Announcement

**trainingit** · 18-04-2008, 06:12 PM

- bạn xem cái vd cấu hình dhcp snooping ở đây nhé:

This example shows how to enable DHCP snooping globally and on VLAN 10 and to configure a rate limit of 100 packets per second on Fast Ethernet port 0/1:

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/1
Switch(config-if)# ip dhcp snooping limit rate 100

- full link:

404 - Page Not Found - Products

http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_19_ea1/configuration/guide/swdhcp82.html#wp1058259

404 - Page Not Found

**tranmyphuc** · 18-04-2008, 06:38 PM

Originally posted by minhthu View Post

Chào mọi người!

Mình đang thực hiện DHCP Snooping nhưng mãi vẫn chưa được mong các đại ca chỉ giáo. Topology như sau:

- Mình có DHCP cấp IP connect với port fa0/1 của Switch Server A

- DHCP giả mạo connect với 1 trong các port của Switch Client B.

- Mình config trên 2 Switch như sau:

+ Trên Switch A:

Conf t
ip dhcp snooping
ip dhcp snooping vlan 1 -1005
inter fa0/1
ip dhcp snooping trust

+ Trên Switch B:

Con t

ip dhcp snooping
ip dhcp snooping vlan 1 -1005
inter fa0/1 -24
ip dhcp snooping limit rate 3

Sau khi config xong thi Client vẫn lấy được IP từ DHCP giả mạo

Chờ sự giúp đỡ của mọi người.

Chào !!!

Code:

inter fa0/1 -24
ip dhcp snooping limit rate 3
no ip dhcp snooping trust

Thêm lệnh :

Code:

config # no ip dhcp information option# tắt option 82

Chúc bạn vui !!!

**minhthu** · 19-04-2008, 10:50 AM

Hi, các bạn mình đã apply code của bạn nhưng nó vẫn lấy IP của DHCP giả mạo. Đặc biệt mình apply trên VLAN mới chưa co DHCP nào thì được (nghĩa là cấm được DHCP giả mạo nếu chưa có DHCP thật cấp IP).

Mình nghĩ trên firewall của bọn mình có config gì đó nên mình không thực hiện được.

Mong các bạn cho giải pháp khác.

Thanks!

**tranmyphuc** · 19-04-2008, 11:55 AM

Originally posted by minhthu View Post

Hi, các bạn mình đã apply code của bạn nhưng nó vẫn lấy IP của DHCP giả mạo. Đặc biệt mình apply trên VLAN mới chưa co DHCP nào thì được (nghĩa là cấm được DHCP giả mạo nếu chưa có DHCP thật cấp IP).

Mình nghĩ trên firewall của bọn mình có config gì đó nên mình không thực hiện được.

Mong các bạn cho giải pháp khác.

Thanks!

CHào !!!

Code:

ip dhcp snooping limit rate 3

Thử bỏ lệnh này xem
Chúc bạn vui !!!

**minhthu** · 19-04-2008, 12:29 PM

Mình cũng đã thử lệnh này rồi.

ip dhcp snooping limit rate 3

Vẫn không được. Mà lạ cái là khi có code ip dhcp snooping vlan 1 -1005 là DHCP không cấp được IP.

**tranmyphuc** · 19-04-2008, 04:05 PM

Originally posted by minhthu View Post

Mình cũng đã thử lệnh này rồi.

ip dhcp snooping limit rate 3

Vẫn không được. Mà lạ cái là khi có code ip dhcp snooping vlan 1 -1005 là DHCP không cấp được IP.

Chào !!!
bạn cho hỏi thêm câu nói trên có nghĩa gì ??? Bạn nói chi tiết hơn được không ???

Cho hỏi thêm tí : Khi enable câu lệnh

Code:

ip dhcp snooping

Bạn thấy trên switch có xuất hiện câu lỗi nào ko ??( error messager)

chúc bạn vui !!!

**minhthu** · 19-04-2008, 07:31 PM

Khi enable câu lệnh

Code:
ip dhcp snooping

Switch không thấy báo lỗi gì cả.

Còn đoạn này

Mình cũng đã thử lệnh này rồi.

ip dhcp snooping limit rate 3

Vẫn không được. Mà lạ cái là khi có code ip dhcp snooping vlan 1 -1005 là DHCP không cấp được IP.

có nghĩa là mình đã thử bỏ lệnh ip dhcp snooping limit rate 3 nhưng DHCP giả mạo vẫn cấp IP.

còn khi mình thêm code ip dhcp snooping vlan 1 -1005 là là cả DHCP thật và DHCP giả mạo đều không cấp được IP.

**tranmyphuc** · 19-04-2008, 09:18 PM

Originally posted by minhthu View Post

Khi enable câu lệnh

Code:
ip dhcp snooping

Switch không thấy báo lỗi gì cả.

Còn đoạn này

Mình cũng đã thử lệnh này rồi.

ip dhcp snooping limit rate 3

Vẫn không được. Mà lạ cái là khi có code ip dhcp snooping vlan 1 -1005 là DHCP không cấp được IP.

có nghĩa là mình đã thử bỏ lệnh ip dhcp snooping limit rate 3 nhưng DHCP giả mạo vẫn cấp IP.

còn khi mình thêm code ip dhcp snooping vlan 1 -1005 là là cả DHCP thật và DHCP giả mạo đều không cấp được IP.

chào !!!
Vậy bạn thử chỉ enable trên 1 VLAN xem tình trạng có bị như vậy không ???
Mình đã xem kĩ cấu hình của bạn Ok nhưng có thể bạn enable trên quá nhiều VLAN
Mình nghĩ chắc bạn đã bật câu lệnh " service dhcp" trên Switch rồi đúng không ??? Cũng như bạn vui lòng cho mình xem về cấu hình DHCP

Code:

ip dhcp snooping limit rate [a<100]

Câu lệnh trên được bật trên những interface cấu hình untrust. Tuy nhiên mặc định là nó sẽ được disable . Nó dùng để giới hạn packet được truyền nhận mỗi giây với port untrust con số này phải nhỏ hơn 100
Chúc bạn vui !!!

**minhthu** · 20-04-2008, 05:03 PM

Chào bạn!

Mình khi apply trên bất kì Vlan nào thì DHCP giả mạo và DHCP thật đều không cấp được IP mặc dù chỉ 1 Vlan hay nhiều Vlan. Nhưng khi apply trên Vlan mới tinh (Vlan chưa có DHCP thật nào cấp IP thì minh có thể điều khiển được DHCP giả mạo cấp hay không cấp IP theo ý mình). Vậy nên mình mới nghi config trên firewall nào đó đã ngăn cản mình apply DHCP Snooping.

Mình config DHCP server trên Server 2K3 chứ không config Router có chức năng DHCP và mình cũng có câu lệnh IP helper address DHCP server Hơn nữa mình không apply DHCP Snooping thì DHCP thật của mình vẫn cấp IP như bình thường mà.

Mình cũng đã cẩn thận check xem trong mạng của mình còn DHCP nào không nhưng chỉ có duy nhất 2 DHCP server của mình test thôi.

Rất cảm ơn bạn đã quan tâm reply các câu hỏi của mình.

**trainingit** · 20-04-2008, 05:55 PM

hi,

theo mình bạn thử kiểm tra như này xem, tạm thời bạn bỏ con switch B đi, chỉ dùng switch A thôi, sau đó bạn cắm chung cả 2 con DHCP server 2003 vào chung switch A, cấu hình trust cho một port cắm con DHCP server sẽ cấp IP, tất cả các port còn lại bạn cấu hình untrust, sau đó cắm chung con DHCP server giả mạo và các client vào switch A. Bạn chỉ test riêng trên switch A thôi, nếu cấu hình dhcp snooping của bạn đã hoạt động tốt thì lúc đó bạn hãy kết nối vào switch B, cấu hình trunk từ switch A sang switch B, rồi chuyển DHCP server giả sang switch B và test lại lần nữa.

switch của bạn là L2 hay L3 (có cấu hình relay agent ko ?)

**tranmyphuc** · 21-04-2008, 01:07 AM

Originally posted by trainingit View Post

hi,

theo mình bạn thử kiểm tra như này xem, tạm thời bạn bỏ con switch B đi, chỉ dùng switch A thôi, sau đó bạn cắm chung cả 2 con DHCP server 2003 vào chung switch A, cấu hình trust cho một port cắm con DHCP server sẽ cấp IP, tất cả các port còn lại bạn cấu hình untrust, sau đó cắm chung con DHCP server giả mạo và các client vào switch A. Bạn chỉ test riêng trên switch A thôi, nếu cấu hình dhcp snooping của bạn đã hoạt động tốt thì lúc đó bạn hãy kết nối vào switch B, cấu hình trunk từ switch A sang switch B, rồi chuyển DHCP server giả sang switch B và test lại lần nữa.

switch của bạn là L2 hay L3 (có cấu hình relay agent ko ?)

chào !!!
1) Anh trainingit nói đúng, bạn có enable câu lệnh ip helper address (cấu hình DHCP relay agent)không ???
2) Bạn xem lại lần nữa , khi enable câu lệnh ip dhcp snooping trên switch có xuất hiện thông báo lỗi nào không ??? (Nếu có cấu hình như 1 sẽ có thông báo lỗi)
3) Chức năng dhcp snooping này không có trong switch layer 2

Nhân dịp này xin phép post lại bài viết của thầy Đặng Quang Minh để mọi người tiện tham khảo :

DHCP Snooping

DHCP snooping ngăn ngừa những tổn thất do vài kiểu tấn công dùng DHCP snooping gây ra. DHCP snooping làm cho một switch kiểm tra các thông điệp DHCP và lọc các thông điệp bị xem là không phù hợp. DHCP snooping cũng xây dựng một bảng của các địa chỉ và các cổng dựa trên những thông điệp DHCP hợp lệ gọi là DHCP snooping binding tables. Tính năng DHCP snooping sau đó sẽ dùng bởi tính năng DAI và bởi tính năng IP Source Guard.

Hình dưới đây mô tả một kiểu tấn công man-in-the-middle trong đó dùng DHCP.
DHCP hợp lệ nằm ở vùng khác, trong khi đó DHCP của máy tấn công nằm ở LAN cục bộ, hoạt động như DHCP server.

Các bước dưới đây giải thích làm thế nào một máy tấn công có thể trở thành “man-in-the-middle”.
PC-B yêu cầu một địa chỉ IP dùng DHCP.
PC của kẻ tấn công trả lời, cấp cho một địa chỉ IP/mask nhưng dùng địa chỉ của chính nó là default gateway.
Pc-B gửi các data frame nghĩ rằng máy tấn công là gateway mặc định.
Máy tấn công trung chuyển các frame trên, trở thành man-in-the-middle.

Chú ý PC-B sẽ dùng gói tin DHCP reply đầu tiên mà nó nhận được, vì vậy những gói tin DHCP hợp lệ phảI đi qua đường WAN sẽ chậm hơn những gói DHCP reply của máy tấn công.

Tính năng DHCP snooping hạn chế kiểu tấn công đó cho những port mà nó xem là không tin cậy. DHCP snooping cho phép tất cả các thông điệp DHCP trên những port tin cậy, nhưng nó sẽ lọc bỏ những thông điệp DHCP trên những port không tin cậy. Cơ chế này hoạt động dựa trên giả thiết rằng các máy DHCP clients trên tồn tạI trên những cổng không tin cậy, và kết quả là switch sẽ lọc những thông điệp DHCP đi vào mà các thông điệp này được gửi bởI các server. Vì vậy từ quan điểm thiết kế, các cổng không dùng của switch và các cổng không được bảo vệ phải được cấu hình như là không tin cậy đốI vớI dịch vụ DHCP snooping.

DHCP snooping cũng cần phải kiểm tra các thông điệp DHCP client trên những cổng không tin cậy, bởi vì những kiểu tấn công khác có thể dùng các thông điệp của DHCP client. DHCP server nhận dạng các máy client dựa trên địa chỉ phần cứng của do client khai báo trong thông điệp DHCP request. Một thiết bị đơn lẻ có thể hoạt động như nhiều thiết bị bằng cách gửi ra các thông điệp DHCP lặp lại, mỗI lần vớI một địa chỉ phần cứng khác nhau. Máy chủ DHCP server nghĩ rằng các yêu cầu là đến từ các máy khác nhau sẽ gán các địa chỉ cho từng yêu cầu. Máy chủ DHCP sẽ nhanh chóng gán hết những địa chỉ sẵn có trong dãy địa chỉ, làm cho những yêu cầu hợp lệ từ những ngườI dùng khác sẽ bị từ chối.

Đối với những cổng không tin cậy, DHCP snooping dùng các nguyên tắc sau đây để lọc gói tin:

1. Nó lọc tất cả các thông điệp được gửi bởi DHCP server.
2. Switch sẽ kiểm tra các thông địep release và declient trong bảng DHCP snooping. Nếu một địa chỉ IP trong những thông điệp này không được liệt kê cùng với những cổng trong bảng snooping, thông điệp sẽ bị loại bỏ.
3. Ngoài ra, switch có thể so sánh địa chỉ phần cứng của các DHCP request vớI địa chỉ nguồn trong Ethernet frame.

Trong ba hạng mục trên, hạng mục đầu tiên sẽ quản lý kiểu tấn công man-in-the-middle. Hạng mục thứ hai sẽ ngăn ngừa các máy tấn công gửi ra các gói DHCP và sau đó cố gắng yêu cầu một địa chỉ được gán bởi cùng một địa chỉ, thông qua đó chiếm luôn kết nối của máy ban đầu. Hạng mục cuối cùng ngăn ngừa kiểu tấn công DOS attack trong đó một máy cố gắng xin cấp hết tất cả những địa chỉ IP mà server có thể cấp trong mạng.

Quay trở lại câu hòi của bạn, bạn có thể cấu hình cổng của switch gắn vào DHCP như là trust port (cổng tin cậy). Các cổng nối vào các switch non-cisco như là un-trust.

Yêu cầu:

1: Đảm bảo xóa toàn bộ cấu hình và Vlan của SW1
2: R1, R2, Client1, Client2 đều thuộc Vlan 10.
3: Cấu hình R1, R2 là DHCP Server. Dãy địa chỉ IP mỗi Router sẽ cấp như sau:

R1:
IP: 192.168.1.0/24
Gateway: 192.168.1.253

R2:
192.168.1.0/24
Gateway: 192.168.1.254

4: Cấu hình Client 1 và Client 2 là DHCP Client

5: Cấu hình DHCP Snooping trên SW1, đảm bảo các Client sẽ chỉ xin địa chỉ IP từ R2 qua DHCP (kiểm tra default-gateway trên mỗi client phải là IP của R2 192.168.1.254)

Hướng dẫn:

1: xóa toàn bộ cấu hình:
SW1# erase startup-config
SW1# delete flash:vlan.dat

2: Cấu hình SW1:
SW1(config)# interface range f0/1 - 2 , f0/23 - 24
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 10

3: Đặt địa chỉ IP cho 2 client và 2 router:
R1(config)# interface fastEthernet 0/0
R1(config-if)# ip address 192.168.1.253 255.255.255.0
R2(config)# interface fastEthernet 0/0
R2(config-if)# ip address 192.168.1.254 255.255.255.0

4: Bật DHCP Client trên Client1 và Client2.

5: Cấu hình DHCP Snooping trên SW1. R1 và R2 là 2 DHCP Server, để đảm bảo client chỉ xin địa chỉ IP từ R2, cấu hình f0/24 (SW1) trust dhcp:

!Cấu hình DHCP Server cho R1 và R2:
R1(config)# ip dhcp pool VLAN10
R1(dhcp-config)# network 192.168.1.0 /24
R1(dhcp-config)# default-router 192.168.1.253

R2(config)# ip dhcp pool VLAN10
R2(dhcp-config)# network 192.168.1.0 /24
R2(dhcp-config)# default-router 192.168.1.254

!Cấu hình DHCP Snooping trên SW1:
SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 10
SW1(config)# no ip dhcp information option
SW1(config)# interface f0/24
SW1(config-if)# ip dhcp snooping trust
SW1(config)# interface f0/23
SW1(config-if)# no ip dhcp snooping trust

Cấu hình đầy đủ:

!R1:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.253 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.253
!
end

!R2:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.254
!
end

!SW1:
!
configure terminal
!
interface range fastEthernet0/1 - 2 , fastEthernet0/23 - 24
switchport mode access
switchport access vlan 10
!
ip dhcp snooping
!
ip dhcp snooping vlan 10
!
no ip dhcp information option
!
interface fastEthernet0/24
ip dhcp snooping trust
!
interface fastEthernet0/23
no ip dhcp snooping trust
!
end

!Kiem tra:
#show ip dhcp snooping

!display only dynamic configured binding
#show ip dhcp snooping binding

!display the dhcp snooping binding database status and statistics
#show ip dhcp snooping database

!display the dynamic and static configured binding
#show ip source binding

chúc bạn vui !!!

**minhthu** · 21-04-2008, 06:17 PM

Mình đã thực hiện DHCP Snooping theo topology của bạn. Hoàn toàn thực hiện được như bạn đã nói thế nhưng nếu đem R2(DHCP thật cấp IP cho cả mạng) connect với Switch nữa(giả sử là Switch B) và Switch B nối Trunk với Switch A thì R2 không cấp được IP cho Client 1 và Client 2 nữa, mặc dù mình đã code:

ip dhcp snooping
!
ip dhcp snooping vlan 10
!
no ip dhcp information option
!
interface fastEthernet0/2 { port nối với R2 }
ip dhcp snooping trust

Mình đã rút ra kết luận thế này. DHCP chỉ apply trên 1 Switch được thôi còn trên nhiều Switch thì không thực hiện được.

Switch mình apply DHCP Snooping là Switch 2950 và 2960 chắc là được chứ.

Mất 1 tuần vấn đề này rồi mà chẳng đến đâu cả.

**trainingit** · 21-04-2008, 06:29 PM

trên switch L2 vẫn thực hiện snooping được bt, chỉ ko hỗ trợ DHCP relay agent (switch L3 mới hỗ trợ), bạn thử test như vậy với switch B, và cấu hình vtp để share các vlan xem, vd

+ switch A : bạn chọn làm vtp server

+ switch B : chọn làm vtp client

+ cấu hình vtp domain

sau đó bạn xoá hết toàn bộ vlan đang có, và tạo lại vlan từ switch A xem có ổn hơn chút nào ko ?

**tranmyphuc** · 21-04-2008, 07:40 PM

Originally posted by minhthu View Post

Mình đã thực hiện DHCP Snooping theo topology của bạn. Hoàn toàn thực hiện được như bạn đã nói thế nhưng nếu đem R2(DHCP thật cấp IP cho cả mạng) connect với Switch nữa(giả sử là Switch B) và Switch B nối Trunk với Switch A thì R2 không cấp được IP cho Client 1 và Client 2 nữa, mặc dù mình đã code:

ip dhcp snooping
!
ip dhcp snooping vlan 10
!
no ip dhcp information option
!
interface fastEthernet0/2 { port nối với R2 }
ip dhcp snooping trust

Mình đã rút ra kết luận thế này. DHCP chỉ apply trên 1 Switch được thôi còn trên nhiều Switch thì không thực hiện được.

Switch mình apply DHCP Snooping là Switch 2950 và 2960 chắc là được chứ.

Mất 1 tuần vấn đề này rồi mà chẳng đến đâu cả.

Chào !!!
Đã kiểm tra và thấy chức năng dhcp snooping có trên switch layer 2 . Để kiểm tra tính năng này bạn vào đây :

http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Chọn Search by Feather.

Mình ghi thiếu vì khi mình xem là version 12.0 chức năng này chưa có. Từ version 12.2(25)FX trở đi , switch layer 2 2960 và 2950 tới version 12.1(19)EA1 mới có chức năng này.
Vậy ngoài việc dùng 2 switch layer 2 , bạn có dùng edge switch (switch layer 3) không ???

Chúc bạn vui !!!

Announcement

HELP ME! Cái vụ DHCP Snooping này làm mãi không được

HELP ME! Cái vụ DHCP Snooping này làm mãi không được

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment