsó ábrán 3 különböző port beállítást jelöl: untrusted / trusted disabled / trusted enabled. állítani meg csak annyit tudok, hogy trusted / untrusted. szóval a kérdés, hogy a narancs portot hogyan hozom létre, simán trusted, a többit megoldja a DHCP Snooping?

- option 82-re semmi szükségem, ha pusztán a fent leírt célom van, jól gondolom?

köszönettel fogadok minden segítséget, tapasztalatot, trükköt, jótanácsot, bevált módszert.

  • 1303 megtekintés

( blackluck v | 2018. 09. 10., h – 10:10 )

Lenyegeben igne, alapbol egyszeru a beallitasa, annyit szabalyozol vele hogy untrusted portokon ha dhcp snooping be van kapcsolva (adott eszkozon, vlanban, porton) akkor ott nem tovabbitja esetleges dhcp szervertol jovo valaszokat.
Tehat annyit kell tenned hogy dhcp snoopingot bekapcsolod (szukseges vlan-okra ha nem mindre akarod) es azon a porton ahol a dhcp szervered van trusted-re rakod a porto(ka)t, illetve a switcheknek azokat a portjat amin a forgalom a dhcp szerver iranyaba megy.
Ennyi megoldja ami neked kell, illetve lathatsz majd egy binding database-t switchekben hogy melyik porton milyen mac-el es ip-vel mennyi hatralevo lejarati idovel van dhcp lease, dhcp uzenetekbol switch magatol felepit egy ilyen adatbazist, mert pl lehet hasznalni arp inspection-el osszekotve olyanra hogy portokon csak dhcp altal osztott klienseknek engedi ipv4+mac parosaval kommunikaciot.
Egyeb alligatas nemigazan van, max olyan szokott meg lenni hogy rate limit untrusted porton, pl percenkent/masodpercenkent mennyi dhcp kerest enged, esetleg osszesen mennyi klienst enged rajta, mert ha van ilyen default-ban akkor downlink portokon a tobbi switch fele azt erdemes lehet feljebb venni.
Ami meg szamithat, hogy ha minden igaz ez csak ipv4 dhcp-re vonatkozik, ha valaki ipv6-ost (stateful vagy stateless) kot a halozatra annak a forgalmat ez nem fogja szerintem megfogni.

Ha erre gondolsz:
Trusted ports disabled from recording binding entries
Trusted ports enabled to record binding entries

Amire ennyit ir:
To save system resources, you can disable the trusted ports, which are indirectly connected to DHCP clients,
from recording clients' IP-to-MAC bindings upon receiving DHCP requests.

Ez alapjan nekem ugy tunik annyi a kulonbseg a "narancs" es "zold" portok kozt, hogy egyik dhcp snnoping trusted-ban van, atengedi a dhcp forgalmat szervertol es binding database-be beteszi a megfelelo bejegyzeseket errol, mig masik esetben meg nem foglalkozik binding database irogatassal, tehat mintha azon a porton teljesen ki lenne kapcsolva dhcp snooping.

Hogy van-e szukseged arra hogy kikapcsold az adatbazis fenntartast azt te lathatod hogy mennyi kliens van a halozatban es milyen sok dhcp uzenet, de hacsak nem valami extrem halozatrol van szo akkor nem hiszem hogy gondot okozna a switch teljesitmenyenek.

Az kb annyi hogy extra infokat tesz a dhcp keresbe a switch/router, olyanokat mint hogy melyik eszkoz melyik portjan indult el az a dhcp keres. Lenyegeben hibakereseshez, statisztikakhoz esetleg elborult esetben az alapjan meghatarozott port alapu dhcp ip osztashoz lehet hasznalni, de inkabb elobbiekre szoktak hogy melyik porton volt a kliens mikor ip-t kert es tarsaira.
Azt mondom ha nincs ra szukseged kihagyhatod, de hacsak nem zavarja meg dhcp szervered be lehet kapcsolni aztan hatha kesobb jo lesz hibakeresesnel.

Annyival kiegészíteném, hogy az IP Source Guard funkció épül a DHCP snooping adatbázisára. A funkció lényege, hogy a kliensek csak a DHCP-n kapott ip címmel forgalmazhatnak az adott porton, ezzel megakadályozva zt, hogy valaki kézzel felvett IP-vel forgalmazzon.

Nem tudom, hogy a fenti HP switchben van-e ilyen funkció.