DHCP ажиглалт нь интернетэд холбогдсон сүлжээнүүдийн хамгаалалтын функц юм. Тодорхойлолтоор DHCP Snooping нь сүлжээний клиентүүд болон DHCP серверүүдийн хоорондох мессежийг таслан зогсоох, өөрчлөх замаар хортой хэрэглэгчдийг таны сүлжээнд халдахаас сэргийлдэг хамгаалалтын механизм юм. Энэ нь таны сүлжээн дэх хортой үйлдлээс хамгаалах нэмэлт давхаргыг хангаж, аюулгүй байдлын болзошгүй эрсдэлээс хамгаалахад тусалдаг. Энэ блог нийтлэлд бид DHCP snooping гэж юу болох, түүнийг өнөөгийн дижитал ертөнцөд ашиглах нь яагаад чухал болохыг судлах болно. Бид DHCP snooping нь таны сүлжээг болзошгүй аюулаас хэрхэн хамгаалах, тухайлбал үүнийг хэрхэн тохируулах, зөв ​​тохируулах талаар ярилцах болно. Эцэст нь бид танай байгууллагад DHCP snooping ашиглахын зарим давуу талыг авч үзэх болно.

DHCP Snooping гэж юу вэ?

DHCP snooping нь хортой төхөөрөмжүүдийг DHCP мессежийг хууран мэхлэх, сүлжээний холболтыг тасалдуулахаас урьдчилан сэргийлэх хамгаалалтын функц юм. Энэ нь DHCP мессежийг шалгаж, зөвхөн итгэмжлэгдсэн эх сурвалжаас авсан мессежийг зөвшөөрөх замаар ажилладаг. DHCP snooping нь свич болон чиглүүлэгч дээр DHCP серверийн хуурамч байдал, үйлчлүүлэгчийн хууран мэхлэлт, үйлчилгээг үгүйсгэх халдлагаас хамгаалахад ашиглагдаж болно.

Шилжүүлэгч эсвэл чиглүүлэгч дээр DHCP snooping идэвхжсэн үед төхөөрөмж DHCP мессеж илгээх, хүлээн авах боломжтой портуудыг хянах болно. Зөвхөн итгэмжлэгдсэн эх сурвалжаас ирсэн мессежийг зөвшөөрөх ба бусад бүх мессежийг блоклох болно. Энэ нь хортой төхөөрөмжүүдийг DHCP мессежийг хууран мэхлэх, сүлжээний холболтыг тасалдуулахаас сэргийлэхэд тусална. DHCP snooping нь үйлчилгээ үзүүлэхээс татгалзах халдлагаас хамгаалахад тусалдаг.

DHCP snooping нь аюулгүй байдлын тустай арга хэмжээ байж болох ч энэ нь найдвартай биш гэдгийг анхаарах нь чухал юм. Хортой төхөөрөмжүүд нь DHCP snooping-ийг тойрч гарах арга замууд байдаг тул үүнийг сүлжээний цорын ганц аюулгүй байдлын арга хэмжээ гэж найдах ёсгүй.

DHCP Snooping хэрхэн ажилладаг вэ

Сүлжээний унтраалга дээр DHCP snooping идэвхжсэн үед шилжүүлэгч шалгана DHCP мессежүүд энэ нь холбогдсон сүлжээ бүр дээр ямар IP хаягуудыг аль хостуудад хуваарилсныг мэдэхийн тулд хүлээн авдаг. Дараа нь шилжүүлэгч нь дараагийн DHCP мессежүүдийг баталгаажуулахад ашигладаг DHCP-ийн нууцлалын хүснэгтийг үүсгэдэг.

Хэрэв шилжүүлэгч нь холбох хүснэгтэд байхгүй хостоос DHCP мессеж хүлээн авбал мессежийг устгаж, хост сүлжээнд нэвтрэх эрхгүй болно. Энэ нь хортой хостууд DHCP мессежийг хууран мэхлэх, сүлжээнд зөвшөөрөлгүй нэвтрэхээс сэргийлдэг.

DHCP snooping нь IPv4 болон IPv6 сүлжээнд хоёуланд нь ашиглагдаж болно. DHCP snooping идэвхжсэн үед шилжүүлэгч нь DHCP серверийн IP хаягаар тохируулагдсан байх ёстой бөгөөд ингэснээр өөрийн холбох хүснэгтэд оруулгуудыг нэмж болно.

DHCP snooping нь юунаас хамгаалдаг вэ?

DHCP snooping нь хортой халдлага болон бусад зөвшөөрөлгүй үйлдлээс хамгаалах хамгаалалтын функц юм. Энэ нь DHCP траффикийг хянаж, сэжигтэй үйлдлийг хайх замаар ажилладаг. Хэрэв энэ нь ямар нэг сэжигтэй зүйл илрүүлбэл үйл ажиллагааг блоклож, сүлжээгээ хамгаалах арга хэмжээ авч болно.

DHCP snooping нь янз бүрийн халдлагаас хамгаалж чадна, үүнд:

-IP хууран мэхлэх: Энэ халдлага нь хэн нэгэн хуурамч эх хаягтай IP пакет илгээхийг оролдох үед тохиолддог. Үүнийг үйлчилгээ үзүүлэхээс татгалзах халдлага эхлүүлэх эсвэл тэдэнд зориулагдаагүй эх сурвалжид хандахад ашиглаж болно. DHCP snooping нь эдгээр төрлийн халдлагыг илрүүлж, урьдчилан сэргийлэх боломжтой.

-Man-in-the-Middle Attacks: Энэ төрлийн халдлагад хэн нэгэн хоёр компьютерийн хоорондын харилцааг таслан зогсоох, өөрчлөхийг оролддог. Үүнийг нууц мэдээллийг хулгайлах эсвэл харилцаанд хортой код оруулахад ашиглаж болно. DHCP snooping нь эдгээр төрлийн халдлагыг илрүүлж, урьдчилан сэргийлэх боломжтой.

-Үйлчилгээнээс татгалзсан халдлага: Эдгээр халдлага нь хэн нэгэн үйлчилгээг хүсэлтээр дүүргэх эсвэл алдаатай хүсэлтээр таслах замаар үйлчилгээг ашиглах боломжгүй болгохыг оролдох үед тохиолддог. DHCP snooping нь эдгээр төрлийн халдлагыг илрүүлж, урьдчилан сэргийлэх боломжтой.

DHCP Snooping-ийн ашиг тус

DHCP snooping ашиглах нь аюулгүй байдлыг сайжруулах, сүлжээний зогсолтыг багасгах, зурвасын өргөн зарцуулалтыг багасгах зэрэг олон давуу талтай. Хуурамч DHCP серверүүдийг буруу IP хаягийн мэдээлэл дамжуулахаас сэргийлснээр DHCP snooping нь таны сүлжээний ерөнхий аюулгүй байдлыг сайжруулахад тусална. Нэмж дурдахад, зөвхөн эрх бүхий DHCP серверүүд IP хаягийг дамжуулах боломжтой тул DHCP-г шалгах нь DHCP серверийн алдаа гарсан тохиолдолд таны сүлжээг таслах хугацааг багасгахад тусална. Эцэст нь, хуурамч DHCP серверээс IP хаяг хүлээн авах боломжтой төхөөрөмжүүдийн тоог хязгаарласнаар DHCP snooping нь тэдгээр төхөөрөмжүүдийн зарцуулсан зурвасын өргөнийг багасгахад тусална.

DHCP Snooping-г хэрхэн тохируулах талаар

DHCP snooping-г тохируулахын тулд Аж үйлдвэрийн Ethernet шилжүүлэгч, та хамгаалахыг хүссэн VLAN интерфэйс бүр дээрээ үүнийг идэвхжүүлэх хэрэгтэй. Та дараах тушаалыг ашиглан үүнийг хийж болно.

(тохиргоо)#ip dhcp snooping

DHCP snooping идэвхжсэний дараа та итгэмжлэгдсэн интерфэйсийг тохируулах шаардлагатай болно. Энэ нь DHCP пакетуудыг илгээх, хүлээн авахад ашиглагдах интерфейс юм. Та дараах тушаалыг ашиглан үүнийг хийж болно.

(config-if)#ip dhcp snooping trust

Та мөн DHCP серверийн IP хаягийг тохируулах хэрэгтэй болно. Үүнийг дараах тушаалыг ашиглан хийж болно.

(config-if)#ip dhcp snooping сервер

WebGUI удирдлагын интерфейсийн тохиргоо

DHCP сонголт гэж юу вэ?

DHCP сонголт нь DHCP протоколын онцлог бөгөөд DHCP үйлчлүүлэгчдэд DHCP серверээс нэмэлт мэдээлэл хүсэх боломжийг олгодог. Сонголтоор, үйлчлүүлэгч серверээс энэ мэдээллийг тодорхой формат эсвэл дарааллаар өгөхийг хүсч болно.

Жишээлбэл, үйлчлүүлэгч серверээс DHCP сонголтоор DNS серверийн хаягийг өгөхийг хүсч болно. Эсвэл үйлчлүүлэгч серверээс бүх сонголтыг цагаан толгойн дарааллаар өгөхийг хүсч болно.

DHCP протокол нь үйлчлүүлэгчдэд хэрэгтэй байж болох олон арван сонголтыг тодорхойлдог бөгөөд шинэ хэрэгцээ гарч ирэх үед шинэ сонголтууд нэмэгддэг. Илүү түгээмэл хэрэглэгддэг сонголтуудын зарим нь:

- Сонголт 1: Дэд сүлжээний маск

-Хувилбар 2: Өргөн нэвтрүүлгийн хаяг

-Сонголт 3: Чиглүүлэгч (Өгөгдмөл гарц)

-Хувилбар 6: Домэйн нэрийн сервер (DNS) -Хувилбар 12: Хост нэр

-Хувилбар 15: Домэйн нэр

-Сонголт 28: IPv6-д зориулсан өргөн нэвтрүүлгийн хаяг

-Хувилбар 43: DHCP серверүүд болон үйлчлүүлэгчид 43-р хувилбарыг ашиглан үйлдвэрлэгчийн тусгай тохиргооны мэдээллийг солилцдог.

-Хувилбар 82: Сонголт 82 нь реле агентийн сонголт юм. Энэ нь DHCP клиентийн байршлын мэдээллийг бүртгэдэг. DHCP реле агент эсвэл DHCP snooping төхөөрөмж нь үйлчлүүлэгчийн хүсэлтийг хүлээн авах үед хүсэлтэд 82-р сонголтыг нэмж сервер рүү илгээдэг.

Эдгээр бүх сонголтууд нь үйлчлүүлэгч бүрт хамааралтай эсвэл шаардлагатай биш байх болно. Жишээлбэл, 6-р сонголт нь зөвхөн DNS ашигладаг үйлчлүүлэгчидтэй холбоотой байдаг бол 28-р сонголт нь зөвхөн IPv6 ашигладаг үйлчлүүлэгчидтэй холбоотой байдаг.

Дүгнэлт

Эцэст нь хэлэхэд DHCP Snooping нь таны сүлжээг хортой халдлагаас хамгаалахад туслах хүчирхэг хамгаалалтын функц юм. Энэ нь сүлжээнд ямар төхөөрөмжүүдийг ашиглахыг зөвшөөрч, ямар төрлийн траффикт хандаж болохыг хянах боломжийг танд олгоно. Энэ нь зөвшөөрөлгүй нэвтрэхээс сэргийлж, өгөгдөл алдагдахаас сэргийлж, сүлжээгээ найдвартай, найдвартай байлгахад тусална. Эдгээр давуу талуудыг харгалзан үзэхэд DHCP Snooping-ийг тохируулах нь аливаа сүлжээний администраторын аюулгүй байдлын стратегийн чухал хэсэг байх ёстой нь ойлгомжтой.