پیکربندی DHCP Snooping در سیسکو

5 آبان 1399
ارسال شده توسط
سیسکو
هکر

یکی از پروتکل های پرکاربرد و حیاتی در دنیای شبکه، پروتکل DHCP می باشد. این پروتکل وظیفه تخصیص آدرس IP به کلاینت های شبکه را بصورت اتوماتیک برعهده دارد. اما گاهی اوقات همین پروتکل ممکن است که باعث یک حفره در شبکه شما شود و هکرها و افراد خرابکار از آن در جهت ایجاد اختلال در شبکه شما استفاده کنند.

در اینجا ما قصد داریم تا با استفاده از DHCP Snooping و پیکربندی این مبحث بر روی سوئیج سیسکو به شما روش محافظت از شبکه را آموزش دهیم. بطور کلی DHCP Snooping استفاده از یک سری روش ها و تکنیک ها برای بهبود عملکرد و افزایش امنیت شبکه شما می باشد.

DHCP

با استفاده از DHCP Snooping زمانیکه DHCP Server در شبکه شما اقدام به ارسال آدرس IP برای کلاینت ها می کند، میتوان از ترافیک های جعلی و ارسال درخواست کاربران به سرورهای جعلی جلوگیری نمود. به این ترتیب که زمانیکه کلاینت درخواست آدرس IP می دهد به جای اینکه درخواست برای یک سرور جعلی DHCP ارسال شود، ما تعیین می کنیم که فقط یک سرور DHCP معتبر در شبکه وجود دارد و درخواست ها فقط به سمت این سرور هدایت شوند.

مشاهده آنلاین:

 

برچسب ها:

5 دیدگاه

به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.

  • سوالی داشتم استاد شریفیان عزیز…
    داخل inter vlan routing و یا roas چطور باید کانفیگ کرد؟
    این سناریویی که زحمت کشیدین تهیه اش کردین فقط برای یک vlan جواب میده اما داخل inter vlan routing و vlsm اصلا کار نمیکنه.

    • با شما کاملا موافق هستم. باید نوع طراحی شبکتون طوری باشه که بتونید در یک نقطه از این مورد استفاده کنید. فرمایش کاملا صحیح است در خصوص VLAN و Inter VLAN اما راهکارهایی وجود داره که میتونه این مسئله رو حل کنه و اصل مطلب در خصوص نوع طراحی شبکه هست.

      • من الان اومدم از بجای سوییچ لایه ۲ از سوییچ لایه ۳ استفاده کردم.جواب داد.
        اینترفیس ویلن رو UP کردم و به هر اینترفیس ویلن هم آیپی دادم و روی هر اینترفیس ویلن هم کامند ip helper-address رو اجرا کردم…الان همه ویلن ها میتونن از سرور آیپی بگیرن.
        منتها سوییچ لایه ۲ چون لایه network رو نمیفهمه این کانفیگ ها اصلا براش سازگار نشد.
        حالا نمیدونم از نظر شما کار درستی بود؟؟؟

        • این هم یک راهکار هست درسته چون در مبحث VLAN در نهایت برای اینکه پکت های برادکست DHCP بخوان عبور کنن وبه سمت DHCP Server برن حتما باید از سوئیچ لایه 3 عبور کنند. ممنون که کارهای خودتون رو با ما به اشتراک میذارید.

  • جناب شریفیان عزیز..
    من الان متوجه یه موضوعی راجب سوییچ لایه ۳ تو این مبحث DHCP SNOOPING شدم و اونم اینه که پیاده سازی dhcp snooping روی سوییچ لایه ۳ کاری عبث و بیهوده ست.
    من دقیقا همین سناریو شما رو با سوییچ لایه ۳ انجام دادم. دیدم که این سوییچ خیلی راحت به dhcp server فیک اجازه میده که کلاینت ها ازش آیپی بگیرن. با اینکه من اینترفیس تراست dhcp server اصلی رو براش ست کردم. اما در کمال تعجب دیدم که سرور فیک همچنان داره به کلاینت ها آیپی میده…
    این در حالیکه تو سوییج لایه ۲ این اتفاق اصلا نمیفته و وختی اینترفیس تراست براش ست میشه دیگه تمومه.
    حالا نمیدونم.این باگ پکت تریسر هست یا اینکه نه واقعا تو سوییچ های لایه ۳ سیسکو هم همچین داستانی رو داریم؟؟؟؟

پاسخ دادن به فرهاد شریفیان لغو پاسخ