DHCP Snooping là gì? Cấu hình của DHCP trên switch Cisco

Dhcp snooping là gì

Trong máy tính, DHCP Snooping là một loạt những kỹ thuật được áp dụng để cải thiện tính bảo mật của DHCP. Chỉ các DHCP server được admin cho phép mới có quyền cấp DHCP cho máy tính trong mạng.

Hãy cùng Datech theo dõi bài viết dưới đây để biết cách thực hiện cấu hình DHCP trên switch và router của Cisco nhé.

DHCP Snooping là gì?

DHCP Snooping là tính năng chống giả mạo DHCP Server, có thể xem như một tính năng của tường lửa. Tính năng này giúp ngăn chặn những cuộc tấn công của tin tặc vào hệ thống mạng và đánh cắp các thông tin quan trọng của doanh nghiệp.

Những tin tặc sẽ gửi thông tin giả mạo để đánh lừa phần mềm của máy tính. Từ đó, chuyển dữ liệu của người dùng đến gateway giả mạo.

Mục đích của các hacker là trở thành “man in the middle”. Khi đã làm được điều này, máy tính sẽ gửi tín hiệu đến gateway để đưa thông tin ra mạng bên ngoài.

Từ đó, hacker sẽ phân tích mọi dữ liệu của bạn rồi chuyển đến gateway giả – chính là máy tính của họ.

Nhờ tính năng của DHCP Snooping, IP Source, Dynamic tích hợp trên switch Cisco, máy tính của bạn sẽ được bảo vệ và ngăn chặn khỏi các cuộc tấn công này.

Ví dụ: Máy tính mà bạn sử dụng có thể nhận địa chỉ IP, DNS, gateway,… Nếu hacker tấn công thì sẽ xây dựng một hệ thống DHCP giả mạo cùng mạng Internet với máy tính mà bạn đang sử dụng.

Khi máy tính gửi Broadcast DHCP Request, server DHCP giả mạo có thể gửi thông tin trả lời làm máy tính của bạn nhận nhầm server giả là gateway.

Lúc này, các dữ liệu sẽ được gửi ra mạng bên ngoài thông qua gateway giả. Hacker sẽ phân tích và lấy các dữ liệu quan trọng mà không có một cảnh báo.

Đây là một dạng tấn công được gọi là “man in the middle”, nghĩa là hacker sẽ thay đổi đường truyền của dữ liệu mà người dùng không thể phát hiện được.

Giúp ngăn chặn các cuộc tấn công vào hệ thống mạng

Nguyên lý hoạt động của chế độ DHCP

Khi chế độ này được kích hoạt, các cổng trên switch sẽ phân loại thành những cổng tin cậy (trusted) và không tin cậy (untrusted).

Những cổng tin cậy sẽ nhận DHCP Reply gắn với server DHCP. Trong khi đó, các cổng không tin cậy sẽ nhận DHCP Request gắn với máy tính của người dùng.

Ngoài ra, thiết lập này trên Cisco Switch còn thực hiện phân tích những gói DHCP Request, Reply, xây dựng bảng cơ sở dữ liệu địa chỉ IP được cấp, MAC và cổng thông tin mà máy tính đó trực thuộc.

Xem thêm: Tường lửa Firewall là gì? Các chức năng của firewall

Cách thực hiện cấu hình DHCP Snooping trên switch Cisco

Bước 1: Bật tính năng toàn cục trên switch Cisco

“SW1(config)#ip dhcp snooping.

SW2(config)#ip dhcp snooping.

SW3(config)#ip dhcp snooping.”

Bước 2: Bật DHCP Snooping trên VLAN 10

“SW1(config)#ip dhcp snooping vlan 10.

SW2(config)#ip dhcp snooping vlan 10.

SW3(config)#ip dhcp snooping vlan 10.”

Bước 3: Vô hiệu hóa tùy chọn 82 được chèn trong gói DHCP

“SW1(config)#no ip dhcp snooping information option.

SW2(config)#no ip dhcp snooping information option.

SW3(config)#no ip dhcp snooping information option.”

Bước 4: Xác định cấu hình những giao diện đáng tin cậy trên các mạch chuyển (Những giao diện kết nối với DHCP máy chủ hợp pháp)

“SW1(config)# interface GigabitEthernet0/1

SW1(config-if)# ip dhcp snooping trust”.

“SW2(config)# interface GigabitEthernet0/1

SW2(config-if)# ip dhcp snooping trust”.

“SW3(config)# interface FastEthernet0/1

SW3(config-if)# ip dhcp snooping trust”.

Bước 5: Xác định cấu hình giới hạn tốc độ với những yêu cầu DHCP từ máy khách (tùy chọn)

“SW1(config)# interface FastEthernet0/1

SW1(config-if)# ip dhcp snooping limit rate 20”.

“SW2(config)# interface FastEthernet0/1

SW2(config-if)# ip dhcp snooping limit rate 20”.

“SW3(config)# interface FastEthernet0/1

SW3(config-if)# ip dhcp snooping limit rate 20”.

Bước 6: Xác minh DHCP trên switch Cisco

SW1#show ip dhcp snooping

“Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

Insertion of option 82 is disabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

———————- ——- —————-

GigabitEthernet0/1 yes unlimited

FastEthernet0/1 no 20”.

SW2#show ip dhcp snooping

“Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

Insertion of option 82 is disabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

———————- ——- —————-

GigabitEthernet0/1 yes unlimited

FastEthernet0/1 no 20”.

SW3#show ip dhcp snooping

“Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

Insertion of option 82 is disabled

circuit-id default format: vlan-mod-port

remote-id: 0001.9641.6CBE (MAC)

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Verification of giaddr field is enabled

DHCP snooping trust/rate is configured on the following Interfaces:

Interface Trusted Allow option Rate limit (pps)

———————- ——- ———— —————-

FastEthernet0/1 yes yes unlimited”.

Cách thực hiện cấu hình DHCP trên Switch Cisco

Cuối cùng, bạn đã có cấu hình DHCP Cisco trên các switch như sau:

Switch 1

“SW1#show run

hostname SW1

!

ip dhcp snooping vlan 10

no ip dhcp snooping information option

ip dhcp snooping

!

interface FastEthernet0/1

switchport access vlan 10

ip dhcp snooping limit rate 20

switchport mode access

!

[output omitted] !

interface GigabitEthernet0/1

ip dhcp snooping trust

switchport mode trunk

!”

Switch 2

“SW2#show run

hostname SW2

!

ip dhcp snooping vlan 10

no ip dhcp snooping information option

ip dhcp snooping

!

spanning-tree mode pvst

spanning-tree extend system-id

!

interface FastEthernet0/1

switchport access vlan 10

ip dhcp snooping limit rate 20

switchport mode access

!

[output omitted] !

interface GigabitEthernet0/1

ip dhcp snooping trust

switchport mode trunk

!”

Switch 3

“SW3# show run

!

ip dhcp snooping vlan 10

no ip dhcp snooping information option

ip dhcp snooping

!

interface FastEthernet0/1

ip dhcp snooping trust

switchport access vlan 10

switchport mode access

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface GigabitEthernet0/2

switchport trunk encapsulation dot1q

switchport mode trunk”.

Xem thêm: DHCP là gì? Cách cài đặt cấu hình DHCP trên Windows Server

Cách thực hiện cấu hình DHCP trên router Cisco

Cấu hình router cấp IP động

Về cách thực hiện cấu hình DHCP trên Cisco Packet Tracer gồm có 2 bước chính như sau:

Trên router Cisco

Bước 1: Thực hiện cấu hình cơ bản cho router đặt IP.

“Router(config)#interface f0/0

Router(config-if)#ip address 10.0.0.1 255.255.255.0

Router(config-if)#no shutdown”.

Tiếp đến, bật dịch vụ DHCP: “Router(config)#service dhcp”.

Bước 2: Tạo 1 pool để cấp IP cho client.

“Router(config)#ip dhcp pool Network_10 (Bạn có thể đặt tên khác cho pool cấp IP)

Router(dhcp-config)#network 10.0.0.0 255.255.255.0

Router(dhcp-config)#default-router 10.0.0.1

Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4”.

Bước 3: Tạo 1 dãy IP để loại trừ. IP này không được cấp cho client mà sử dụng cho những server.

“Router(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10”.

Bước 4: Để xem lại cấu hình DHCP router Cisco, bạn nhập câu lệnh sau: “Router(config)#show ip dhcp binding”.

Trên PC 1

Bạn sử dụng lệnh để xóa IP và xin cấp DHCP Snooping.

“C:Documents and Settingspc1> ipconfig /release

C:Documents and Settingspc1> ipconfig /renew”.

Cách thực hiện cấu hình DHCP trên router Cisco cấp IP động

Cấu hình router cấp IP cố định cho client

Trên client

Bạn sử dụng MAC của PC 2 : 00-50-56-3D-7A-3C.

Trên router

Bước 1: Chuyển lại MAC client để phù hợp với cấu hình của những thiết bị Cisco yêu cầu MAC dạng “AAAA.BBBB.CCCC.DDDD”. Để chuyển, bạn thêm 01 vào đầu MAC client (00-50-56-3D-7A-3C -> 0100.5056.3D7A.3C) và nhập lệnh như sau:

“Router(config)#ip dhcp pool PC2

Router(dhcp-config)#host 10.0.0.100 255.255.255.0

Router(dhcp-config)#client-identifier 0100.5056.3D7A.3C

Router(dhcp-config)#default-router 10.0.0.1

Router(dhcp-config)#dns-server 10.0.0.1”.

Bước 2: Bạn xem lại cấu hình trên router.

Trên đây là những thông tin cơ bản về DHCP Snooping và cách thực hiện. Nếu bạn có nhu cầu lắp đặt mạng của các hãng công nghệ thông tin trên thế giới, DATECH sẽ là sự lựa chọn hoàn hảo. Liên hệ ngay hotline để được tư vấn và hỗ trợ nhanh chóng nhé!