FS S5500 DHCP- स्नुपिङ कन्फिगरेसन
DHCP- स्नुपिङ कन्फिगरेसन
DHCP-Snooping कन्फिगरेसन कार्यहरू
DHCP-Snooping भनेको नक्कली DHCP सर्भरलाई DHCP प्याकेटहरू न्याय गरेर, MAC ठेगाना र IP ठेगाना बीचको बाध्यकारी सम्बन्ध कायम गरेर DHCP सेवा प्रदान गर्नबाट रोक्नु हो। L2 स्विचले MAC ठेगाना र IP ठेगाना बीचको बाध्यकारी सम्बन्ध अनुसार DAI प्रकार्य र IP स्रोत गार्ड प्रकार्य सञ्चालन गर्न सक्छ। DHCP-snooping मुख्यतया DHCP प्याकेटहरू निगरानी गर्न र गतिशील रूपमा MAC-IP बाध्यकारी सूची कायम राख्नको लागि हो। L2 स्विचले प्याकेटहरूलाई फिल्टर गर्दछ, जसले MAC-IP बाइन्डिङ सम्बन्धलाई पूरा गर्दैन, अवैध प्रयोगकर्ताहरूबाट नेटवर्क आक्रमण रोक्न।
- DHCP-snooping सक्षम/असक्षम गर्दै
- VLAN मा DHCP-snooping सक्षम गर्दै
- DHCP-विश्वास गर्ने इन्टरफेसमा इन्टरफेस सेट गर्दै
- VLAN मा DAI सक्षम गर्दै
- एआरपी-विश्वास गर्ने इन्टरफेसमा इन्टरफेस सेट गर्दै
- VLAN मा स्रोत IP ठेगाना निगरानी सक्षम गर्दै
- आईपी स्रोत ठेगाना अनुगमन द्वारा विश्वसनीय भएकोमा एक इन्टरफेस सेट गर्दै
- DHCP-snooping बाइन्डिङ ब्याकअप गर्नको लागि TFTP सर्भर कन्फिगर गर्दै
- कन्फिगर गर्दै ए file DHCP-snooping बाध्यकारी ब्याकअपको लागि नाम
- DHCP-snooping बाध्यकारी ब्याकअपको लागि अन्तराल कन्फिगर गर्दै
- म्यानुअल रूपमा बाध्यकारी सम्बन्ध कन्फिगर वा थप्दै
- DHCP-snooping को निगरानी र रखरखाव
- ExampDHCP-snooping कन्फिगरेसन को लागी
DHCP-Snooping सक्षम/असक्षम गर्दै
ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| ip dhcp-relay snooping | DHCP स्नुपिङ सक्षम गर्दछ। |
| कुनै ip dhcp-रिले स्नुपिङ छैन | पूर्वनिर्धारित सेटिङहरू पुन: सुरु गर्छ। |
यो आदेश विश्वव्यापी कन्फिगरेसन मोडमा DHCP स्नुपिङ सक्षम गर्न प्रयोग गरिन्छ। यो आदेश चलाइसकेपछि, स्विचले सबै DHCP प्याकेटहरू निगरानी गर्न र सम्बन्धित बाध्यकारी सम्बन्ध बनाउनु हो।
नोट: यदि ग्राहकले यो आदेश चलाउनु अघि स्विचको ठेगाना प्राप्त गर्छ भने, स्विचले सम्बन्धित बाध्यकारी सम्बन्ध थप्न सक्दैन।
VLAN मा DHCP-Snooping सक्षम गर्दै
यदि VLAN मा DHCP स्नुपिङ सक्षम पारिएको छ भने, VLAN मा सबै अविश्वासित भौतिक पोर्टहरूबाट प्राप्त हुने DHCP प्याकेटहरूलाई कानुनी रूपमा जाँच गरिनेछ। VLAN मा अविश्वासित भौतिक पोर्टहरूबाट प्राप्त भएका DHCP प्रतिक्रिया प्याकेटहरू त्यसपछि छोडिनेछन्, नक्कली वा गलत कन्फिगर गरिएको DHCP सर्भरलाई ठेगाना वितरण सेवाहरू प्रदान गर्नबाट रोक्दै। अविश्वासित पोर्टहरूबाट DHCP अनुरोध प्याकेटको लागि, यदि DHCP अनुरोध प्याकेटको हार्डवेयर ठेगाना फिल्डले यस प्याकेटको MAC ठेगानासँग मेल खाँदैन भने, DHCP अनुरोध प्याकेटलाई नक्कली प्याकेटको रूपमा विचार गरिन्छ जुन DHCP DOS को लागि आक्रमण प्याकेटको रूपमा प्रयोग गरिन्छ। र त्यसपछि स्विचले यसलाई छोड्नेछ। ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| आईपी डीएचसीपी-रिले स्नुपिङ भ्लान vlan_id | VLAN मा DHCP-snooping सक्षम गर्दछ। |
| कुनै ip dhcp-snooping vlan छैन vlan_id | VLAN मा DHCP-snooping असक्षम पार्छ। |
DHCP-विश्वास गर्ने इन्टरफेसमा इन्टरफेस सेट गर्दै
यदि इन्टरफेस DHCP-विश्वास गर्ने इन्टरफेस हुन सेट गरिएको छ भने, यो इन्टरफेसबाट प्राप्त DHCP प्याकेटहरू जाँच गरिने छैन।
भौतिक इन्टरफेस कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| dhcp स्नूपिङ ट्रस्ट | DHCP-विश्वास गर्ने इन्टरफेसमा इन्टरफेस सेट गर्दछ। |
| कुनै dhcp snooping भरोसा छैन | DHCP-अविश्वास गरिएको इन्टरफेसमा इन्टरफेस पुन: सुरु गर्छ। |
इन्टरफेस पूर्वनिर्धारित रूपमा अविश्वास गरिएको इन्टरफेस हो।
VLAN मा DAI सक्षम गर्दै
जब VLAN को सबै भौतिक पोर्टहरूमा गतिशील ARP निगरानी गरिन्छ, यदि स्रोत MAC ठेगाना र यस प्याकेटको स्रोत IP ठेगाना कन्फिगर गरिएको MAC-IP बाध्यकारी सम्बन्धसँग मेल खाँदैन भने प्राप्त ARP प्याकेट अस्वीकार गरिनेछ। इन्टरफेसमा बाध्यकारी सम्बन्ध गतिशील रूपमा DHCP वा म्यानुअल रूपमा कन्फिगर गर्न सकिन्छ। यदि कुनै पनि MAC ठेगानाहरू भौतिक इन्टरफेसमा IP ठेगानाहरूमा बाध्य छैनन् भने, स्विचले सबै ARP प्याकेटहरू फर्वार्ड गर्न अस्वीकार गर्दछ।
|
आदेश |
उद्देश्य |
| आईपी एआरपी निरीक्षण vlan भ्लानिड | VLAN मा सबै अविश्वासित पोर्टहरूमा गतिशील ARP निगरानी सक्षम गर्दछ। |
| कुनै आईपी एआरपी निरीक्षण vlan भ्लानिड | VLAN मा सबै अविश्वासित पोर्टहरूमा गतिशील ARP निगरानी असक्षम पार्छ। |
एआरपी-विश्वास गर्ने इन्टरफेसमा इन्टरफेस सेट गर्दै
ती विश्वसनीय इन्टरफेसहरूमा ARP निगरानी सक्षम गरिएको छैन। इन्टरफेसहरू पूर्वनिर्धारित रूपमा अविश्वासित हुन्छन्। इन्टरफेस कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| एआरपी निरीक्षण ट्रस्ट | एआरपी-विश्वास गर्ने इन्टरफेसमा इन्टरफेस सेट गर्दछ। |
| कुनै एआरपी निरीक्षण ट्रस्ट | एआरपी-अविश्वास गर्ने इन्टरफेसमा इन्टरफेस पुन: सुरु गर्छ। |
VLAN मा स्रोत IP ठेगाना निगरानी सक्षम गर्दै
VLAN मा स्रोत IP ठेगाना निगरानी सक्षम भएपछि, VLAN मा सबै भौतिक पोर्टहरूबाट प्राप्त IP प्याकेटहरू अस्वीकार गरिनेछ यदि तिनीहरूको स्रोत MAC ठेगानाहरू र स्रोत IP ठेगानाहरू कन्फिगर गरिएको MAC-to-IP बाइन्डिङ सम्बन्धसँग मेल खाँदैनन्। इन्टरफेसमा बाध्यकारी सम्बन्ध गतिशील रूपमा DHCP वा म्यानुअल रूपमा कन्फिगर गर्न सकिन्छ। यदि कुनै MAC ठेगानाहरू भौतिक इन्टरफेसमा आईपी ठेगानाहरूमा बाध्य छैनन् भने, स्विचले भौतिक इन्टरफेसबाट प्राप्त सबै आईपी प्याकेटहरू फर्वार्ड गर्न अस्वीकार गर्दछ। ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| आईपी स्रोत vlan प्रमाणित गर्नुहोस् भ्लानिड | VLAN मा सबै अविश्वासित इन्टरफेसहरूमा स्रोत IP ठेगाना जाँच सक्षम गर्दछ। |
| कुनै आईपी प्रमाणीकरण स्रोत vlan भ्लानिड | VLAN मा सबै इन्टरफेसमा स्रोत IP ठेगाना जाँच असक्षम पार्छ। |
आईपी स्रोत ठेगाना निगरानी द्वारा विश्वास गरिएको एकमा इन्टरफेस सेट गर्दै
यदि इन्टरफेसमा विश्वसनीय स्रोत IP ठेगाना छ भने स्रोत ठेगाना जाँच इन्टरफेसमा सक्षम गरिएको छैन। इन्टरफेस कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| आईपी स्रोत विश्वास | विश्वसनीय स्रोत आईपी ठेगाना भएकोमा एउटा इन्टरफेस सेट गर्दछ। |
| कुनै आईपी-स्रोत विश्वास छैन | अविश्वासित स्रोत IP ठेगाना भएकोमा एउटा इन्टरफेस पुन: सुरु गर्छ। |
ब्याकअप इन्टरफेस बाइन्डिङको लागि TFTP सर्भर कन्फिगर गर्दै
स्विच कन्फिगरेसन रिबुट भएपछि, पहिले कन्फिगर गरिएको इन्टरफेस बाइन्डिङ हराउनेछ। यस अवस्थामा, यस इन्टरफेसमा कुनै बाध्यकारी सम्बन्ध छैन। स्रोत आईपी ठेगाना निगरानी सक्षम भएपछि, स्विचले सबै आईपी प्याकेटहरू फर्वार्ड गर्न अस्वीकार गर्यो। TFTP सर्भर इन्टरफेस बाइन्डिङ ब्याकअपको लागि कन्फिगर गरिसकेपछि, बाध्यकारी सम्बन्ध TFTP प्रोटोकल मार्फत सर्भरमा जगेडा गरिनेछ। स्विच पुन: सुरु भएपछि, स्विचले स्वचालित रूपमा TFTP सर्भरबाट बाइन्डिङ सूची डाउनलोड गर्छ, नेटवर्कको सामान्य चलिरहेको सुरक्षित गर्दछ। ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| ip dhcp-relay snooping डेटाबेस-एजेन्ट ip-ठेगाना | TFTP सर्भरको IP ठेगाना कन्फिगर गर्दछ जुन ब्याकअप इन्टरफेस बाइन्डिङ हो। |
| कुनै ip dhcp-relay snooping डेटाबेस-एजेन्ट छैन | ब्याकअप इन्टरफेस बाइन्डिङको लागि TFTP सर्भर रद्द गर्दछ। |
कन्फिगर गर्दै ए File इन्टरफेस बाइन्डिङ ब्याकअपको लागि नाम
इन्टरफेस बाध्यकारी सम्बन्ध ब्याकअप गर्दा, सम्बन्धित fileनाम TFTP सर्भरमा बचत हुनेछ। यसरी, विभिन्न स्विचहरूले एउटै TFTP सर्भरमा आफ्नै इन्टरफेस बाध्यकारी सम्बन्धहरू ब्याकअप गर्न सक्छन्।
ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्
|
आदेश |
उद्देश्य |
| ip dhcp-relay snooping db-file नाम | कन्फिगर गर्दछ ए file इन्टरफेस बाध्यकारी ब्याकअपको लागि नाम। |
| कुनै ip dhcp-relay snooping db-file | रद्द गर्दछ ए file इन्टरफेस बाध्यकारी ब्याकअपको लागि नाम। |
इन्टरफेस बाइन्डिङ ब्याकअप जाँच गर्न अन्तराल कन्फिगर गर्दै
इन्टरफेसमा MAC-to-IP बाध्यकारी सम्बन्ध गतिशील रूपमा परिवर्तन हुन्छ। तसर्थ, तपाइँलाई एक निश्चित अन्तराल पछि बाध्यकारी सम्बन्ध अपडेट हुन्छ कि भनेर जाँच गर्न आवश्यक छ। यदि बाध्यकारी सम्बन्ध अद्यावधिक हुन्छ भने, यसलाई फेरि ब्याकअप गर्न आवश्यक छ। पूर्वनिर्धारित अन्तराल 30 मिनेट हो
|
आदेश |
उद्देश्य |
| आईपी डीएचसीपी-रिले स्नुपिङ लेख्नुहोस् संख्या | इन्टरफेस बाइन्डिङ ब्याकअप जाँच गर्न अन्तराल कन्फिगर गर्दछ। |
| कुनै आईपी डीएचसीपी-रिले स्नूपिङ लेखन छैन | पूर्वनिर्धारित सेटिङहरूमा इन्टरफेस बाइन्डिङ ब्याकअप जाँच गर्ने अन्तराल पुन: सुरु गर्छ। |
इन्टरफेस बाइन्डिङ म्यानुअल रूपमा कन्फिगर गर्दै
यदि होस्टले DHCP मार्फत ठेगाना प्राप्त गर्दैन भने, तपाइँ होस्टलाई नेटवर्क पहुँच गर्न सक्षम पार्न स्विचको इन्टरफेसमा बाध्यकारी वस्तु थप्न सक्नुहुन्छ। तपाईले कुनै आईपी स्रोत बाध्यकारी MAC आईपी चलाउन सक्नुहुन्न सम्बन्धित बाध्यकारी सूचीबाट वस्तुहरू मेटाउन। ध्यान दिनुहोस् कि म्यानुअल रूपमा कन्फिगर गरिएका बाइन्डिङ वस्तुहरूको गतिशील रूपमा कन्फिगर गरिएका बाइन्डिङ वस्तुहरू भन्दा उच्च प्राथमिकता छ। यदि म्यानुअल रूपमा कन्फिगर गरिएको बाइन्डिङ वस्तु र गतिशील रूपमा कन्फिगर गरिएको बाइन्डिङ वस्तुसँग समान MAC ठेगाना छ भने, म्यानुअल रूपमा कन्फिगर गरिएकोले गतिशील रूपमा कन्फिगर गरिएकोलाई अद्यावधिक गर्दछ। इन्टरफेस बाध्यकारी वस्तुले MAC ठेगानालाई अद्वितीय अनुक्रमणिकाको रूपमा लिन्छ। ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्।
|
आदेश |
उद्देश्य |
| आईपी स्रोत बाध्यकारी म्याक आईपी इन्टरफेस नाम | म्यानुअल रूपमा इन्टरफेस बाइन्डिङ कन्फिगर गर्दछ। |
| कुनै आईपी स्रोत बाध्यकारी छैन म्याक आईपी | इन्टरफेस बाध्यकारी वस्तु रद्द गर्दछ। |
L2 स्विच फर्वार्डिङ DHCP प्याकेटहरू
निम्न आदेश DHCP रिले महसुस गर्न निर्दिष्ट DHCP सर्भरमा DHCP प्याकेटहरू फर्वार्ड गर्न प्रयोग गर्न सकिन्छ। यस आदेशको नकारात्मक फारम DHCP रिले बन्द गर्न प्रयोग गर्न सकिन्छ।
नोट: यो आदेश L2 स्विचहरूमा DHCP रिले सक्षम गर्न मात्र प्रयोग गर्न सकिन्छ, जबकि L3 स्विचहरूमा, DHCP रिले DHCP सर्भरले महसुस गर्छ। ग्लोबल कन्फिगरेसन मोडमा निम्न आदेशहरू चलाउनुहोस्
|
आदेश |
उद्देश्य |
| आईपी dhcp-रिले एजेन्ट | DHCP रिले सक्षम गर्दछ। |
| ip dhcp-रिले सहायक-ठेगाना ठेगाना vlan vlan-id | रिलेको गन्तव्य ठेगाना र VLAN कन्फिगर गर्दछ। |
DHCP-Snooping को निगरानी र रखरखाव
EXEC मोडमा निम्न आदेशहरू चलाउनुहोस्
|
आदेश |
उद्देश्य |
| ip dhcp-relay snooping देखाउनुहोस् | DHCP-snooping कन्फिगरेसन बारे जानकारी प्रदर्शन गर्दछ। |
| ip dhcp-relay snooping binding देखाउनुहोस् | इन्टरफेसमा प्रभावकारी ठेगाना बाध्यकारी वस्तुहरू प्रदर्शन गर्दछ। |
| ip dhcp-relay snooping binding all देखाउनुहोस् | DHCP snooping द्वारा उत्पन्न सबै बाध्यकारी वस्तुहरू प्रदर्शन गर्दछ। |
| [ छैन ] डिबग आईपी dhcp-रिले [ जासुसी गर्दै | बाध्यकारी |
घटना ] |
DHCP रिले स्नुपिङको स्विचलाई सक्षम वा असक्षम पार्छ। |
निम्नले DHCP स्नुपिङ कन्फिगरेसनको बारेमा जानकारी देखाउँछ:
switch#show ip dhcp-relay snooping ip dhcp-relay snooping vlan 3 ip arp inspection vlan 3 DHCP स्नुपिङ ट्रस्ट इन्टरफेस: FastEthernet0/1 ARP इन्स्पेक्ट इन्टरफेस: FastEthernet0/11 switch#show-pcdware ठेगाना ipdlay ipdlay बाँकी राखिएको छ VLAN इन्टरफेस टाइप गर्नुहोस् 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 निम्नले dhcp-relay स्नुपिङ स्विचको बारेमा सबै बाध्यकारी जानकारी देखाउँछ# ipplay ठेगाना सबै ठेगानाहरू राखिएको IPlay ठेगाना राखिएको छ। टाइप गर्नुहोस् VLAN इन्टरफेस 00-e0-0f-32-1c-59 192.2.2.1 अनन्त MANUAL 1 FastEthernet0/2 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_st/therc 3 0 को बारेमा जानकारी - रिले स्नुपिङ। switch#debug ip DHCP-snooping प्याकेट DHCPR: vlan 3, diID बाट l2 प्याकेट प्राप्त गर्नुहोस्: 3 DHCPR: DHCP प्याकेट लेन 3 DHCPR: इन्टरफेसमा बाइन्डिङ थप्नुहोस् FastEthernet277/0 DHCPR: पठाउनुहोस् प्याकेट जारी राख्नुहोस् DHCPR3 बाट, डीएचसीपीआर प्राप्त गर्नुहोस्। : 2 DHCPR: DHCP प्याकेट लेन 3 DHCPR: पठाउनुहोस् प्याकेट जारी राख्नुहोस् DHCPR: vlan 1 बाट l300 प्याकेट प्राप्त गर्नुहोस्, diID: 2 DHCPR: DHCP प्याकेट लेन 3 DHCPR: पठाउनुहोस् प्याकेट जारी राख्नुहोस् DHCPR: vlan बाट l3 प्याकेट प्राप्त गर्नुहोस्: diHCP289, diHCP2 DHCP प्याकेट लेन 3 DHCPR: इन्टरफेसमा बाइन्डिङ अपडेट गर्नुहोस् FastEthernet1/300 DHCPR: IP ठेगाना: 0, लीज समय 3 सेकेन्ड DHCPR: पठाउनुहोस् प्याकेट जारी राख्नुहोस्
ExampDHCP-Snooping कन्फिगरेसन को le
नेटवर्क टोपोलोजी चित्र 1 मा देखाइएको छ।
- VLAN 1 मा DHCP स्नुपिङ सक्षम पार्नुहोस् जसले निजी नेटवर्क A जोड्दछ। Switch_config# ip dhcp-relay snooping Switch_config#ip dhcp-relay snooping vlan 1
- VLAN 2 मा DHCP स्नुपिङ सक्षम गर्नुहोस् जसले निजी नेटवर्क B जडान गर्दछ। Switch_config# ip dhcp-relay snooping Switch_config# ip dhcp-relay snooping vlan 2
- DHCP सर्भरलाई DHCP-विश्वास गर्ने इन्टरफेसमा जडान गर्ने इन्टरफेस सेट गर्दछ। Switch_config_f0/1# dhcp स्नुपिङ ट्रस्ट
कागजातहरू / स्रोतहरू
 |
FS S5500 DHCP- स्नुपिङ कन्फिगरेसन [pdf] प्रयोगकर्ता गाइड S5500 DHCP- स्नुपिङ कन्फिगरेसन, DHCP- स्नुपिङ कन्फिगरेसन, स्नुपिङ कन्फिगरेसन, 48T8SP |
