Enterasys Switchlerde DHCP Snooping Ayarı
Enterasys kenar switchler ve router’lar üzerinde “DHCP Snooping” ataklarını engellemek için aşağıdaki gibi adım adım konfigurasyon yapabiliriz.
1- İlk olarak kenar switch ve router üzerindeki uplink ve gerçek DHCP sunucusunun portlarını “trust” olarak işaretlememiz lazım.
Örnek olarak 48 portlu bir switch(Enterasys C5/B5) üzerinde 48.port uplink,47.port gerçek DHCP sunucumuzun bağlı olduğunu farzedelim.
set dhcpsnooping trust port fe.1.47-48 enable
Yukardaki komutta 47 ve 48.portları trust olarak işaretledik.
2-Trust portları işaretledikten sonra dhcpsnooping’i global olarak devreye alalım.
set dhcpsnooping enable
3- Eğer global olarak devreye almayıp,sadece belli ya da belirli vlan’lara açmak istiyorsanız aşağıdaki yapabilirsiniz.
set dhcpsnooping vlan 1 enable
Yukardaki komutta sadece “vlan 1″ için aktif ettik.
set dhcpsnooping vlan 1-10 enable
Bu komutta da vlan 1 ile 10 arası devreye aldık.
4- Şimdi de untrust portlar için(default olarak tüm portlar zaten untrust’tır.Trust portları dhcpsnooping’i devreye almadan önce işaretlemiştik.) limit koyalım.
set dhcpsnooping limit fe.1.1-46 none
Bu komutla untrust tüm portlara rate limiti “none” yaparak DHCP paketlerinin rahatça geçebilmesini sağladık.Fakat istersek bu limiti “none” değil de “0-50″ arasındaki bir değerle sınırlandırabilirdik.
set dhcpsnooping limit fe.1.1-46 rate 50
Yukardaki gibi limiti ” 50″ yapabiliriz.Limiti “none” yapmanın avantajı eğer bir portun ucuna hub eklenmiş ve birden fazla host bulunuyorsa bunlar rahatça IP alabilecektir.Fakat “rate” limiti kısıtlı tutarsak hub kullanan host’lardan bazıları IP alamayabilirler.
5- Son olarak dhcpsnooping ‘i devreye aldıktan sonra router veya switch üzerinde veritabanında IP ve MAC bilgileri yazılır.Bu bilgileri kontrol edelim:
show dhcpsnooping binding
Total number of bindings: 4
MAC Address IP Address VLAN Interface Type Lease (min)
—————– ————— —- ———– ——- ———–
00:01:6C:*:*:* 192.168.1.2 1 fe.1.12 DYNAMIC 56
00:11:85:*:*:* 192.168.1.3 1 fe.1.12 DYNAMIC 45
00:11:85:*:*:* 192.168.1.4 1 fe.1.12 DYNAMIC 38
00:1C:25:*:*:* 192.168.1.5 1 fe.1.23 DYNAMIC 44
Yukardaki çıktıda portlar üzerindeki IP ve MAC adresi bilgileri,hangi portlarda olduğunu,vlan’larını,DHCP lease sürelerini görebilirsiniz.
1- İlk olarak kenar switch ve router üzerindeki uplink ve gerçek DHCP sunucusunun portlarını “trust” olarak işaretlememiz lazım.
Örnek olarak 48 portlu bir switch(Enterasys C5/B5) üzerinde 48.port uplink,47.port gerçek DHCP sunucumuzun bağlı olduğunu farzedelim.
set dhcpsnooping trust port fe.1.47-48 enable
Yukardaki komutta 47 ve 48.portları trust olarak işaretledik.
2-Trust portları işaretledikten sonra dhcpsnooping’i global olarak devreye alalım.
set dhcpsnooping enable
3- Eğer global olarak devreye almayıp,sadece belli ya da belirli vlan’lara açmak istiyorsanız aşağıdaki yapabilirsiniz.
set dhcpsnooping vlan 1 enable
Yukardaki komutta sadece “vlan 1″ için aktif ettik.
set dhcpsnooping vlan 1-10 enable
Bu komutta da vlan 1 ile 10 arası devreye aldık.
4- Şimdi de untrust portlar için(default olarak tüm portlar zaten untrust’tır.Trust portları dhcpsnooping’i devreye almadan önce işaretlemiştik.) limit koyalım.
set dhcpsnooping limit fe.1.1-46 none
Bu komutla untrust tüm portlara rate limiti “none” yaparak DHCP paketlerinin rahatça geçebilmesini sağladık.Fakat istersek bu limiti “none” değil de “0-50″ arasındaki bir değerle sınırlandırabilirdik.
set dhcpsnooping limit fe.1.1-46 rate 50
Yukardaki gibi limiti ” 50″ yapabiliriz.Limiti “none” yapmanın avantajı eğer bir portun ucuna hub eklenmiş ve birden fazla host bulunuyorsa bunlar rahatça IP alabilecektir.Fakat “rate” limiti kısıtlı tutarsak hub kullanan host’lardan bazıları IP alamayabilirler.
5- Son olarak dhcpsnooping ‘i devreye aldıktan sonra router veya switch üzerinde veritabanında IP ve MAC bilgileri yazılır.Bu bilgileri kontrol edelim:
show dhcpsnooping binding
Total number of bindings: 4
MAC Address IP Address VLAN Interface Type Lease (min)
—————– ————— —- ———– ——- ———–
00:01:6C:*:*:* 192.168.1.2 1 fe.1.12 DYNAMIC 56
00:11:85:*:*:* 192.168.1.3 1 fe.1.12 DYNAMIC 45
00:11:85:*:*:* 192.168.1.4 1 fe.1.12 DYNAMIC 38
00:1C:25:*:*:* 192.168.1.5 1 fe.1.23 DYNAMIC 44
Yukardaki çıktıda portlar üzerindeki IP ve MAC adresi bilgileri,hangi portlarda olduğunu,vlan’larını,DHCP lease sürelerini görebilirsiniz.
Yorumlar