- 12 Nisan 2021
- Yayınlayan: Ahmed Olabi
- Kategori: Aruba
Merhaba Bu makalede dhcp snooping nedir,ne işe yarar,aruba switchlerde nasıl konfigüre edilir bu konuda bilgi vereceğim
Dhcp snooping networkteki sahte dhcp serverlari engellemek amacıyla anahtarlama cihazlari üzerinde alınan bir güvenlik önlemidir
DHCP Snooping ile networkteki dhcp server portuna gerekli izin verilerek diğer kalan bütün portlar dhcp yayınına kapatılır bu şekilde dhcp server portu harici bir porttan yayın yapmaya çalışan sahte ip dağıtıcılar engellenir.
Dhcp server portu trusted kalan bütün portlar untrusted olarak adlandırılır
Aruba switchlerde yapılandırma detayları aşağıdaki gibidir
Configuration:
SW(config)# dhcp-snooping
SW(config)# dhcp-snooping vlan x (istenilen vlanlarda aktif edilebilir)
SW(config)# dhcp-snooping authorized-server X.X.X.X (dhcp server ipsi girilerek daha güvenli hale getirilir)
SW(config)# interface X dhcp-snooping trust (dhcp serverin oldugu port trust olarak işaretlenir kalan bütün portlar otomatik olarak untrust olacaktır.)
Dhcp snooping durumunu sorgulamak için aşağıdaki komutu kullanabiliriz
#show dhcp-snooping
örnek çıktı
DHCP Snooping Information
DHCP Snooping : Yes
Enabled VLANs : 101
Verify MAC address : Yes
Option 82 untrusted policy : drop
Option 82 insertion : Yes
Option 82 remote-id : mac
Store lease database : Not configured
Max Current Bindings
Port Trust Bindings Static Dynamic
—– —– ——– —————-
24 Yes – – –
Ports 1-23 are untrusted
Dhcp snooping istatistiklerini görmek için aşağıdaki komutu kullanabiliriz
#show dhcp-snooping stats
örnek çıktı
Packet type Action Reason Count
———– ——- —————————- ———
server forward from trusted port 0
client forward to trusted port 0
server drop received on untrusted port 0
server drop unauthorized server 0
client drop destination on untrusted port 0
client drop untrusted option 82 field 0
client drop bad DHCP release request 0
client drop failed verify MAC check 0
client drop failed on max-binding limit 0
Detaytlı inceleme için switch üzerinde debug almak gerekirse aşağıdaki komutlar kullanılabilir.
debug security dhcp-snooping [agent|event|packet]
no debug security dhcp-snooping [agent|event|packet]