ป้องกัน Rogue DHCP Server ด้วย DHCP Snooping บน Cisco Switch ตอนที่ 2

ในบทความนี้ ผมจะมาพูดต่อเกี่ยวกับเรื่อง DHCP Snooping เป็นตอนที่ 2 ซึ่งเกี่ยวกับการตั้งค่า และ กลไกการทำงานจริง ของ DHCP Snooping บน Cisco Switch ครับ
สำหรับท่านใดที่มาเปิดเข้ามาเจอบทความนี้แล้ว เพื่อความเข้าใจมากขึ้น ผมแนะนำให้ท่านอ่านบทความ ตอนที่ 1 ก่อน ตามลิงค์นี้ครับ
>> ป้องกัน Rogue DHCP Server ด้วย DHCP Snooping บน Cisco Switch ตอนที่ 2 <<
ส่วนท่านใดที่อ่านตอนที่ 1 มาแล้ว เรามาดูกันต่อได้เลยครับ

การตั้งค่า DHCP Snooping บน Cisco Switch
  1. เปิดการทำงานของ DHCP Snooping บน Global
  2. เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ
  3. กำหนดพอร์ต Trusted และ Untrusted
  4. ปิดการทำงาน Option 82
เพียง 3 Steps นี้ ก็สามารถใช้งายได้แล้วครับ ในส่วนการตั้งค่าอื่นๆเป็น Optional เราลองมาดูกันครับ
จาก Diagram ตามรูป ผมจะเริ่มจากการทดสอบให้ PC ทั้ง 2 เครื่องรับ DHCP ดูก่อนนะครับ เดี๋ยวมาดูกันว่า PC ทั้ง 2 เครื่องนี้ จะได้ DHCP จากใคร ?
VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1
VPC4> ip dhcp -r
DDORA IP 192.168.1.51/24 GW 192.168.1.1
ลองดูผลทดสอบครับ
  • เครื่อง vPC5 ได้ IP address ถูกต้องมาจาก DHCP Server ตัวจริง
  • เครื่อง vPC4 ได้ IP address ไม่ถูกต้องมาจาก Rouge DHCP
ทีนี้เราก็จะมาตั้งค่าเพื่อป้องกัน Rogue DHCP ด้วย DHCP Snooping กันครับ
Step 1 : เปิดการทำงานของ DHCP Snooping บน Global
SW1(config)# ip dhcp snooping 
Step 2 : เปิดการทำงานของ DHCP Snooping สำหรับ VLAN ที่ต้องการ
SW1(config)# ip dhcp snooping vlan 1  
ถ้าต้องการเปิดการทำงานหลาย VLAN ต่อเนื่องกัน
SW1(config)# ip dhcp snooping vlan 1-100 
ถ้าต้องการเปิดการทำงานหลาย VLAN แบบไม่ต่อเนื่องกัน
SW1(config)# ip dhcp snooping vlan 1,2,5,7,9
Step 3 : กำหนดพอร์ต Trusted และ Untrusted
SW1(config)# interface e0/0
SW1(config-if)# ip dhcp snooping trust
Note : ส่วน Untrusted Port ไม่จำเป็นต้องตั้งค่าใดๆ เพราะพอร์ตที่ไม่ได้ถูกกำหนดให้เป็น Trusted Port จะเป็น Untrusted Port โดย Default
Step 4 : ปิดการทำงาน Option 82 (ในบทความนี้ขอยังไม่พูดถึง Option 82 นะครับ เพราะมีรายละเอียดพอสมควร)
SW1(config)# no ip dhcp snooping information option
Step 5 (Option) : กำหนดจำนวน Packet Per Second (pps) ของ DHCP Packet เพื่อป้องกันการ Flood DHCP Packet ที่ Untrusted Port
SW1(config)# interface e0/1
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/2
SW1(config-if)# ip dhcp snooping limit rate 100
SW1(config)# interface e0/3
SW1(config-if)# ip dhcp snooping limit rate 100
เสร็จเรียบร้อยแล้วครับ เรามาดูคำสั่งที่ใช้ตรวจสอบการตั้งค่ากันครับ
สุดท้าย เรามาลองทดสอบกันครับ หลังจากที่เราตั้งค่า DHCP Snooping ไปแล้ว โดยทดสอบเหมือนตอนแรกครับ คือให้ PC ทั้ง 2 เครื่อง รับ DHCP มาลองดูกันว่าจะได้รับ IP addess ถูกต้องหรือไม่
VPC5> ip dhcp -r
DDORA IP 10.100.0.23/24 GW 10.100.0.1
VPC4> ip dhcp -r
DDORA IP 10.100.0.25/24 GW 10.100.0.1
สังเกตุไหมครับว่า ตอนนี้ PC ทั้ง 2 เครื่อง ได้รับ IP address จาก DHCP Server อย่างถูกต้องแล้ว แม้ว่าผมจะ Release , Renew IP อีกกี่ครั้ง ก็ยังคงได้รับ IP address ถูกต้องเหมือนเดิม
ผมตรวจสอบว่า Packet โดน Drop ไปจริงหรือไม่
เห็นไหมครับ มี Packets ถูก Drop ไปจาก Untrusted Port เรียบร้อยแล้ว แบบนี้เราก็สามารถป้องกัน Rogue DHCP ที่มาเชื่อมต่อในระบบเราได้แล้วครับ
และนอกจากนั้น DHCP Snooping มันจะทำการเก็บข้อมูลไว้ด้วยว่า เครื่อง Mac Address ไหน ได้รับ DHCP เป็น IP address เบอร์อะไร เชื่อมต่ออยู่ที่พอร์ตไหน และ VLAN อะไร
ข้อมูลในตารางนี้จะเป็นประโยชน์ในการใช้คู่กับ Feature อย่าง IP Source Guard และ Dynamic ARP Inspection ต่อไปครับ
จบแล้วครับบ ก็หวังว่าน่าจะเป็นประโยชน์ไม่มากก็น้อยสำหรับผู้ที่สนใจนะครับ แล้วพบกันในบทความต่อไปครับ
ขอบคุณครับ

 

Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.

Facebook Comments

comments