DHCP Snooping Là Gì? Cấu Hình Của DHCP Trên Switch Cisco - Datech

• Router
  • Router Linksys
  • UBNT Router
  • Router Juniper
  • H3C Router Series
  • Router Cisco
    • Cisco Catalyst 8200 Series Edge Platforms & UCPE
    • Cisco Catalyst 8300 Series Edge Platforms
    • Cisco Catalyst 8500 Series Edge Platforms
    • Cisco Router ISR 4000
    • Cisco Router ISR 1100
    • Cisco Industrial Routers
    • Cisco SMB Routers
    • Cisco Router ASR 1000
  • Router MikroTik
    • Mikrotik Ethernet routers
• Firewall
  • Firewall Cisco
    • Cisco Secure Firewall 3100 Series
    • Cisco Firepower 1000 Series Appliances
    • Cisco Firepower 2100 Series Appliances
    • Cisco Firepower 4100 Series Appliances
    • Cisco Firepower 7000 Series Appliances
    • Cisco Firepower 8000 Series Appliances
    • Cisco Firepower 9300 Series Appliances
    • Cisco ASA 5500 Series
  • Firewall Fortinet
    • FortiGate Rugged Series
    • Fortinet FortiGate NGFW Entry-level Series
    • Fortinet FortiGate NGFW Middle-range Series
    • Fortinet FortiGate NGFW High-end Series
    • Fortinet NGFW Licenses
  • Juniper Security
    • Juniper SRX Series Service Gateways
    • Juniper Security Licenses
  • Palo Alto Firewalls
    • Palo Alto PA-400 Series Firewalls
    • Palo Alto PA-800 Series Firewalls
    • Palo Alto PA-3000 Series Firewalls
    • Palo Alto PA-3200 Series Firewalls
    • Palo Alto PA-5000 Series Firewalls
    • Palo Alto PA-5200 Series Firewalls
    • Palo Alto PA-220 Series Firewalls
  • Firewall Cisco Meraki
    • Meraki firewall Medium to large branch
    • Meraki firewall small branch
• Switch
  • H3C Switch
    • H3C Campus Switchs
    • H3C Industrial Switches
  • Ruijie Switch
  • Switch Cisco
    • Cisco Business 220 Series
    • Cisco Industrial Ethernet 4000 Switches
    • Catalyst C9200CX compact switch
    • Cisco Industrial Ethernet 5000 Switches
    • Cisco Industrial IE 4010 Series Switches
    • Catalyst Industrial Ethernet 9300 switches
    • Cisco Industrial Catalyst IE3000 Rugged
    • Cisco Catalyst 1200 Series Switches
    • Cisco Catalyst 1300 Series Switches
    • Cisco Switch Catalyst 9200
    • Cisco Switch Catalyst 9300
    • Cisco Switch Catalyst 9400
    • Cisco Switch Catalyst 9500
    • Cisco Switch Catalyst 9600
    • Cisco Switch Catalyst 1000
    • Cisco Industrial Ethernet 1000 Switches
    • Cisco Industrial Ethernet 2000 Switches
    • Cisco Business 110 Series
    • Cisco Business 250 Series
    • Cisco Business 350 Series
    • Cisco Nexus 3000 Series
    • Cisco Switch Catalyst 2960
    • Cisco Switch Catalyst 3850
    • Cisco Nexus 5000 Series
    • Cisco Switch Catalyst 3650
  • Switch Juniper
    • JUNIPER EX4100 ETHERNET SWITCHS
    • Juniper EX2300 Series Ethernet Switches
    • Juniper EX3400 Series Ethernet Switches
    • Juniper EX4300 Series Ethernet Switches
    • Juniper EX4400 Ethernet Switchs
    • Juniper EX9200 Line of Ethernet Switches
    • Juniper EX4600 Ethernet Switchs
  • HPE Aruba Switchs
    • HPE OfficeConnect 1420 Switch
    • HPE OfficeConnect 1820 Switch
    • HPE FlexNetwork 5130 HI Switch
    • ARUBA INSTANT ON 1830 SWITCH SERIES
    • ARUBA CX 6000 SWITCH SERIES
    • Aruba 2530 Switch Series
    • Aruba 2540 Switch Series
    • Aruba Instant On 1960 Switch Series
    • Aruba Instant On 1930 Switch Series
    • HPE Aruba 3810 Series Switches
    • Aruba 2930F Switch Series
    • Aruba 5400R zl2 Switch Series
  • Fortinet switchs
    • FortiSwitch 100 Series
    • FortiSwitch 200 Series
    • FortiSwitch 400 Series
  • Dlink-Switchs
  • Alcatel-Lucent Switches
    • Alcatel-Lucent Switch Smart Managed Edge
    • Alcatel-Lucent SwitchAccess Edge
    • Alcatel-Lucent Switch Core and Data Center
  • UBNT Switchs
  • Linksys switchs
    • Linksys Switch Managed
    • Linksys Smart Switch
    • Linksys Switch Unmanaged
  • Planet Switchs
    • Layer 3 Managed Ethernet Switches
    • Layer 2+ Managed Ethernet Switches
    • Layer L2/L4 Managed Ethernet Switches
    • Unmanaged Ethernet Switches
  • TP-Link Switchs
  • Mikrotik Switches
  • Dell Switches
  • Huawei Switches
  • Cisco Meraki Switch
    • Meraki MS Access Switches
    • Meraki MS Stackable Access Switches
    • Meraki MS Distribution Switches
    • Meraki Switches Licenses & Accessories
• Wifi - Access Point
  • Linksys Wifi
    • Wireless Access Points
  • Juniper Access Point
  • Ruckus Wireless APs
    • Ruckus Indoor AP
    • Ruckus Outdoor AP
  • Grandstream Wifi
  • WIFI H3C
  • WIFI RUIJIE
  • Wifi Cisco
    • Cisco Business 100 Series
    • Cisco Business 200 Series
    • Cisco WLAN Controller
    • Cisco 1810 Access Point
    • Cisco 1815 Access Point
    • Cisco 1830 Access Point
    • Cisco 1850 Access Point
    • Cisco 2800 Access Point
    • Cisco 3800 Access Point
    • Cisco 4800 Access Point
    • Cisco Catalyst 9100 WiFi 6 Access Point
    • Cisco 1540 Outdoor Access points
    • Cisco 1560 Outdoor Access points
    • Cisco 1570 Outdoor Access Point
  • Wifi Meraki
    • Indoor Access Points
    • Outdoor Access Points
    • License & Renewals and Accessories
  • Fortinet Wireless
    • Fortinet FortiAP Access Points
  • HPE Aruba Wireless
    • HPE ARUBA GATEWAYS AND CONTROLLERS
    • Aruba Indoor access points
    • Aruba Outdoor access points
    • Aruba Remote access points
  • Alcatel-Lucent Wireless
    • Alcatel-Lucent Wireless Indoor
    • Alcatel-Lucent Wireless Outdoor
  • WiFi UniFi Ubiquiti
    • Unifi Access Point Indoor
    • Unifi Controller
• Máy chủ ( Server )
  • Server DELL
  • Server HPE
• Thiết bị lưu trữ NAS
  • NAS Synology
    • Tower - Desktop NAS
    • Rackmount NAS
    • Synology Licenses & Accessories
  • NAS Qnap
• Networking Accessories
  • Modules & Cards
    • Cisco Modules & Cards
    • Cisco Optics Modules
    • Lanbras Optics Modules
  • Power Supplies, Cables and Other
    • Cisco Power Supply
    • HPE Aruba Power Supplies
    • HPE Aruba Accessories
• Video Conference
  • Hội nghị truyền hình Aver
  • Hội nghị truyền hình Cisco
  • Hội nghị truyền hình Polycom
  • Hội nghị truyền hình Avaya
  • Thiết bị hội nghị Logitech
• Vật tư mạng
  • Dây cáp mạng
• Tổng đài & điện thoại
  • Tổng đài IP Grandstream
  • Điện thoại IP Grandstream
  • IP Phone Cisco
• Bộ lưu điện UPS
  • UPS EATON
  • UPS APC

DHCP Snooping là gì? Cấu hình của DHCP trên switch Cisco

• Datech
• Tin tức
• DHCP Snooping là gì? Cấu hình của DHCP trên switch Cisco

Danh mục tin

• Hướng dẫn kỹ thuật
• Tin tức
• Dịch vụ

Tin nổi bật

Phân phối thiết bị mạng FORTINET, FIREWALL FORTIGATE, FORTIWIFI, SWITCH

13/11/2020

Dịch vụ Tin tức

Phân phối thiết bị mạng juniper - Switch Juniper, firewall Juniper, wifi Juniper

20/11/2021

Tin tức

Phân phối thiết bị mạng CISCO - GIỚI THIỆU TẬP ĐOÀN CISCO, HÃNG CISCO

20/11/2021

Tin tức

Phân phối thiết bị mạng D-Link - Router Dlink, Switch Dlink, Wifi Dlink

20/11/2021

Tin tức

Cho thuê thiết bị mạng

13/12/2021

Dịch vụ

Cài đặt cấu hình thiết bị mạng

13/12/2021

Dịch vụ

DHCP Snooping là gì? Cấu hình của DHCP trên switch Cisco 04/04/2022 Tin tức

Danh sách nội dung [Ẩn]

• DHCP Snooping là gì?
• Nguyên lý hoạt động của chế độ DHCP
• Cách thực hiện cấu hình DHCP Snooping trên switch Cisco
  • Bước 1: Bật tính năng toàn cục trên switch Cisco
  • Bước 2: Bật DHCP Snooping trên VLAN 10
  • Bước 3: Vô hiệu hóa tùy chọn 82 được chèn trong gói DHCP
  • Bước 4: Xác định cấu hình những giao diện đáng tin cậy trên các mạch chuyển (Những giao diện kết nối với DHCP máy chủ hợp pháp)
  • Bước 5: Xác định cấu hình giới hạn tốc độ với những yêu cầu DHCP từ máy khách (tùy chọn)
  • Bước 6: Xác minh DHCP trên switch Cisco
• Cách thực hiện cấu hình DHCP trên router Cisco
  • Cấu hình router cấp IP động
  • Cấu hình router cấp IP cố định cho client

Trong máy tính, DHCP Snooping là một loạt những kỹ thuật được áp dụng để cải thiện tính bảo mật của DHCP. Chỉ các DHCP server được admin cho phép mới có quyền cấp DHCP cho máy tính trong mạng.

Hãy cùng Datech theo dõi bài viết dưới đây để biết cách thực hiện cấu hình DHCP trên switch và router của Cisco nhé.

DHCP Snooping là gì?

DHCP Snooping là tính năng chống giả mạo DHCP Server, có thể xem như một tính năng của tường lửa. Tính năng này giúp ngăn chặn những cuộc tấn công của tin tặc vào hệ thống mạng và đánh cắp các thông tin quan trọng của doanh nghiệp.

Những tin tặc sẽ gửi thông tin giả mạo để đánh lừa phần mềm của máy tính. Từ đó, chuyển dữ liệu của người dùng đến gateway giả mạo.

Mục đích của các hacker là trở thành “man in the middle”. Khi đã làm được điều này, máy tính sẽ gửi tín hiệu đến gateway để đưa thông tin ra mạng bên ngoài.

Từ đó, hacker sẽ phân tích mọi dữ liệu của bạn rồi chuyển đến gateway giả - chính là máy tính của họ.

Nhờ tính năng của DHCP Snooping, IP Source, Dynamic tích hợp trên switch Cisco, máy tính của bạn sẽ được bảo vệ và ngăn chặn khỏi các cuộc tấn công này.

Ví dụ: Máy tính mà bạn sử dụng có thể nhận địa chỉ IP, DNS, gateway,... Nếu hacker tấn công thì sẽ xây dựng một hệ thống DHCP giả mạo cùng mạng Internet với máy tính mà bạn đang sử dụng.

Khi máy tính gửi Broadcast DHCP Request, server DHCP giả mạo có thể gửi thông tin trả lời làm máy tính của bạn nhận nhầm server giả là gateway.

Lúc này, các dữ liệu sẽ được gửi ra mạng bên ngoài thông qua gateway giả. Hacker sẽ phân tích và lấy các dữ liệu quan trọng mà không có một cảnh báo.

Đây là một dạng tấn công được gọi là “man in the middle”, nghĩa là hacker sẽ thay đổi đường truyền của dữ liệu mà người dùng không thể phát hiện được.

Giúp ngăn chặn các cuộc tấn công vào hệ thống mạng

Nguyên lý hoạt động của chế độ DHCP

Khi chế độ này được kích hoạt, các cổng trên switch sẽ phân loại thành những cổng tin cậy (trusted) và không tin cậy (untrusted).

Những cổng tin cậy sẽ nhận DHCP Reply gắn với server DHCP. Trong khi đó, các cổng không tin cậy sẽ nhận DHCP Request gắn với máy tính của người dùng.

Ngoài ra, thiết lập này trên Cisco Switch còn thực hiện phân tích những gói DHCP Request, Reply, xây dựng bảng cơ sở dữ liệu địa chỉ IP được cấp, MAC và cổng thông tin mà máy tính đó trực thuộc.

Xem thêm: Tường lửa Firewall là gì? Các chức năng của firewall

Cách thực hiện cấu hình DHCP Snooping trên switch Cisco

Bước 1: Bật tính năng toàn cục trên switch Cisco

“SW1(config)#ip dhcp snooping.

SW2(config)#ip dhcp snooping.

SW3(config)#ip dhcp snooping.”

Bước 2: Bật DHCP Snooping trên VLAN 10

“SW1(config)#ip dhcp snooping vlan 10.

SW2(config)#ip dhcp snooping vlan 10.

SW3(config)#ip dhcp snooping vlan 10.”

Bước 3: Vô hiệu hóa tùy chọn 82 được chèn trong gói DHCP

“SW1(config)#no ip dhcp snooping information option.

SW2(config)#no ip dhcp snooping information option.

SW3(config)#no ip dhcp snooping information option.”

Bước 4: Xác định cấu hình những giao diện đáng tin cậy trên các mạch chuyển (Những giao diện kết nối với DHCP máy chủ hợp pháp)

“SW1(config)# interface GigabitEthernet0/1

SW1(config-if)# ip dhcp snooping trust”.

 

“SW2(config)# interface GigabitEthernet0/1

SW2(config-if)# ip dhcp snooping trust”.

 

“SW3(config)# interface FastEthernet0/1

SW3(config-if)# ip dhcp snooping trust”.

Bước 5: Xác định cấu hình giới hạn tốc độ với những yêu cầu DHCP từ máy khách (tùy chọn)

“SW1(config)# interface FastEthernet0/1

SW1(config-if)# ip dhcp snooping limit rate 20”.

 

“SW2(config)# interface FastEthernet0/1

SW2(config-if)# ip dhcp snooping limit rate 20”.

 

“SW3(config)# interface FastEthernet0/1

SW3(config-if)# ip dhcp snooping limit rate 20”.

Bước 6: Xác minh DHCP trên switch Cisco

SW1#show ip dhcp snooping

“Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

Insertion of option 82 is disabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

 

———————– ——- —————-

GigabitEthernet0/1 yes unlimited

FastEthernet0/1 no 20”.

SW2#show ip dhcp snooping

“Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

Insertion of option 82 is disabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

 

———————– ——- —————-

 

GigabitEthernet0/1 yes unlimited

FastEthernet0/1 no 20”.

SW3#show ip dhcp snooping

“Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

Insertion of option 82 is disabled

circuit-id default format: vlan-mod-port

remote-id: 0001.9641.6CBE (MAC)

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Verification of giaddr field is enabled

DHCP snooping trust/rate is configured on the following Interfaces:

Interface Trusted Allow option Rate limit (pps)

———————– ——- ———— —————-

FastEthernet0/1 yes yes unlimited”.

Cách thực hiện cấu hình DHCP trên Switch Cisco

Cuối cùng, bạn đã có cấu hình DHCP Cisco trên các switch như sau:

Switch 1

“SW1#show run

hostname SW1

!

ip dhcp snooping vlan 10

no ip dhcp snooping information option

ip dhcp snooping

!

interface FastEthernet0/1

switchport access vlan 10

ip dhcp snooping limit rate 20

switchport mode access

!

[output omitted] !

interface GigabitEthernet0/1

ip dhcp snooping trust

switchport mode trunk

!”

Switch 2

“SW2#show run

hostname SW2

!

ip dhcp snooping vlan 10

no ip dhcp snooping information option

ip dhcp snooping

!

spanning-tree mode pvst

spanning-tree extend system-id

!

interface FastEthernet0/1

switchport access vlan 10

ip dhcp snooping limit rate 20

switchport mode access

!

[output omitted] !

interface GigabitEthernet0/1

ip dhcp snooping trust

switchport mode trunk

!”

Switch 3

“SW3# show run

!

ip dhcp snooping vlan 10

no ip dhcp snooping information option

ip dhcp snooping

!

interface FastEthernet0/1

ip dhcp snooping trust

switchport access vlan 10

switchport mode access

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface GigabitEthernet0/2

switchport trunk encapsulation dot1q

switchport mode trunk”.

Xem thêm: DHCP là gì? Cách cài đặt cấu hình DHCP trên Windows Server

Cách thực hiện cấu hình DHCP trên router Cisco

Cấu hình router cấp IP động

Về cách thực hiện cấu hình DHCP trên Cisco Packet Tracer gồm có 2 bước chính như sau:

Trên router Cisco

Bước 1: Thực hiện cấu hình cơ bản cho router đặt IP.

“Router(config)#interface f0/0

Router(config-if)#ip address 10.0.0.1 255.255.255.0

Router(config-if)#no shutdown”.

Tiếp đến, bật dịch vụ DHCP: “Router(config)#service dhcp”.

Bước 2: Tạo 1 pool để cấp IP cho client.

“Router(config)#ip dhcp pool Network_10 (Bạn có thể đặt tên khác cho pool cấp IP)

Router(dhcp-config)#network 10.0.0.0 255.255.255.0

Router(dhcp-config)#default-router 10.0.0.1

Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4”.

Bước 3: Tạo 1 dãy IP để loại trừ. IP này không được cấp cho client mà sử dụng cho những server.

“Router(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10”.

Bước 4: Để xem lại cấu hình DHCP router Cisco, bạn nhập câu lệnh sau: “Router(config)#show ip dhcp binding”.

Trên PC 1

Bạn sử dụng lệnh để xóa IP và xin cấp DHCP Snooping.

“C:\Documents and Settings\pc1> ipconfig /release

C:\Documents and Settings\pc1> ipconfig /renew”.

Cách thực hiện cấu hình DHCP trên router Cisco cấp IP động

Cấu hình router cấp IP cố định cho client

Trên client

Bạn sử dụng MAC của PC 2 : 00-50-56-3D-7A-3C.

Trên router

Bước 1: Chuyển lại MAC client để phù hợp với cấu hình của những thiết bị Cisco yêu cầu MAC dạng “AAAA.BBBB.CCCC.DDDD”. Để chuyển, bạn thêm 01 vào đầu MAC client (00-50-56-3D-7A-3C --> 0100.5056.3D7A.3C) và nhập lệnh như sau:

“Router(config)#ip dhcp pool PC2

Router(dhcp-config)#host 10.0.0.100 255.255.255.0

Router(dhcp-config)#client-identifier 0100.5056.3D7A.3C

Router(dhcp-config)#default-router 10.0.0.1

Router(dhcp-config)#dns-server 10.0.0.1”.

Bước 2: Bạn xem lại cấu hình trên router.

Trên đây là những thông tin cơ bản về DHCP Snooping và cách thực hiện. Nếu bạn có nhu cầu lắp đặt mạng của các hãng công nghệ thông tin trên thế giới, DATECH sẽ là sự lựa chọn hoàn hảo. Liên hệ ngay hotline để được tư vấn và hỗ trợ nhanh chóng nhé!

Tags:

firewall switch

Share:

tin tức liên quan

10 Tháng 12

Dịch vụ Tin tức Hướng dẫn kỹ thuật DATECH Cung Cấp Giải Pháp Camera Hội Nghị Cho Trung Tâm Kiểm Soát và Phòng Ngừa Dịch Bệnh nhân ngày lễ kỷ niệm 60 năm.

28 Tháng 11

Dịch vụ Tin tức Hướng dẫn kỹ thuật Triển khai lắp và cài đặt hệ thống mạng Trung Tâm Y Tế Huyện SƠN ĐỘNG - BẮC GIANG

25 Tháng 11

Dịch vụ Tin tức Hướng dẫn kỹ thuật Hiểu thêm về Tường lửa mã nguồn mở

24 Tháng 10

Dịch vụ Tin tức Hướng dẫn kỹ thuật Tất cả những gì bạn cần biết về cấp phép và gia hạn Cisco Smart

10 Tháng 10

Dịch vụ Tin tức Hướng dẫn kỹ thuật Triển khai lắp và cài đặt hệ thống mạng bệnh viện Đa Khoa Huyện Yên Thế