Cấu hình DHCP Snopping, Port Protect trên Switch Cisco

by Khánh Linh

23/02/2022, 8:24 PM   |    23/02/2022, 8:25 PM   |    1.5K   |    0

        Trong bài viết này chúng ta sẽ tìm hiểu và thực hiện cấu hình hai tính năng mức nâng cao trên Switch cisco là DHCP SnoppingPort Protect. Những tính năng này rất quan trọng trong hệ thống mạng nếu bạn muốn tăng tính bảo mật, an toàn của hệ thống, chúng ta cùng bắt đầu nhé.
 

1. DHCP Snopping là gì ?


        DHCP Snopping bạn có thể hiểu đơn giản nó giống như một tường lửa, giúp ngăn chặn các cuộc tấn công vào hệ thống mạng của bạn, từ đó đánh cắp các thông tin quan trọng. Hacker có thể tạo một hệ thống DHCP giả mạo trong hệ thống mạng của bạn, từ đó cấp IP, DNS cho máy tính người dùng; lúc này máy người dùng sẽ gửi các Request lại cho DHCP giả mạo kia, và thế là bị đánh cắp các dữ liệu quan trọng.

        Với DHCP Snooping, nó sẽ giúp ngăn chặn các cuộc tấn công này, khi chế độ này kích hoạt các cổng trên switch sẽ phân loại thành các cổng tin cậy và không tin cậy. Các cổng tin cậy sẽ cho phép nhận DHCP Reply và được gắn với Sever DHCP còn đối với các cổng không tin cậy chỉ cho phép nhận DHCP Request gắn với máy tính người dùng. Khi DHCP giả gắn vào cổng không tin cậy và gửi DHCP Reply thì gói Reply này ngay lập tức sẽ bị loại bỏ. DHCP Snooping sẽ thực hiện phân tích các gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC và thông tin cổng máy tính đó trực thuộc.
 

2. Cách cấu hình DHCP Snopping

         Các bước cấu hình sẽ gồm các bước sau:

- Kích hoạt tính năng DHCP Snooping
Switch(config)#ip dhcp snooping
Switch (config)#ip dhcp snooping vlan 2


- Tính năng information option cho phép chuyển dữ liệu thông tin về cổng máy tính đó thuộc khi thực hiện DHCP Request, tuy nhiên tùy chọn này buộc Sever DHCP phải hỗ trợ, trường hợp không cần thiết hãy tắt tính năng này.
Switch (config)#no ip dhcp snooping information option

- Cho phép kiểm tra địa chỉ MAC:
Switch (config)#ip dhcp snooping verify mac-address

- Xác định cổng tin cậy (trusted) và không tin cậy (untrusted):
Switch (config)#interface g0/24
Switch (config-if)#ip dhcp snooping trust
Switch (config)#int range g0/1-23
Switch (config-if)#no ip dhcp snooping trust


Lưu ý: Các cổng trunking nối tới switch core là cổng trust (cổng tin cậy), còn các cổng còn lại là untrust.

-  Có thể tạo database lưu trữ hoặc không:
Switch (config)#ip dhcp snooping database flash:snooping-db

- Sử dụng các lệnh sau để kiểm tra cấu hình:
Switch #show ip dhcp snooping
Switch #show ip dhcp snooping binding


- Tổng hợp các bước gồm các lệnh sau: 

Switch(config)#ip dhcp snooping 
Switch(config)#ip dhcp snooping vlan 10
Switch(config)#no ip dhcp snooping information option 
Switch(config)#ip dhcp snooping verify mac-address 
Switch(config)#inter f0/24
Switch(config-if)#ip dhcp snooping trust 
Switch(config)#inter range f0/1-23
Switch(config-if-range)#no ip dhcp snooping trust 
Switch(config-if-range)#end
Switch#


3. Port Protect là gì ?


       Trên một Switch, giữa các cổng (Port) không có nhu cầu giao tiếp với nhau thì bạn có thể cấu hình Port Protect. Việc sử dụng port protect giúp đảm bảo không có trao đổi unicast hoặc lưu lượng broadcast giữa các port trên switch.

Các tính năng của cổng được cấu hình port protect:
- Cổng được cấu hình port protect không chuyển tiếp bất kì lưu lượng truy cập nào (unicast, multicast hoặc broadcast) đến bất kỳ cổng nào khác cũng được cấu hình port protect. Lưu lượng dữ liệu không thể được chuyển tiếp giữa các cổng được cấu hình port protect ở lớp 2. Tất cả lưu lượng dữ liệu đi qua giữa các cổng bảo vệ phải được chuyển lên thiết bị lớp 3.

- Trao đổi dữ liệu giữa một cổng được cấu hình bảo vệ và một cổng không được bảo vệ được tiến hành bình thường.

- Mặc định không có cổng nào được cấu hình bảo vệ.

4. Các bước cấu hình Port Protect


- Các bước cấu hình:
Switch>enable
Switch#conf terminal


-Chọn cổng cấu hình bảo vệ:
Switch(config)#interface f0/9

- Cấu hình cổng bảo vệ:
Switch(config-if)#switchport protected

- Để kiểm tra trạng thái của port sử dụng câu lệnh sau:
Switch#show interfaces f0/9 switchport

- Tổng hợp các lệnh:
Switch>enable
Switch#conf t
Switch(config)#interface f0/9
Switch(config-if)#switchport protected
Switch(config-if)#end
Switch#show interfaces f0/9 switchport