Configurando la función de DHCP snooping en el switch Huawei

184 0 4 0

Hola a todos. El tema que les voy a presentar como podemos utilizar la funcionalidad de DHCP snooping en los switches de la serie S de Huawei, al utilizar esta funcionalidad protegeremos a nuestros usuarios de recibir una dirección IP de algún servidor no autorizado o protegeremos a nuestro servidor de diferentes ataques al procolo DHCP.


Descripción del Problema

Procedimiento para configurar la funcionalidad de DHCP snooping en los Switches de Huawei de la series S.


Solución

Los switches de la serie S (excepto los switches S1700) admiten DHCP snooping. DHCP Snooping proporciona la función de confianza y las funciones de comprobación de la tabla de enlace de DHCP Snooping. La función de confianza Snooping DHCP garantiza que los clientes obtengan direcciones IP de servidores DHCP autorizados. La función de comprobación de la tabla de enlace de indagación DHCP evita los ataques de DHCP, como los ataques de DHCP flood attack, los ataques de servidor DHCP falsos y los ataques DoS del servidor DHCP. Como se muestra en el diagrama de la figura 1, el cliente y el servidor DHCP están conectados a través del switch. El procedimiento de configuración es el siguiente:


Figura 1. Diagrama básico de conexión  entre el cliente DHCP y el servidor DHCP

121551c4zylyjiixoopc3c.png?image.png

1. Habilite de forma global la funcionalidad DHCP Snooping

[Huawei] dhcp enable
[Huawei] dhcp snooping enable


2. Habilite la funcionalidad DHCP Snooping en la interface GE0/0/2 que conecta al usuario DHCP.

[Huawei] interface gigabitethernet 0/0/2
[Huawei-GigabitEthernet0/0/2] dhcp snooping enable


3. Configure la interface (GE0/0/1) que conecta al servidor DHCP como una interface de confianza o Trusted Interface para prevenir ataques del tipo Bogus DHCP Server.

[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted


4. Establezca la tasa máxima de mensajes DHCP que serán enviado a la unidad de procesamiento de mensajes de DHCP asi mismo establecer una alarma de notificación cuando ese límite se exceda y el switch descarte paquetes para evitar el ataque de DHCPO flood.

# Set the maximum rate at which DHCP messages are sent to the DHCP message processing unit to 90 pps.
[Huawei] dhcp snooping check dhcp-rate enable
[Huawei] dhcp snooping check dhcp-rate 90
# Enable the alarm function for discarding packets and set the alarm threshold for packet rate limiting.
[Huawei] dhcp snooping alarm dhcp-rate enable
[Huawei] dhcp snooping alarm dhcp-rate threshold 500


5. Configure el switch para verificar los mensajes de DHCP contra la tabla de binding y habilitar en el switch una alarma que notifique que se ha revasado el umbral de paquetes descartados en la tabla de binding. Esta configuración previene los ataques de bugus DHCP server.

[Huawei] interface gigabitethernet 0/0/2
[Huawei-GigabitEthernet0/0/2] dhcp snooping check dhcp-request enable
[Huawei-GigabitEthernet0/0/2] dhcp snooping alarm dhcp-request enable
[Huawei-GigabitEthernet0/0/2] dhcp snooping alarm dhcp-request threshold 120 

 

6. Establezca el número máximo de usuarios de acceso en una interfaz, habilite en el switch para verificar si la dirección MAC en un encabezado de trama DHCP es el mismo que el valor de CHADDR en el campo de datos, y habilite en el switch para generar una alarma cuando el número de los paquetes descartados en la verificación de campo CHADDR alcanzan el umbral de la alarma. Esta configuración evita los ataques DoS del servidor DHCP.

[Huawei-GigabitEthernet0/0/2] dhcp snooping max-user-number 20
[Huawei-GigabitEthernet0/0/2] dhcp snooping check dhcp-chaddr enable
[Huawei-GigabitEthernet0/0/2] dhcp snooping alarm dhcp-chaddr enable
[Huawei-GigabitEthernet0/0/2] dhcp snooping alarm dhcp-chaddr threshold 120


Esperando que esta información sea de utilidad para evitar los diferentes ataques que se pueden realizar a los servidores DHCP dentro de una red de datos.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje