Как известно, протокол динамической конфигурации хоста (DHCP) работает в режиме клиент/сервер. DHCP-клиент может динамически запрашивать данные конфигурации, а DHCP-сервер может предоставлять данные для клиента.
MA5800 ОЛТ поддерживает ретрансляцию DHCP уровня 2 и уровня 3, а также DHCP Option82 для обеспечения безопасности DHCP. В этой статье мы сосредоточимся на DHCP Руководство по Option82 с точки зрения функций DHCP option82, параметров, режимов и т. д.
Функция: dhcp option82 (режим профиля)
Эта команда используется для включения или отключения функции DHCP option82. Функция DHCP не имеет механизма аутентификации или безопасности. Таким образом, функция DHCP сталкивается со многими проблемами безопасности при использовании в сети. Для решения этих проблем вводится DHCP option82. После включения функции DHCP option82 BRAS может аутентифицировать идентификаторы пользователей доступа.
После отключения функции DHCP option82 устройство не обрабатывает пакеты.
HUAWEI S Series Switch-Configure a DHCP Server and a DHCP Relay Agent
Отключение функции DHCP Option82 вызовет угрозу безопасности. Вам рекомендуется включить его.
Формат
В режиме глобальной конфигурации:
DHCP-опция82 < включить | запрещать | вперед | перестраивать >
порт dhcp option82 ID фрейма/SlotID/PortID иметь сразу гемпорт геминдекс < включить | запрещать >
порт dhcp option82 ID фрейма/SlotID/PortID EPON сразу < включить | запрещать >
В режиме профиля услуги VLAN:
DHCP-опция82 < включить | запрещать >
параметры
| Параметр | Описание | Значение |
| порт ID фрейма/SlotID/PortID | Указывает идентификатор блока, идентификатор слота и идентификатор порта. Введите косую черту (/) между идентификаторами шасси, слота и порта. Если вам нужно включить или отключить функцию DHCP option82 для физического порта на плате, используйте этот параметр. | См. Различия между полками. |
| доска ID фрейма/Slotid | Указывает идентификатор крейта и идентификатор слота. Введите косую черту (/) между идентификаторами шасси и слота. Если вам нужно включить или отключить функцию DHCPoption82 для всех портов на плате, используйте этот параметр. | См. Различия между полками. |
| иметь сразу | Указывает номер ONT. Чтобы включить или отключить функцию DHCP option 82 для определенного ONT, используйте этот параметр. | Числовой тип. Диапазон: зависит от типа платы. |
| гемпорт геминдекс | Указывает идентификатор порта GEM. Порты GEM каждого порта PON нумеруются централизованно. | Числовой тип. Диапазон: 0-1023. |
| EPON сразу | Указывает идентификатор ONT, подключенного к порту EPON. | Числовой тип. Диапазон: зависит от типа платы. |
| включить | Включает функцию DHCP option82. Опция 82 — это опция пакета DHCP. Его код 82 используется для идентификации пользователя. После включения этой функции DHCP-сервер может назначать IP-адреса пользователям на основе этой опции DHCP option82 и избегать спуфинговых атак на DHCP-сервер, таких как исчерпание IP-адресов DHCP. |
Подробнее см. в «Рекомендациях по использованию».
Настройка DHCP на оборудовании Huawei
Подробнее см. в «Рекомендациях по использованию».
Подробнее см. в «Рекомендациях по использованию».
Режимы
Режим глобальной конфигурации, режим сервисного профиля VLAN
Правила использования
Параметр DHCP82 можно настроить на трех уровнях: глобальном уровне, уровне порта и уровне VLAN (настраивается в профиле службы VLAN).
- В режиме глобальной конфигурации запуститепрофиль службы vlan команда для входа в режим сервисного профиля VLAN.
- По умолчанию опция DHCP82 на глобальном уровне отключена, а опция DHCP82 на уровне порта и уровне VLAN включена.
- Чтобы включить или отключить порт или включить функцию прозрачной передачи DHCPoption82 для порта на плате, убедитесь, что плата не является платой управления и находится в нормальном или автономном состоянии.
- Политика обработки DHCP-пакетов на стороне сети и на стороне пользователя зависит от того, включена ли DHCPoption82 и разрешено ли DHCP-пакетам на стороне пользователя передавать информацию option82 на служебный порт.
- Включение статуса DHCPoption82 зависит от статуса с наивысшим приоритетом. Приоритеты всех уровней DHCP option82 следующие: отключить > перестроить > переслать > включить. Приоритетов между глобальной конфигурацией и конфигурацией DHCP option82 на основе портов нет. Когда DHCP option82 отключен для порта, тогда как он включен как глобально, так и для потока службы, DHCP option82 отключен.
- Запуститеdhcp-option82 разрешение-переадресация сервисного порта Команда, позволяющая установить, разрешено ли DHCP-пакетам на стороне пользователя передавать информацию option82 на служебный порт. Политика обработки пакетов DHCP на стороне пользователя MA5800 следующая:
- Принцип DHCP option82 на основе режима Layer2: В режиме Layer2 по умолчанию функция DHCP option82 устройства отключена. В этом случае устройство не перехватывает DHCP-пакеты. Все пакеты DHCP свободно передаются в широковещательном или одноадресном режиме в VLAN, а взаимодействие между клиентом и сервером свободно от каких-либо помех. Если функция DHCP option82 включена в режиме Layer2, соответствующие правила потока для захвата пакетов DHCP будут добавлены к каждой плате и коммутатору LAN.
- Принцип DHCP option82 на основе режима Layer3: Принцип такой же, как и у DHCP option82 в режиме Layer2. Устройство добавляет в пакет дополнительное поле option82 при пересылке пакета.
Надеюсь, после прочтения этой статьи вы сможете лучше понять настройку DHCP на OLT. Обратите внимание, что параметры DHCP затрагивают все оборудование, в то время как OLT функционирует только как прозрачный канал передачи.
Если у вас есть какие-либо вопросы относительно решения Fiberhome FTTx или технических проблем, пожалуйста, свяжитесь с нашей профессиональной и опытной командой: [электронная почта защищена]
Источник: www.thunder-link.com
Блокировка сторонних DHCP серверов на Huawei Quidway S2300 (DHCP Snooping)
Приведу пример как на коммутаторе Huawei Quidway S2300 (на примере используется S2326TP-EI) разрешить получение DHCP ответов c uplink порта и запретить от клиентских.
Для начала включим dhcp snooping:
dhcp enable dhcp snooping enable dhcp server detect
Включим dhcp snooping в клиентском vlan:
vlan 226 dhcp snooping enable quit
И разрешим DHCP ответы с входящего uplink порта:
interface GigabitEthernet0/0/1 dhcp snooping trusted quit
После этого, ответы от DHCP серверов будут блокироваться на портах, где не указано «dhcp snooping trusted».
quit save config.cfg
Посмотреть параметров и DHCP клиентов можно так:
display dhcp snooping global display dhcp snooping user-bind all
- Нажмите, чтобы открыть на Facebook (Открывается в новом окне)
- Нажмите, чтобы поделиться на Twitter (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Pinterest (Открывается в новом окне)
- Нажмите, чтобы поделиться на LinkedIn (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Tumblr (Открывается в новом окне)
- Нажмите, чтобы поделиться в Telegram (Открывается в новом окне)
- Ещё
- Нажмите, чтобы поделиться записями на Pocket (Открывается в новом окне)
- Нажмите, чтобы поделиться в Skype (Открывается в новом окне)
- Нажмите, чтобы поделиться на Reddit (Открывается в новом окне)
- Нажмите, чтобы поделиться в WhatsApp (Открывается в новом окне)
- Нажмите для печати (Открывается в новом окне)
Источник: ixnfo.com
Подставной DHCP и коммутаторы Huawei
Дано: распределенная сеть на Huawei S2326 и S2352, на коммутаторах занесены статические записи об ip и мас компьютеров на портах (user-bind static ip-address x.x.x.x mac-address xxxx-xxxx-xxxx interface Ethernet0/0/1), так как ip получаются автоматически — приходится делать dhcp enable (иначе пользователи не могут получить адрес). Так же добавлены правила в ACL:
rule 45 deny udp source-port eq bootps
rule 50 deny udp destination-port eq bootpc
запрещающие отправку пакетов dhcpack от роутеров, благополучно подключаемых кривыми руками пользователей голой задницей LAN-портом в сеть.
Однако проблема — с включенной опцией dhcp enable эти правила игнорируются, а с выключенной — пользователь не может достучаться до dhcp-сервера с адресом 0.0.0.0 (user-bind static не позволяет)
Теперь вопрос: как можно заблокировать вражеские dhcp, не отключая статических записей ip/mac на портах? Никак не могу понять, почему же опция dhcp enable позволяет пропускать пакеты dhcp как от клиента, так и от сервера на этом порту. Даже при наличии явного запрета в acl.
На D-Link`ах это решалось с помощью static mac, max learning address 1 и acl с похожим правилом на абонентских портах, в huawei записи static mac и mac-address learning disable не мешает слать пакеты с другим mac-source.
- Вопрос задан более трёх лет назад
- 6310 просмотров
1 комментарий
Оценить 1 комментарий
Источник: qna.habr.com