CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Trong máy tính, DHCP Snooping là một loạt những kỹ thuật được áp dụng để cải thiện tính bảo mật của DHCP. Chỉ các DHCP server được admin cho phép mới có quyền cấp DHCP cho máy tính trong mạng.
Hãy cùng Datech theo dõi bài viết dưới đây để biết cách thực hiện cấu hình DHCP trên switch và router của Cisco nhé.
DHCP Snooping là tính năng chống giả mạo DHCP Server, có thể xem như một tính năng của tường lửa. Tính năng này giúp ngăn chặn những cuộc tấn công của tin tặc vào hệ thống mạng và đánh cắp các thông tin quan trọng của doanh nghiệp.
Những tin tặc sẽ gửi thông tin giả mạo để đánh lừa phần mềm của máy tính. Từ đó, chuyển dữ liệu của người dùng đến gateway giả mạo.
Mục đích của các hacker là trở thành “man in the middle”. Khi đã làm được điều này, máy tính sẽ gửi tín hiệu đến gateway để đưa thông tin ra mạng bên ngoài.
Từ đó, hacker sẽ phân tích mọi dữ liệu của bạn rồi chuyển đến gateway giả - chính là máy tính của họ.
Nhờ tính năng của DHCP Snooping, IP Source, Dynamic tích hợp trên switch Cisco, máy tính của bạn sẽ được bảo vệ và ngăn chặn khỏi các cuộc tấn công này.
Ví dụ: Máy tính mà bạn sử dụng có thể nhận địa chỉ IP, DNS, gateway,... Nếu hacker tấn công thì sẽ xây dựng một hệ thống DHCP giả mạo cùng mạng Internet với máy tính mà bạn đang sử dụng.
Khi máy tính gửi Broadcast DHCP Request, server DHCP giả mạo có thể gửi thông tin trả lời làm máy tính của bạn nhận nhầm server giả là gateway.
Lúc này, các dữ liệu sẽ được gửi ra mạng bên ngoài thông qua gateway giả. Hacker sẽ phân tích và lấy các dữ liệu quan trọng mà không có một cảnh báo.
Đây là một dạng tấn công được gọi là “man in the middle”, nghĩa là hacker sẽ thay đổi đường truyền của dữ liệu mà người dùng không thể phát hiện được.
Giúp ngăn chặn các cuộc tấn công vào hệ thống mạng
Khi chế độ này được kích hoạt, các cổng trên switch sẽ phân loại thành những cổng tin cậy (trusted) và không tin cậy (untrusted).
Những cổng tin cậy sẽ nhận DHCP Reply gắn với server DHCP. Trong khi đó, các cổng không tin cậy sẽ nhận DHCP Request gắn với máy tính của người dùng.
Ngoài ra, thiết lập này trên Cisco Switch còn thực hiện phân tích những gói DHCP Request, Reply, xây dựng bảng cơ sở dữ liệu địa chỉ IP được cấp, MAC và cổng thông tin mà máy tính đó trực thuộc.
Xem thêm: Tường lửa Firewall là gì? Các chức năng của firewall
“SW1(config)#ip dhcp snooping.
SW2(config)#ip dhcp snooping.
SW3(config)#ip dhcp snooping.”
“SW1(config)#ip dhcp snooping vlan 10.
SW2(config)#ip dhcp snooping vlan 10.
SW3(config)#ip dhcp snooping vlan 10.”
“SW1(config)#no ip dhcp snooping information option.
SW2(config)#no ip dhcp snooping information option.
SW3(config)#no ip dhcp snooping information option.”
“SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# ip dhcp snooping trust”.
“SW2(config)# interface GigabitEthernet0/1
SW2(config-if)# ip dhcp snooping trust”.
“SW3(config)# interface FastEthernet0/1
SW3(config-if)# ip dhcp snooping trust”.
“SW1(config)# interface FastEthernet0/1
SW1(config-if)# ip dhcp snooping limit rate 20”.
“SW2(config)# interface FastEthernet0/1
SW2(config-if)# ip dhcp snooping limit rate 20”.
“SW3(config)# interface FastEthernet0/1
SW3(config-if)# ip dhcp snooping limit rate 20”.
SW1#show ip dhcp snooping
“Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
———————– ——- —————-
GigabitEthernet0/1 yes unlimited
FastEthernet0/1 no 20”.
SW2#show ip dhcp snooping
“Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
———————– ——- —————-
GigabitEthernet0/1 yes unlimited
FastEthernet0/1 no 20”.
SW3#show ip dhcp snooping
“Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: 0001.9641.6CBE (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
———————– ——- ———— —————-
FastEthernet0/1 yes yes unlimited”.
Cách thực hiện cấu hình DHCP trên Switch Cisco
Cuối cùng, bạn đã có cấu hình DHCP Cisco trên các switch như sau:
Switch 1
“SW1#show run
hostname SW1
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
interface FastEthernet0/1
switchport access vlan 10
ip dhcp snooping limit rate 20
switchport mode access
!
[output omitted] !
interface GigabitEthernet0/1
ip dhcp snooping trust
switchport mode trunk
!”
Switch 2
“SW2#show run
hostname SW2
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport access vlan 10
ip dhcp snooping limit rate 20
switchport mode access
!
[output omitted] !
interface GigabitEthernet0/1
ip dhcp snooping trust
switchport mode trunk
!”
Switch 3
“SW3# show run
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
interface FastEthernet0/1
ip dhcp snooping trust
switchport access vlan 10
switchport mode access
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk”.
Xem thêm: DHCP là gì? Cách cài đặt cấu hình DHCP trên Windows Server
Về cách thực hiện cấu hình DHCP trên Cisco Packet Tracer gồm có 2 bước chính như sau:
Trên router Cisco
Bước 1: Thực hiện cấu hình cơ bản cho router đặt IP.
“Router(config)#interface f0/0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#no shutdown”.
Tiếp đến, bật dịch vụ DHCP: “Router(config)#service dhcp”.
Bước 2: Tạo 1 pool để cấp IP cho client.
“Router(config)#ip dhcp pool Network_10 (Bạn có thể đặt tên khác cho pool cấp IP)
Router(dhcp-config)#network 10.0.0.0 255.255.255.0
Router(dhcp-config)#default-router 10.0.0.1
Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4”.
Bước 3: Tạo 1 dãy IP để loại trừ. IP này không được cấp cho client mà sử dụng cho những server.
“Router(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10”.
Bước 4: Để xem lại cấu hình DHCP router Cisco, bạn nhập câu lệnh sau: “Router(config)#show ip dhcp binding”.
Trên PC 1
Bạn sử dụng lệnh để xóa IP và xin cấp DHCP Snooping.
“C:\Documents and Settings\pc1> ipconfig /release
C:\Documents and Settings\pc1> ipconfig /renew”.
Cách thực hiện cấu hình DHCP trên router Cisco cấp IP động
Trên client
Bạn sử dụng MAC của PC 2 : 00-50-56-3D-7A-3C.
Trên router
Bước 1: Chuyển lại MAC client để phù hợp với cấu hình của những thiết bị Cisco yêu cầu MAC dạng “AAAA.BBBB.CCCC.DDDD”. Để chuyển, bạn thêm 01 vào đầu MAC client (00-50-56-3D-7A-3C --> 0100.5056.3D7A.3C) và nhập lệnh như sau:
“Router(config)#ip dhcp pool PC2
Router(dhcp-config)#host 10.0.0.100 255.255.255.0
Router(dhcp-config)#client-identifier 0100.5056.3D7A.3C
Router(dhcp-config)#default-router 10.0.0.1
Router(dhcp-config)#dns-server 10.0.0.1”.
Bước 2: Bạn xem lại cấu hình trên router.
Trên đây là những thông tin cơ bản về DHCP Snooping và cách thực hiện. Nếu bạn có nhu cầu lắp đặt mạng của các hãng công nghệ thông tin trên thế giới, DATECH sẽ là sự lựa chọn hoàn hảo. Liên hệ ngay hotline để được tư vấn và hỗ trợ nhanh chóng nhé!