Scribd Logo
Upload

Welcome to Scribd!

  • 36 views

    TL-WR740N (RU) V6 UGueudud

    Uploaded by

    Vitaliy
    The document describes how to configure DHCP Snooping, IP Source Guard, and Dynamic ARP Inspection on Edge-Core switches. It provides instructions on connecting to the switch, creating VLANs, enabling DHCP Snooping with Option 82, adding trusted ports, enabling IP Source Guard on client ports, and enabling Dynamic ARP Inspection globally and per VLAN. The configuration is demonstrated on a sample network with a client and DHCP server connected to the switch in VLAN 2.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd

    TL-WR740N (RU) V6 UGueudud

    Uploaded by

    Vitaliy
    36 views4 pages
    The document describes how to configure DHCP Snooping, IP Source Guard, and Dynamic ARP Inspection on Edge-Core switches. It provides instructions on connecting to the switch, creating VLANs, enabling DHCP Snooping with Option 82, adding trusted ports, enabling IP Source Guard on client ports, and enabling Dynamic ARP Inspection globally and per VLAN. The configuration is demonstrated on a sample network with a client and DHCP server connected to the switch in VLAN 2.

    Original Description:

    Toli know.

    Original Title

    TL-WR740N(RU)_V6_UGueudud

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    The document describes how to configure DHCP Snooping, IP Source Guard, and Dynamic ARP Inspection on Edge-Core switches. It provides instructions on connecting to the switch, creating VLANs, enabling DHCP Snooping with Option 82, adding trusted ports, enabling IP Source Guard on client ports, and enabling Dynamic ARP Inspection globally and per VLAN. The configuration is demonstrated on a sample network with a client and DHCP server connected to the switch in VLAN 2.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Download as pdf or txt
    36 views4 pages

    TL-WR740N (RU) V6 UGueudud

    Uploaded by

    Vitaliy
    The document describes how to configure DHCP Snooping, IP Source Guard, and Dynamic ARP Inspection on Edge-Core switches. It provides instructions on connecting to the switch, creating VLANs, enabling DHCP Snooping with Option 82, adding trusted ports, enabling IP Source Guard on client ports, and enabling Dynamic ARP Inspection globally and per VLAN. The configuration is demonstrated on a sample network with a client and DHCP server connected to the switch in VLAN 2.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Download as pdf or txt
    You are on page 1of 4

    Настройка DHCP Snooping, IP Source Guard и

    Dynamic ARP Inspection на коммутаторах Edge-Core


    IP адрес коммутатора по-умолчанию: DHCP

    Логин/пароль по-умолчанию: admin/admin

    Задача: Настроить DHCP Snooping + Option 82, IP Source Guard и Dynamic ARP Inspection.

    Подключение к коммутатору
    Для подключения к коммутатору Вы можете воспользоваться одним из следующих способов:

    I. Подключение через порт console

    Консольный кабель идет в комплекте с коммутатором. Для подключения Вам понадобится


    устройство с RS232(COM) портом и клиент для работы в терминале например PuTTY. После запуска
    PuTTY выбираем соответствующий порт, скорость 115200.

    После того как мы подключились, перейдем непосредственно к конфигурации коммутатора(стр.2).


    II. Подключение через telnet/WEB

    Для этого способа Вам понадобится DHCP сервер который сможет выдать IP адрес коммутатору. В
    качестве DHCP сервера проще всего использовать домашний маршрутизатор. После того как Вы
    подключите коммутатор к DHCP серверу он получит IP - Вы сможете зайти на него через WEB или
    telnet. В нашем примере коммутатор уже получил IP 192.168.1.10 от DHCP сервера. Для подключения
    через telnet воспользуемся клиентом PuTTY.

    После того как мы подключились, перейдем непосредственно к конфигурации коммутатора(стр. 2).

    Конфигурирование коммутатора

    Схема сети:

    Рассмотрим пример сети где к коммутатору ECS3510-28T, во 2 порт подключен клиент с IP адресом
    192.168.2.10, а в 24 порт подключен DHCP server. Оба они будут находиться в vlan 2.

    1. Создаем Vlan2 и добавляем в него 2 и 24 порты.

    Console#configure
    Console(config)#vlan database
    Console(config-vlan)#vlan 2
    Console(config-vlan)#exit
    Console(config)#interface ethernet 1/2,24
    Console(config-if)#switchport allowed vlan add 2
    Console(config-if)#switchport native vlan 2
    Console(config-if)#switchport allowed vlan remove 1
    Console(config-if)#exit
    2. Настройка DHCP Snooping + Option82 глобально
    Console(config)#ip dhcp snooping – Включаем глобально
    Console(config)#ip dhcp snooping information option –включаем опцию 82
    Console(config)#ip dhcp snooping vlan 2 – включаем на нужном Vlan
    3. Добавление Trust портов
    Console(config)#interface ethernet 1/24
    Console(config-if)#ip dhcp snooping trust – порт в который подключен DHCP сервер отмечаем trust.
    Console(config-if)#end
    Клиентские порты в дополнительных настройках не нуждаются.
    Console#show ip dhcp snooping binding - команда для просмотра работы DHCP snooping
    MAC Address IP Address Lease(sec) Type VLAN Interface
    ----------------- --------------- ---------- -------------------- ---- ---------

    98-e7-f4-dc-5c-53 192.168.2.10 7181 dhcp-snooping 2 Eth ½

    4. Настройка IP Source Guard

    Console(config)#interface ethernet 1/2

    Console(config-if)#ip source-guard sip-mac – включение IPSG на порту

    На этом конфигурация закончена. IPSG будет использовать таблицу DHCP Snooping для фильтрации IP
    траффика на портах коммутатора. IP DHCP Snooping и IP Source-Guard, практически всегда
    используют вместе.

    Dynamic ARP Inspection (DAI)


    Что бы предотвратить атаки на протокол ARP, необходимо использовать Dynamic ARP inspection в
    связке с DHCP Snooping или же основываясь на статических записях ARP(ACL типа ARP).
    Dynamic ARP inspection и DHCP Snooping практически всегда используют вместе. После включения
    DAI будет использовать таблицу DHCP Snooping для фильтрации ARP пакетов на портах коммутатора
    5. Настройка Dynamic ARP Inspection(DAI)
    ВНИМАНИЕ! Если вы настраиваете коммутатор не через консольный порт, то можете потерять
    доступ к управлению коммутатором, если в первую очередь не отметите Uplink порт как trust.
    DHCP Snooping у нас уже настроен и работает, приступим к конфигурации DAI
    -Отметим Uplink порт доверенным – присвоим ему статус trust. В нашем случаем это порт 24.
    Console(config)#interface ethernet 1/24
    Console(config-if)#ip arp inspection trust
    Console(config-if)#exit
    Console(config)#ip arp inspection validate dst-mac ip src-mac – задаем поля в пакетах ARP для
    проверки. В нашем случае отмечаем все - MAC назначения, MAC источника, и IP адрес.
    Console(config)#ip arp inspection vlan 2 – включаем DAI на Vlan 2
    Console(config)#ip arp inspection – Включаем DAI глобально.
    -На этом конфигурация DAI окончена.
    -Посмотрим статистику работы DAI:
    Console#show ip arp inspection statistics
    ARP packets received : 146
    ARP packets dropped due to rate limit :0
    Total ARP packets processed by ARP Inspection : 146
    ARP packets dropped by additional validation (source MAC address) : 0
    ARP packets dropped by additional validation (destination MAC address): 0
    ARP packets dropped by additional validation (IP address) :5
    ARP packets dropped by ARP ACLs :0
    ARP packets dropped by DHCP snooping : 27
    Total log entries number is 1
    Заблокированные ARP пакеты можно посмотреть командой:
    Console#show ip arp inspection log
    Total log entries number is 1
    Num VLAN Port Src IP Address Dst IP Address Src MAC Address Dst MAC Address
    --- ---- ---- -------------- -------------- --------------- ---------------

    1 2 2 192.168.1.12 192.168.2.1 98-e7-f4-dc-5c-55 ff-ff-ff-ff-ff-ff

    You might also like