Lab 11 – Security trên Switch – Bài số 1

Sơ đồ:

​
Hình 11.1 – Sơ đồ bài Lab

Yêu cầu:

1. Cấu hình ban đầu

• Trên SW1 tạo VLAN 10 và thực hiện gán tất cả các cổng Fast Ethernet của Switch vào VLAN 10 vừa tạo.
• Thực hiện cấu hình các địa chỉ IP trên các interface của các thiết bị như được chỉ ra trên hình 11.1.

Cấu hình:

Trên SW1:

SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#interface range f0/1 - 24
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 10
SW1(config-if-range)#exit
SW1(config)#interface vlan 10
SW1(config-if)#ip address 192.168.10.251 255.255.255.0
SW1(config-if)#exit

Trên R1:

R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#exit

Trên R2:

R2(config)#interface f0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.10.2 255.255.255.0
R2(config-if)#exit
Kiểm tra:

Trên SW1 VLAN 10 đã được tạo ra và các cổng Fast Ethernet đều đã được gán vào VLAN 10 (bài Lab được thực hiện trên Switch 3560 có 24 cổng Fast Ethernet):

SW1#show vlan brief

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi0/1, Gi0/2
10 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

Interface VLAN 10 của SW1 đã active (up/up):

SW1#show ip interface brief vlan 10
Interface IP-Address OK? Method Status Protocol
Vlan10 192.168.10.251 YES manual up up

Các địa chỉ IP của các Host trên VLAN 10 đã có thể đi đến nhau được:

R1#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1#ping 192.168.10.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R2#ping 192.168.10.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
2. Port – security (1)

• Cấu hình tính năng port – security trên cổng F0/11 của SW1 đảm bảo:
  • Chỉ thiết bị với địa chỉ MAC 0000.1111.1111 được phép truy nhập vào cổng này.
  • Mọi địa chỉ MAC khác nếu cố tình truy nhập vào cổng này sẽ dẫn đến cổng bị shutdown.
  • Cổng sẽ được tự động mở lại sau 120s khi sự vi phạm không còn xảy ra.
• Cấu hình tính năng port – security trên cổng F0/12 của SW1 đảm bảo:
  • Chỉ thiết bị với địa chỉ MAC 0000.1111.2222 được phép truy nhập vào cổng này.
  • Các frame vi phạm sẽ bị loại bỏ trên cổng, cổng không bị shutdown.
  • Khi sự vi phạm xảy ra, Switch phải phát ra các thông điệp syslog cảnh bảo đến người quản trị.
• Thực hiện đổi địa chỉ MAC sử dụng trên các cổng F0/0 của R1 và R2 thành 0000.1111.1111 và 0000.1111.2222 để kiểm tra cấu hình đã thực hiện.

Cấu hình:

Trên SW1, thực hiện cấu hình tính năng port – security cho cổng F0/11 như sau để đáp ứng yêu cầu đặt ra:

• Cấu hình mode static cho địa chỉ MAC 0000.1111.1111.
• Sử dụng phương thức violation là shutdown.
• Cấu hình tự động khôi phục khỏi err – disable cho port – security trong khoảng thời gian là 120s: nếu không còn xảy ra hiện tượng MAC vi phạm đi vào cổng, cổng sẽ được tự động mở lại khỏi trạng thái err – disable sau 120s.

Thực hiện:

SW1(config)#interface f0/11
SW1(config-if)#shutdown
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0000.1111.1111
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#errdisable recovery cause psecure-violation
SW1(config)#errdisable recovery interval 120

Trong yêu cầu này, cần phải shutdown cổng vì ở mặc định, khi port – security được bật lên trên cổng, tính năng này sẽ hoạt động ở mode Secure Dynamic: tự động đưa địa chỉ MAC của thiết bị đang kết nối trên cổng vào danh sách Security MAC và không cho phép bổ sung thêm địa chỉ.
Sau khi shutdown cổng, địa chỉ MAC 0000.1111.1111 được cấu hình để đưa vào danh sách Security MAC được phép đi vào cổng như yêu cầu. Cấu hình ở trên cũng không cần thiết phải chỉ định tường minh violation mode vì mode mặc định được sử dụng chính là shutdown.
Với violation mode là shutdown, khi một địa chỉ MAC không được phép đi vào cổng, cổng sẽ bị đưa vào trạng thái err – disable và chuyển hẳn sang trạng thái down. Để khắc phục, thiết bị với địa chỉ MAC vi phạm cần phải được gỡ ra khỏi cổng và cổng cần phải được reset lại bằng cách shutdown, rồi no shutdown cổng. Với cấu hình khôi phục tự động như ở trên, cứ 120s một lần, Switch sẽ lại mở cổng F0/11, đưa ra khỏi trạng thái err – disable và kiểm tra xem sự vi phạm còn xảy ra không. Nếu còn vi phạm, lại tiếp tục err – disable cổng, nếu hết vi phạm, trả cổng lại trạng thái active (up/up) để tiếp tục sử dụng cổng.
Với yêu cầu trên cổng F0/12, thực hiện cấu hình port – security với chế độ static cho địa chỉ 0000.1111.2222 cùng với hình thức xử phạt là restrict:

SW1(config)#interface f0/12
SW1(config-if)#shutdown
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0000.1111.2222
SW1(config-if)#switchport port-security violation restrict
SW1(config-if)#no shutdown
SW1(config-if)#exit

Sau khi hoàn thành cấu hình, bước tiếp theo cần thực hiện là kiểm tra kết quả cấu hình. Kiểm tra:

Hiện nay, MAC trên cổng F0/0 của Router R1 (kết nối đến F0/11 của SW1) là địa chỉ MAC khác với MAC được cho phép trên cổng F0/11 của SW1:

R1#show interfaces f0/0 | inc bia
Hardware is MV96340 Ethernet, address is 001c.5829.af68 (bia 001c.5829.af68)

Điều này dẫn đến cổng F0/11 sẽ được SW1 đưa vào trạng thái err – disable và chuyển sang trạng thái down:

*Mar 1 00:52:15.317: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/11, putting Fa0/11 in err-disable state
*Mar 1 00:52:15.317: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001c.5829.af68 on port FastEthernet0/11.
SW1#
*Mar 1 00:52:15.326: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to down
SW1#
*Mar 1 00:52:17.322: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to down
SW1#show interfaces f0/11 status
Port Name Status Vlan Duplex Speed Type
Fa0/11 err-disabled 10 auto auto 10/100BaseTX
SW1#show ip interface brief f0/11
Interface IP-Address OK? Method Status Protocol
FastEthernet0/11 unassigned YES unset down down

(Trong một số trường hợp, nếu sự vi phạm chưa bị phát hiện, có thể chủ động từ Host R1 ping đến interface VLAN 10 của SW1 để SW1 nhanh chóng phát hiện ra MAC không hợp lệ trên cổng F0/11).
Thực hiện cấu hình đổi lại địa chỉ MAC được sử dụng trên cổng F0/0 về địa chỉ MAC được cho phép 0000.1111.1111:

R1(config)#interface f0/0
R1(config-if)#mac-address 0000.1111.1111
R1(config-if)#end
R1#show interfaces f0/0 | inc bia
Hardware is MV96340 Ethernet, address is 0000.1111.1111 (bia 001c.5829.af68)

Khi địa chỉ MAC trên cổng F0/0 của R1 đã được thay đổi hợp lệ, cổng F0/11 sẽ được khôi phục về trạng thái active ban đầu:

*Mar 1 01:01:15.292: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/11
SW1#
*Mar 1 01:01:18.932: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to up
SW1#
*Mar 1 01:01:18.941: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to up

Lúc này, R1 đã có thể giao tiếp được với các thiết bị khác:

R1#ping 192.168.10.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

Tiếp theo, thực hiện kiểm tra với port – security trên cổng F0/12 của SW1.
Từ R2, khởi tạo một luồng lưu lượng về phía Switch. Vì địa chỉ MAC trên cổng F0/0 của R2 đang là địa chỉ không được cho phép trên cổng F0/0 nên mọi lưu lượng xuất phát từ R2 sẽ bị drop bỏ khi đi vào cổng F0/12 của SW1:

R2#show interfaces f0/0 | inc bia
Hardware is MV96340 Ethernet, address is 0025.4568.fa10 (bia 0025.4568.fa10)
R2#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Các thông điệp syslog trên SW1 được phát ra để cảnh báo về sự vi phạm đã diễn ra:

*Mar 1 01:17:17.079: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.
SW1#
*Mar 1 01:17:28.052: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.
SW1#
*Mar 1 01:17:38.051: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.
SW1#
*Mar 1 01:17:48.050: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.

Thực hiện hiệu chỉnh lại địa chỉ MAC sử dụng trên cổng F0/0 của R2 về địa chỉ MAC
hợp lệ:

R2(config)#interface f0/0
R2(config-if)#mac-address 0000.1111.2222
R2(config-if)#exit

Lúc này, lưu lượng xuất phát từ R2 có thể đi tiếp được qua Switch:

R2#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Có thể thực hiện một số lệnh kiểm tra khác với port – security:

SW1#show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
10 0000.1111.1111 SecureConfigured Fa0/11 -
10 0000.1111.2222 SecureConfigured Fa0/12 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
SW1#show port-security interface f0/11
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.1111.1111:10
Security Violation Count : 0
SW1#show port-security interface f0/12
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.1111.2222:10
Security Violation Count : 0

3. Port – security (2)

• Cổng F0/24 của SW1 sẽ được sử dụng để kết nối đến một thiết bị tập trung khác (ví dụ: access – point).
• Cấu hình tính năng port – security trên cổng F0/24 của SW1 để chỉ cho phép tối đa 10 địa chỉ MAC được phép truy nhập đồng thời vào cổng này.
• Với mỗi địa chỉ MAC truy nhập cổng F0/24, nếu sau 10 phút liên tục mà không có dữ liệu từ MAC này đi vào cổng, địa chỉ MAC này sẽ được đưa ra khỏi danh sách được phép truy nhập trên cổng để dành chỗ cho MAC khác.
• Khi số lượng MAC truy nhập vượt quá 10 địa chỉ, thực hiện drop các frame đến từ MAC thứ 11 trở đi nhưng không cần phải phát thông điệp syslog cảnh báo.

Cấu hình:

Cấu hình port – security trên cổng F0/24 của SW1:

SW1(config)#interface f0/24
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 10
SW1(config-if)#switchport port-security violation protect
SW1(config-if)#switchport port-security aging type inactivity
SW1(config-if)#switchport port-security aging time 10
SW1(config-if)#exit

Có thể giải thích cách sử dụng các lệnh như sau:

SW1(config-if)#switchport port-security

Khi cấu hình lệnh này trên cổng, cổng sẽ bắt đầu tự động lưu địa chỉ source MAC của các frame đi vào cổng lên một danh sách các địa chỉ MAC được phép đi vào cổng cho đến khi danh sách này đầy. Khi danh sách đã đầy, nếu xuất hiện frame với source MAC mới tiếp tục đi vào cổng, hoạt động xử phạt sẽ diễn ra. Câu lệnh tiếp theo quy định kích thước tối đa của danh sách địa chỉ MAC được phép đi vào cổng (10 địa chỉ):

SW1(config-if)#switchport port-security maximum 10

Danh sách được học một cách tự động này sẽ bị xóa đi và xây dựng lại nếu cổng bị down, do đó hoạt động này chỉ có ý nghĩa nếu cổng được đấu nối đến một thiết bị tập trung như Hub hoặc access – point và các end – user Host sẽ phải truy nhập vào cổng của Switch thông qua thiết bị tập trung này.
Trên cổng F0/24, hình thức xử phạt frame vi phạm được chọn là “protect”:

SW1(config-if)#switchport port-security violation protect

Với hình thức này, frame vi phạm sẽ bị drop bỏ, nhưng không có bất kỳ cảnh báo nào được đưa ra.
Mỗi địa chỉ MAC trong bản danh sách địa chỉ được phép đi vào cổng có thể được cấu hình một giá trị timeout. Sau khoảng thời gian timeout này, địa chỉ sẽ bị xóa để nhường chỗ cho địa chỉ MAC khác. Có hai loại timeout mà có thể áp lên một địa chỉ trong danh sách:

• Absolute: với loại timeout này, hết timeout địa chỉ MAC sẽ bị xóa khỏi danh sách.
• Inactivity: với loại timeout này, hết timeout mà thiết bị không truyền dữ liệu gì vào cổng, MAC của thiết bị sẽ bị xóa khỏi danh sách.

Thực hiện chọn loại timeout để áp lên cổng bằng lệnh:

SW(config-if)#switchport port-security aging type {absolute|inactivity}

Khoảng thời gian timeout được chỉ ra bằng lệnh:

SW(config-if)#switchport port-security aging time minutes

Trên cổng F0/24, thực hiện chọn loại timeout là inactivity và cấu hình giá trị timeout là 10 phút để đáp ứng yêu cầu đặt ra:

SW1(config-if)#switchport port-security aging type inactivity
SW1(config-if)#switchport port-security aging time 10
Kiểm tra:

Thực hiện kiểm tra các thông số port - security đã được thiết lập trên cổng F0/24:

SW1#show port-security interface f0/24
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 10 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 10
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

4. Storm – control

• Cấu hình tính năng storm – control trên cổng F0/11 đảm bảo tốc độ gửi gói unicast vào cổng này không được vượt quá 100 gói/s.
• Cấu hình tính năng storm – control trên cổng F0/12 đảm bảo tốc độ gửi gói broadcast vào cổng này không được vượt quá 10 gói/s.
• Khi số lượng gói tin gửi vào trên cổng vượt quá số lượng cho phép, cổng sẽ bị shutdown.

Cấu hình:

Trên SW1:

SW1(config)#interface f0/11
SW1(config-if)#storm-control action shutdown
SW1(config-if)#storm-control unicast level pps 100
SW1(config-if)#exit
SW1(config)#interface f0/12
SW1(config-if)#storm-control action shutdown
SW1(config-if)#storm-control broadcast level pps 10
SW1(config-if)#exit

Tính năng Storm – control được sử dụng để giới hạn số lượng traffic unicast, multicast hoặc broadcast nhận được trên một cổng.
Tùy thuộc vào hệ điều hành được sử dụng, câu lệnh “storm-control” có thể sử dụng đơn vị là phần trăm băng thông trên cổng, pps (packets per second), bps (bits per second),… Khi cấu hình, có thể sử dụng dấu “?” trong câu lệnh để xác định xem những loại đơn vị nào có thể được sử dụng.
Bên cạnh đó, người quản trị có thể cấu hình hiệu chỉnh ứng xử trên cổng khi hạn mức dữ liệu trên cổng vượt quá mức độ được chỉ ra:

SW1(config-if)#storm-control action ?
shutdown Shutdown this interface if a storm occurs
trap Send SNMP trap if a storm occurs

Trong đó:

• shutdown: với tùy chọn này, cổng sẽ bị shutdown khi số lượng dữ liệu gửi vào cổng vượt quá định mức quy định.
• trap: Switch sẽ chỉ phát đi một trap SNMP cảnh báo đến thiết bị giám sát.

Kiểm tra:

Kiểm tra kết quả cấu hình đã thực hiện:

SW1#show storm-control unicast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/11 Forwarding 100 pps 100 pps 0 pps
SW1#show storm-control broadcast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/12 Forwarding 10 pps 10 pps 0 pps

Thực hiện ping unicast tốc độ cao từ R1 để số lượng gói tin đi vào cổng F0/11 vượt quá 100 gói/s:

R1#ping 192.168.10.2 repeat 100000
Type escape sequence to abort.
Sending 100000, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
(…)

Khi số lượng gói tin đi vào cổng F0/11 vượt quá 100 gói/s, cổng sẽ bị đưa vào trạng thái err – disable và chuyển sang trạng thái down:

SW1#
*Mar 1 00:44:23.290: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/11, putting Fa0/11 in err-disable state
*Mar 1 00:44:23.290: %STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Fa0/11. The interface has been disabled.
SW1#
*Mar 1 00:44:23.299: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to down
SW1#
*Mar 1 00:44:25.295: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to down

SW1#show storm-control unicast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/11 Link Down 100 pps 100 pps 0 pps

Thực hiện ping broadcast số lượng lớn từ phía R2 để lưu lượng broadcast gửi vào cổng F0/12 của SW1 vượt quá 10 gói/s, có thể phải thực hiện điều này trong một khoảng thời gian khá dài:

R2#ping 255.255.255.255 repeat 1000 timeout 0

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 255.255.255.255, timeout is 0 seconds:
..
Reply to request 2 from 192.168.10.1, 1 ms.
Reply to request 4 from 192.168.10.1, 1 ms...
Reply to request 8 from 192.168.10.1, 1 ms
Reply to request 8 from 192.168.10.251, 1 ms.
(…)
Reply to request 359 from 192.168.10.1, 1 ms...
Reply to request 363 from 192.168.10.1, 1 ms....
Reply to request 368 from 192.168.10.1, 4 ms...
Reply to request 372 from 192.168.10.1, 1 ms.........

Cổng F0/12 của SW1 bị đưa vào trạng thái err – disable và chuyển sang trạng thái down:

SW1#
*Mar 1 01:10:29.812: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/12, putting Fa0/12 in err-disable state
*Mar 1 01:10:29.812: %STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Fa0/12. The interface has been disabled.
SW1#
*Mar 1 01:10:29.821: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/12, changed state to down
SW1#
*Mar 1 01:10:31.817: %LINK-3-UPDOWN: Interface FastEthernet0/12, changed state to down
SW1#show storm-control broadcast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/12 Link Down 10 pps 10 pps 0 pps

Sau khi kiểm tra xong, thực hiện reset các cổng F0/11 và F0/12 để trả các cổng này về lại trạng thái active:

SW1(config)#interface range f0/11,f0/12
SW1(config-if-range)#shutdown
SW1(config-if-range)#no shutdown

5. DHCP snooping

• Cấu hình để R1 đóng vai trò DHCP Server cấp phát IP cho tất cả các Host thuộc VLAN 10 (VLAN 10 được quy hoạch subnet IP 192.168.10.0/24).
• Cấu hình tính năng DHCP snooping trên VLAN 10 của SW1 đảm bảo ngăn chặn tất cả các hoạt động tấn công giả mạo DHCP Server diễn ra trên VLAN này.

Cấu hình:

Thực hiện cấu hình R1 thành DHCP Server cấp phát IP cho VLAN 10:

R1(config)#ip dhcp excluded-address 192.168.10.1
R1(config)#ip dhcp excluded-address 192.168.10.251
R1(config)#ip dhcp pool VLAN10
R1(dhcp-config)#network 192.168.10.0 /24
R1(dhcp-config)#default-router 192.168.10.1
R1(dhcp-config)#exit

Cấu hình tính năng DHCP snooping cho VLAN 10 trên SW1:

SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 10
SW1(config)#interface f0/11
SW1(config-if)#ip dhcp snooping trust
SW1(config-if)#exit
SW1(config)#no ip dhcp snooping information option
Ghi chú:

Cấu hình DHCP snooping đã thực hiện ở trên có thể được giải thích ngắn gọn thông qua một vài ý như sau:

• Tính năng DHCP Snooping được sử dụng để ngăn chặn phương thức tấn công giả mạo DHCP (DHCP Spoofing) trên một VLAN. Với phương thức tấn công này, kẻ tấn công dựng lên một DHCP Server giả để rót thông tin IP sai lệch xuống cho người dùng cùng VLAN từ đó gây ảnh hưởng đến việc truy nhập mạng hoặc đánh cắp thông tin từ người dùng. Tính năng này được bật trên một VLAN của một Switch bằng các lệnh:

SW1(config)#ip dhcp snooping <- Bật DHCP snooping trên SW1
SW1(config)#ip dhcp snooping vlan 10 <- Áp dụng cho VLAN 10

• Khi tính năng DHCP snooping được bật trên VLAN, các cổng thuộc VLAN được chia thành hai loại: trusted port và untrusted port.
  • Trên trusted port, thiết bị kết nối được quyền gửi vào port tất cả các loại gói tin DHCP. Các trusted port là các port kết nối đến DHCP Server hoặc các port uplink.
  • Trên untrusted port, thiết bị chỉ được phép gửi vào port các loại gói tin DHCP do client gửi lên Server và không được gửi vào port các loại gói tin mà DHCP Server gửi xuống cho client. Các untrusted port được dùng để kết nối đến các end – user trong VLAN. Khi được kết nối vào untrusted port, end – user không thể dựng DHCP Server giả vì mọi gói tin cấp phát IP đến từ DHCP Server giả mạo của end – user sẽ bị chặn khi đi đến untrusted port.
  • Mặc định, các cổng thuộc VLAN được áp DHCP snooping sẽ hoạt động ở chế độ untrusted. Người quản trị phải chỉ định tường minh các cổng trusted bằng lệnh “ip dhcp snooping trust” trên các cổng kết nối đến DHCP Server hoặc uplink. Trong bài Lab 11, cổng F0/11 kết nối đến DHCP Server R1 được chỉ định là trusted port:

SW1(config)#interface f0/11
SW1(config-if)#ip dhcp snooping trust
SW1(config-if)#exit

• Khi tính năng DHCP snooping được bật trên Switch, Switch tự động thực hiện chèn thêm option – 82 cho các gói tin DHCP đi đến DHCP Server.

Option 82 là một loại option được sử dụng để cung cấp thêm thông tin về Agent đến cho DHCP Server. Các gói tin DHCP mà có chèn thêm option 82 thường có trường “giaddr” nhận giá trị khác 0 vì trường này được sử dụng để mang theo địa chỉ của DHCP relay agent.
Tuy nhiên, trong tình huống sử dụng DHCP snooping, Switch thực hiện chèn vào option 82 nhưng nó lại không phải là DHCP relay agent nên trường “giaddr” phải nhận giá trị là 0. Điều này dẫn đến DHCP Server sẽ coi gói DHCP nhận được là bị lỗi (xuất hiện option 82 nhưng lại có giaddr = 0) và loại bỏ gói này khiến cho các client sẽ không nhận được cấu hình IP.
Để khắc phục vấn đề vừa nêu, khi cấu hình DHCP snooping trên Switch, cần phải thực hiện tắt thao tác chèn option 82 hoặc cấu hình DHCP Server chấp nhận các gói tin có option 82 nhưng trường giaddr lại bằng 0.
Để tắt option 82 với DHCP snooping trên Switch, sử dụng lệnh:

SW(config)#no ip dhcp snooping information option

Để DHCP Server chấp nhận các gói tin DHCP với option 82 nhưng lại có giaddr = 0, sử dụng lệnh:

R(config)#ip dhcp relay information trust-all

Hoặc câu lệnh ở mode interface:

R(config-if)#ip dhcp relay information trusted

Trong bài Lab 11, cách tắt option 82 trên Switch được lựa chọn để thực hiện:

SW1(config)#no ip dhcp snooping information option
Kiểm tra:

Thực hiện kiểm tra các thông số của DHCP snooping trên Switch:

SW1#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is operational on following VLANs:
10
Smartlog is configured on following VLANs:
none
Smartlog is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: a40c.c304.9d00 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
FastEthernet0/11 yes yes unlimited
Custom circuit-ids:

Thực hiện chuyển R2 thành một client xin cấp phát IP từ DHCP Server R1:

R2(config)#interface f0/0
R2(config-if)#no ip address
R2(config-if)#ip address dhcp
R2(config-if)#end
R2#
*May 13 07:27:30.763: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 192.168.10.2, mask 255.255.255.0, hostname R2

Có thể thấy rằng R2 đã được cấp phát động địa chỉ IP 192.168.10.2/24.
Tính năng DHCP snooping bên cạnh chống giả mạo DHCP còn tiến hành theo dõi mọi gói tin DHCP đi ngang qua Switch để xây dựng bảng DHCP snooping dùng cho các tính năng DAI và IP sourceguard. Thực hiện kiểm tra bảng DHCP snooping binding trên Switch:

SW1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------------- --------------- ---------- ------------- ---- ----------
00:00:11:11:22:22 192.168.10.2 86382 dhcp-snooping 10 FastEthernet0/12
Total number of bindings: 1

Từ kết quả show có thể thấy, Switch đã giám sát được hoạt động cấp phát IP bằng DHCP cho các client. Với mỗi client, Switch biết được rằng client có địa chỉ MAC là gì, được DHCP Server cấp phát cho địa chỉ IP nào và đang được kết nối vào interface nào của VLAN 10. Ví dụ: hiện nay client với MAC 0000.1111.2222 kết nối vào cổng F0/12 thuộc VLAN 10 đã được cấp địa chỉ IP là 192.168.10.2.
Tiếp theo, thực hiện kiểm tra hoạt động chống tấn công giả mạo DHCP Server của DHCP snooping bằng cách chuyển cổng F0/11 nối đến R1 thành untrusted port. Lúc này R1 sẽ bị coi là DHCP giả mạo và không thể cấp phát IP cho các end – user thuộc VLAN 10 được nữa.
Chuyển cổng F0/11 thành untrusted port:

SW1(config)#interface f0/11
SW1(config-if)#no ip dhcp snooping trust

R2 thực hiện xin cấp phát lại IP nhưng không còn xin được IP từ R1:

R2(config)#interface f0/0
R2(config-if)#no ip address
R2(config-if)#ip address dhcp
R2(config-if)#end
R2#show ip interface brief f0/0
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES DHCP up up

Chuyển lại F0/11 thành trusted port, R2 lại nhận được IP cấp phát tự động từ R1:

SW1(config)#interface f0/11
SW1(config-if)#ip dhcp snooping trust
R2#
*May 13 07:56:29.207: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 192.168.10.2, mask 255.255.255.0, hostname R2

6. IP Source – guard

• Cấu hình tính năng IP source guard trên các cổng thuộc VLAN 10 đảm bảo các user kết nối vào các cổng thuộc VLAN 10 phải sử dụng địa chỉ IP được cấp phát bởi DHCP.
• Nếu sử dụng IP cấu hình tĩnh, user sẽ không thể trao đổi dữ liệu.

Cấu hình:

Bật IP source – guard trên tất cả các cổng thuộc VLAN 10 của SW1:

SW1(config)#interface range f0/1 – 24
SW1(config-if-range)#ip verify source
Kiểm tra:

Hiện nay R2 đang sử dụng IP động 192.168.10.2 được cấp phát bởi DHCP:

R2#show ip interface brief f0/0
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.10.2 YES DHCP up up

Điều này được SW1 ghi nhận trong bảng DHCP snooping binding:

SW1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------------- --------------- ---------- ------------- ---- ----------
00:00:11:11:22:22 192.168.10.2 86233 dhcp-snooping 10 FastEthernet0/12
Total number of bindings: 1

Nếu tiếp tục sử dụng IP cấp phát động này, R2 được phép gửi dữ liệu vào cổng F0/12 (cột “IP-address” hiển thị địa chỉ được phép “192.168.10.2”):

SW1#show ip verify source interface f0/12
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
--------- ----------- ----------- --------------- ----------------- ---- ---
Fa0/12 ip active 192.168.10.2 10 disabled

R2 có thể đi đến được các Host khác:

R2#ping 192.168.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Tiếp theo, thực hiện cấu hình tĩnh một IP nào đó trên cổng F0/0 của R2 (ví dụ: 192.168.10.22) thay cho IP động đã nhận từ DHCP:

R2(config)#interface f0/0
R2(config-if)#ip address 192.168.10.22 255.255.255.0
R2(config-if)#exit

Khi R2 cấu hình tĩnh địa chỉ mới thay thế cho IP cũ nhận từ DHCP, tiến trình DHCP trên R2 gửi cập nhật về điều này lên DHCP Server R1 để từ bỏ địa chỉ IP đã được cấp phát. SW1 theo dõi các gói tin DHCP đến từ R2, biết được điều này và xóa bỏ thông tin tương ứng ra khỏi bảng DHCP snooping binding:

SW1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- ------------
Total number of bindings: 0

Kế đó, SW1 cũng đồng thời ngăn chặn mọi IP trên cổng F0/12 kết nối đến R2 (cột “IP-address” hiển thị “deny-all”):

SW1#show ip verify source interface f0/12
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----
Fa0/12 ip active deny-all 10

R2 không thể gửi dữ liệu đi tiếp được nữa:

R2#ping 192.168.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Tiếp theo, cấu hình để R2 sử dụng trở lại IP nhận từ DHCP thay cho IP tĩnh:

R2(config)#interface f0/0
R2(config-if)#no ip address
R2(config-if)#ip address dhcp
R2(config-if)#end
R2#
*Jan 1 01:01:27.039: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 192.168.10.3, mask 255.255.255.0, hostname R2

Thông tin này được SW1 cập nhật vào bảng DHCP snooping binding:

SW1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------------- --------------- ---------- ------------- ---- ----------
00:00:11:11:22:22 192.168.10.3 86286 dhcp-snooping 10 FastEthernet0/12
Total number of bindings: 1

Tính năng IP source – guard cho phép IP 192.168.10.3 được đi vào cổng F0/12:

SW1#show ip verify source interface f0/12
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
--------- ----------- ----------- --------------- ----------------- ---- ---
Fa0/12 ip active 192.168.10.3 10 disabled

R2 đã có thể giao tiếp trở lại với các Host khác:

R2#ping 192.168.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms

Như vậy, một Host kết nối vào VLAN 10 chỉ có thể giao tiếp với các Host khác nếu nó sử dụng IP động được cấp phát bởi DHCP. 7. DAI – Dynamic ARP Inspection

• Tiếp tục cấu hình bổ sung thêm tính năng DAI trên VLAN 10 để ngăn chặn hoạt động tấn công giả mạo ARP trên VLAN này.

Cấu hình:

Thực hiện bật tính năng DAI cho VLAN 10 trên SW1:

SW1(config)#ip arp inspection vlan 10

Khi tính năng DAI được bật lên, Switch sẽ chia các cổng thuộc VLAN 10 thành hai loại trusted port và untrusted port (tương tự như DHCP snooping ở trên). Mọi gói tin ARP Reply do các Host kết nối trên các untrusted port gửi vào Switch sẽ đều được kiểm tra. Nếu kết quả phân giải IP – MAC ghi trên các gói này không khớp với thông tin IP – MAC tương ứng trong bảng DHCP snooping binding đã xây dựng trước đó, gói ARP Reply sẽ bị loại bỏ, không được chuyển đi tiếp. Điều này sẽ giúp ngăn chặn mọi cuộc tấn công giả mạo ARP xuất phát từ các end – user.
Mặc định, tất cả các cổng thuộc VLAN bật DAI sẽ được để ở chế độ untrusted. Với các cổng kết nối đến các thiết bị có độ tin cậy cao (như các Server hay các thiết bị uplink), có thể chuyển cổng về chế độ trusted:

SW1(config)#interface f0/11
SW1(config-if)#ip arp inspection trust
SW1(config-if)#exit

Các gói tin ARP đến từ các cổng trusted sẽ không bị kiểm tra khi đi vào Switch. Kiểm tra:

Bảng DHCP snooping binding đã xây dựng trước đó của SW1:

SW1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------------- --------------- ---------- ------------- ---- ----------
00:00:11:11:22:22 192.168.10.3 86286 dhcp-snooping 10 FastEthernet0/12
Total number of bindings: 1

Bảng này chỉ rõ rằng IP 192.168.10.3 đã được cấp phát cho Host có MAC 0000.1111.2222 trên cổng F0/12. Do đó, kết quả phân giải ARP trả về từ Host này bắt buộc phải là một sự tương quan giữa IP 192.168.10.3 và MAC 0000.1111.2222; nếu sự phân giải không khớp với sự tương quan này gói tin ARP Reply trả về từ Host sẽ bị SW1 drop bỏ. Điều này ngăn chặn việc giả mạo kết quả phân giải ARP.
Tiếp theo, thực hiện kiểm tra hoạt động của DAI bằng cách khảo sát ứng xử của Switch khi kết quả phân giải ARP được trả về khi đúng và khi sai với thông tin trong bảng DHCP snooping binding.
Xóa ARP cache hiện tại trên R1 bằng cách shutdown rồi no shutdown cổng F0/0 của R1:

R1(config)#interface f0/0
R1(config-if)#shutdown
R1(config-if)#
*May 13 09:03:25.891: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
*May 13 09:03:26.891: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
R1(config-if)#no shutdown
R1(config-if)#
*May 13 09:03:32.539: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*May 13 09:03:33.539: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Từ R1 thực hiện ping địa chỉ 192.168.10.3 của R2:

R1#ping 192.168.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
R1#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.10.1 - 0000.1111.1111 ARPA FastEthernet0/0
Internet 192.168.10.3 0 0000.1111.2222 ARPA FastEthernet0/0

ARP cache đã bị xóa nên R1 phải thực hiện lại thao tác gửi đi ARP request để tìm ra địa chỉ MAC tương ứng với địa chỉ IP 192.168.10.3 của R2. Vì ARP Reply trả về từ R2 có IP và MAC đúng với thông tin đã lưu trên bảng DHCP snooping binding nên thông tin này được cập nhật vào bảng ARP của R1. Phân giải ARP đã được thực hiện thành công nên ping thành công.
Tiếp theo, thực hiện lại việc xóa ARP cache trên R1:

R1(config)#interface f0/0
R1(config-if)#shutdown
R1(config-if)#
*May 14 03:42:27.411: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
*May 14 03:42:28.411: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
R1(config-if)#no shutdown
R1(config-if)#
*May 14 03:42:33.123: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*May 14 03:42:34.123: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.10.1 - 0000.1111.1111 ARPA FastEthernet0/0

Đổi lại địa chỉ MAC trên cổng F0/0 của R2 để giả lập hoạt động phân giải sai địa chỉ MAC cho IP 192.168.10.3:

R2(config)#interface f0/0
R2(config-if)#mac-address 0000.1111.3333 <- Trước đó là 0000.1111.2222
SW1(config)#int f0/12
SW1(config-if)#no switchport port-security mac-address 0000.1111.2222 <- Gỡ bỏ port–security cho địa chỉ 0000.1111.2222 đã cấu hình trước đó để cổng F0/12 của SW1 chấp nhận địa chỉ MAC mới thay đổi của R2

Từ R1 thực hiện ping lại địa chỉ 192.168.10.3:

R1#ping 192.168.10.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Hoạt động ping diễn ra không thành công. Điều này xảy ra do phân giải ARP đã không thể hoàn tất:

R1#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.10.1 - 0000.1111.1111 ARPA FastEthernet0/0
Internet 192.168.10.3 0 Incomplete ARPA

SW1 đã chặn lại các gói ARP Reply đến từ R2 vì thông tin phân giải không đúng với nội dung đã lưu trong bảng DHCP snooping binding: địa chỉ 192.168.10.3 đáng lẽ phải được phân giải thành MAC 0000.1111.2222 thì lại được phân giải thành MAC 0000.1111.3333. Điều này được thể hiện qua các thông điệp syslog do SW1 phát ra:

SW1#
*Mar 1 01:13:18.096: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/12, vlan 10.([0000.1111.3333/192.168.10.3/0000.1111.1111/192.168.10.1/01:13:17 UTC Mon Mar 1 1993])
SW1#
*Mar 1 01:13:20.109: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/12, vlan 10.([0000.1111.3333/192.168.10.3/0000.1111.1111/192.168.10.1/01:13:19 UTC Mon Mar 1 1993])
SW1#
*Mar 1 01:13:22.123: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/12, vlan 10.([0000.1111.3333/192.168.10.3/0000.1111.1111/192.168.10.1/01:13:21 UTC Mon Mar 1 1993])

Thực hiện đổi lại địa chỉ MAC trên cổng F0/0 về lại thành địa chỉ 0000.1111.2222 đúng như thông tin trong bảng DHCP snooping binding:

R2(config)#interface f0/0
R2(config-if)#mac-address 0000.1111.2222

Lúc này R1 đã ping được đến R2 vì hoạt động phân giải ARP đã diễn ra thành công:

R1#ping 192.168.10.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
R1#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.10.1 - 0000.1111.1111 ARPA FastEthernet0/0
Internet 192.168.10.3 0 0000.1111.2222 ARPA FastEthernet0/0


​