Login

Benvenuto, Ospite
Nome utente: Password: Ricordami
Dimenticato la password? Dimenticato il nome utente?
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNP SWITCH
Switch L3 configurato con servizio DHCP e funzione DHCP Snooping
  • Pagina:
  • 1

ARGOMENTO:

Switch L3 configurato con servizio DHCP e funzione DHCP Snooping 10 Anni 5 Mesi fa #1

  • andrea_ballone
  • Autore della discussione
  • Offline
  • Premium Member
  • Premium Member
  • Cisco CCNA
  • Messaggi: 56
  • Ringraziamenti ricevuti 0
Quando si ha un server DHCP presente sulla nostra LAN, per difendersi da un DHCP Rogue, si attiva la funzione DHCP Snooping e si mette in stato Trusted la porta sulla quale è connesso il Server "vero" DHCP - tipica topologia:



Ma quando invece il servizio DHCP è configurato nello switch stesso?
Provo a dare una soluzione:
SwitchL3(config)# ip dhcp snooping

e basta!!
In tal modo dovrei abilitare il dhcp snooping globalmente, tutte le porte di default in stato untrusted --> In tal modo mi funziona tutto, e sono già coperto?
Cioè lo switch dalle proprie porte fa passare i messaggi "DHCP Offer" del proprio pool DHCP per i client che richiedono indirizzo, e sono difeso da eventuali "DHCP Offer" in arrivo su una delle porte untrusted?

E' corretto così?
Allegati:

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da andrea_ballone.

Switch L3 configurato con servizio DHCP e funzione DHCP Snooping 10 Anni 5 Mesi fa #2

  • andrea_ballone
  • Autore della discussione
  • Offline
  • Premium Member
  • Premium Member
  • Cisco CCNA
  • Messaggi: 56
  • Ringraziamenti ricevuti 0
Ulteriore domanda:
Quando un host fa richiesta di configurazione, se ci sono due o più Server DHCP che rispondono, se non sbaglio l'host dovrebbe scegliere solitamente l'offerta del Server che gli arriva per primo, in parole spicciole quello più vicino all'Host.
Se è vero questo, pensavo, allora lo Switch L3 (dove è configurato il servizio DHCP), dovrebbe risultare il più vicino all'Host, quindi non ci sarebbe mai pericolo di un DHCP Rogue che mandi un offerta di configurazione all'Host.

Cioè, riprendendo la topologia che ho postato precedentemente, se il Catalyst fosse configurato per distribuire DHCP, quando Host A e Host B chiedono configurazione IP, non dovrebbe mai esserci pericolo che scelgano l'offerta del server DHCP in alto; perchè per prima dovrebbe arrivare l'offerta che manda il pool del Catalyst.

Sbaglio?

Si prega Accedi a partecipare alla conversazione.

Switch L3 configurato con servizio DHCP e funzione DHCP Snooping 10 Anni 5 Mesi fa #3

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

Ma quando invece il servizio DHCP è configurato nello switch stesso?
Provo a dare una soluzione:
SwitchL3(config)# ip dhcp snooping

e basta!!

Corretto però che non dai anche il comando
ip dhcp snooping vlan vlan-id
il dhcp snooping non si avvia.

se il Catalyst fosse configurato per distribuire DHCP, quando Host A e Host B chiedono configurazione IP, non dovrebbe mai esserci pericolo che scelgano l'offerta del server DHCP in alto; perchè per prima dovrebbe arrivare l'offerta che manda il pool del Catalyst.


Se nella topologia precedente lo switch fosse uno switch livello 3 probabilmente avresti ragione, tuttavia è improbabile che uno switch di accesso lavori come server dhcp perchè tipicamente vengono demandate a livello di distribuzione le funzionalità di livello 3, ed in quel caso capisci bene che non potresti contenere un client che funga da rough dhcp.

Altro aspetto da tenere presente è che la funzionalità di dhcpo snooping serve anche per altre funzionalità come il DAI (Dynamic Arp Inspection) quindi potrebbe avere senso comunque configurarlo.

Si prega Accedi a partecipare alla conversazione.

Switch L3 configurato con servizio DHCP e funzione DHCP Snooping 10 Anni 5 Mesi fa #4

  • andrea_ballone
  • Autore della discussione
  • Offline
  • Premium Member
  • Premium Member
  • Cisco CCNA
  • Messaggi: 56
  • Ringraziamenti ricevuti 0

Corretto però che non dai anche il comando
<code> ip dhcp snooping vlan vlan-id</code>
il dhcp snooping non si avvia.


Capisco. Il problema è che vorrei avviare la funzionalità a tutte le vlan, e sono davvero troppe, se mi metto a contarle per attivarle una ad una non ne esco più. Non c'è un modo per attivare il DHCP Snooping contemporaneamente per tutte le vlan attive?

Se nella topologia precedente lo switch fosse uno switch livello 3 probabilmente avresti ragione, tuttavia è improbabile che uno switch di accesso lavori come server dhcp perchè tipicamente vengono demandate a <strong>livello di distribuzione le funzionalità di livello 3</strong>, ed in quel caso capisci bene che non potresti contenere un client che funga da rough dhcp.

Mi scuso per lo switch presentato, quella è una figura che ho trovato su internet e per velocità l'ho messa così com'è, ma ovviamente intendo che il Catalyst sia di layer 3 con configurato appunto il servizio DHCP.
Quindi, considerando che sia uno Switch L3, tornando alla mia domanda, è corretto che non c'è pericolo che l'Host possa prendere in considerazione offerte dal Server in alto? Cioè, è vero che quindi l'host preferisca SEMPRE le offerte di configurazione del servizio più vicino a lui?
Oppure non è sempre detto, e quindi meglio proteggersi per sicurezza?

Si prega Accedi a partecipare alla conversazione.

Switch L3 configurato con servizio DHCP e funzione DHCP Snooping 10 Anni 5 Mesi fa #5

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172

andrea_ballone ha scritto: Capisco. Il problema è che vorrei avviare la funzionalità a tutte le vlan, e sono davvero troppe, se mi metto a contarle per attivarle una ad una non ne esco più. Non c'è un modo per attivare il DHCP Snooping contemporaneamente per tutte le vlan attive?

Si in realtà puoi dare invece di un singolo vlan-id una vlan-list del tipo
ip dhcp snooping vlan 1,2,4-10,24
che attiva la funzionalità solamente sulla 1,2,4,5,6,7,8,9,10,24

andrea_ballone ha scritto: Mi scuso per lo switch presentato, quella è una figura che ho trovato su internet e per velocità l'ho messa così com'è, ma ovviamente intendo che il Catalyst sia di layer 3 con configurato appunto il servizio DHCP.
Quindi, considerando che sia uno Switch L3, tornando alla mia domanda, è corretto che non c'è pericolo che l'Host possa prendere in considerazione offerte dal Server in alto? Cioè, è vero che quindi l'host preferisca SEMPRE le offerte di configurazione del servizio più vicino a lui?
Oppure non è sempre detto, e quindi meglio proteggersi per sicurezza?

Come ti dicevo, al di là del fatto che la configurazione che proponi è improbabile, in ogni caso direi che tu non possa essere sicuro al 100% perchè la risposta ricevuta prima dipende da diversi fattori:
  • tempo di risposta dello switch rispetto ad un rough dhcp
  • possibilità che la risposta del reale dhcp server non venga rilevata dando prendenza a quella del rough
  • i diversi sistemi operativi possono avere logiche differenti in termini di algoritmo per gestire più offerte dhcp non garantendo di selezionare la prima
concludendo configurerei il dhcp snooping in ogni caso, risorse dello switch permettendo.
Ringraziano per il messaggio: andrea_ballone

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da instructor.
  • Pagina:
  • 1
Moderatori: jpalombi
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNP SWITCH
Switch L3 configurato con servizio DHCP e funzione DHCP Snooping