Configurazione dello snooping DHCP (Dynamic Host Configuration Protocol) su uno switch dall'interfaccia della riga di comando (CLI)
Obiettivo
Il protocollo DHCP (Dynamic Host Configuration Protocol) è un servizio eseguito a livello di applicazione dello stack di protocolli TCP/IP per assegnare dinamicamente gli indirizzi IP e per allocare le informazioni di configurazione TCP/IP ai client DHCP.
Lo snooping DHCP è una funzione di sicurezza che funge da firewall tra host non attendibili e server DHCP attendibili. Lo snooping impedisce risposte DHCP false e monitora i client. Consente di prevenire gli attacchi man-in-the-middle e di autenticare i dispositivi host. Lo snooping DHCP classifica le interfacce sullo switch in due categorie: trusted e untrusted. Permette inoltre di distinguere tra interfacce non attendibili connesse all'utente finale e interfacce attendibili connesse al server DHCP o a un altro switch.
Nota: per impostazione predefinita, tutte le interfacce vengono considerate interfacce non attendibili. Pertanto, è importante configurare lo switch in modo da specificare porte o interfacce attendibili quando lo snooping DHCP è abilitato.
Lo snooping DHCP può essere configurato con l'utility basata sul Web dello switch o con l'interfaccia della riga di comando (CLI).
Questo articolo ha lo scopo di mostrare come configurare lo snooping DHCP sullo switch dalla CLI.
Dispositivi interessati
- Serie Sx300
- Serie SG350X
- Serie Sx500
- SG500X
Versione del software
- 1.4.7.06 - Sx300, Sx500, SG500X
- 2.2.8.04 — SG350X
Configurazione dello snooping DHCP dalla CLI
Passaggio 1. Collegare il computer allo switch tramite un cavo console e avviare un'applicazione di emulatore di terminale per accedere alla CLI dello switch.
Nota: nell'esempio, PuTTY è usato come applicazione dell'emulatore di terminale.
Passaggio 2. Nella finestra Configurazione PuTTy, selezionare Serial come tipo di connessione e immettere la velocità predefinita per la linea seriale, ossia 115200. Fare quindi clic su Apri.
Passaggio 3. Nella CLI, accedere alla modalità di comando di configurazione globale immettendo quanto segue:
Nota: nell'esempio, lo switch usato è SG350X-48MP.
Passaggio 4. In modalità di configurazione globale, abilitare lo snooping DHCP globale immettendo quanto segue:
Passaggio 5. Specificare la VLAN (Virtual Local Area Network) su cui abilitare lo snooping DHCP immettendo quanto segue:
Nota: nell'esempio viene usata la VLAN 1.
Passaggio 6. Specificare la porta o l'interfaccia in cui si desidera abilitare lo snooping DHCP immettendo quanto segue:
Nota: nell'esempio viene usata l'interfaccia ge1/0/1. In questo caso, si tratta del numero di porta Gigabit Ethernet/numero di stack (se lo switch appartiene a un numero di stack/switch).
Passaggio 7. Specificare che la porta è una porta o un'interfaccia attendibile immettendo quanto segue:
Nota: il prompt è stato modificato da (config) a (config-if) indicando che la configurazione è per la porta specifica indicata nel comando precedente.
Passaggio 8. Uscire dall'interfaccia specifica e dalla modalità di comando di configurazione globale per tornare alla modalità di esecuzione privilegiata immettendo quanto segue:
Passaggio 9. (Facoltativo) In modalità di esecuzione privilegiata, verificare che le nuove impostazioni siano state salvate nel file della configurazione in esecuzione immettendo quanto segue:
Verranno visualizzate le impostazioni appena configurate:
Passaggio 10. (Facoltativo) Per salvare in modo permanente le impostazioni, immettere quanto segue:
Passaggio 11. Immettere Y nella richiesta Sovrascrivi file per indicare Sì e salvare le impostazioni nel file della configurazione di avvio.
A questo punto, lo snooping DHCP sullo switch deve essere configurato correttamente dall'interfaccia della riga di comando.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
13-Dec-2018 |
Versione iniziale |
Feedback