DHCP Snooping

DHCP Snooping
=================================================================
DHCP Snooping เป็น Security ที่ป้องกันการตั้ง Rogue DHCP Server นะครับ โดยเราต้องกำหนดว่า Port ไหนเป็น Trust / Untrust
แล้วมันก็จะสร้าง DHCP Snooping Table ซึ่งจะเป็น Table ที่ใช้ในการทำ Security ตัวอื่น ๆ เพราะใน Table นี้มันจะมี IP กับ Mac
ตัว DHCP Snooping นี้มันจะแค่ตรวจ DHCP Reply ว่ามาจากขาที่เรา Trust หรือไม่ ถ้ามันมาจากขา Untrust มันจะ Shutdown Port ให้ครับ
ดังนั้นแค่ DHCP Snooping ยังไม่ได้กัน IP Spoofing และ ARP Spoofing ได้ครับ …
ต่อมาเราจะกัน IP Spoofing ก็ใช้ Feature ที่เรียกว่า IP Source Guard นะครับ ง่าย ๆ คือมันก็จะ Check Source IP – MAC
ว่าตรงกับ DHCP Snooping Table ว่าตรงกันไหม ถ้าไม่ตรงก็ Drop
สุดท้ายก็ตัว DAI (Dynamic Arp Inspection) อันนี้ป้องกัน ARP Spoofing ก็ใช้หลักการเดียวกัน ตรวจ ARP Package ว่าค่า MAC กับ IP
match กับ DHCP Snooping Table ไหม ถ้าไม่ Match ก็ Drop
ดังนั้น Feature ทั้งหมดก็มาจาก DHCP Snooping เป็นตัวเก็บ Table ก่อน
=================================================================
ในส่วนของ DHCP Snooping Table ตัว dhcp snooping table มันจะสร้างขึ้นมาให้
ตัว config เอาแบบสั้นสุด คือ
1. Enabling DHCP Snooping Globally
Router(config)# ip dhcp snooping
2. Configuring the DHCP Trust State on Layer 2 LAN Interfaces
Router(config)# interface {type slot/port | port-channel number}
Router(config-if)# ip dhcp snooping trust
** โดยปกติแล้วหลังจาก on dhcp snooping globally แล้ว ทุก port จะเป็น untrust
untrust คือ port ที่ไม่มี DHCP Server ต่ออยู่ ดังนั้นเราต้องไป manual set Port ที่เป็นเส้นทางการวิ่งไปหา dhcp server ให้เป็น trust port
ซึ่งก็รวมถึง trunking และ access port ที่ต่อเข้ากับ dhcp server
จาก www.thaiadmin.org