Nguyên lý hoạt động
Trong thực tế, đa số chúng ta cấp IP cho người dùng thông qua DHCP. Điều này vừa giúp người dùng dễ dàng kết nối, mà vừa tránh được việc trùng IP trong hệ thống. Tuy nhiên, vẫn sẽ có một số người dùng, vì mục đích nào đó, tự ý đặt IP tĩnh để kết nối vào hệ thống mạng, gây ra việc trùng IP, làm mạng không ổn định, và IT rất kiểm soát.
Ngăn chặn điều này cũng đơn giản thôi đó là kết hợp giữa DHCP Snooping và ARP Inspection.
- DHCP Snooping sẽ lắng nghe các gói tin DHCP và lưu danh sách IP-MAC của người dùng vào bảng DHCP Snooping Binding.
- ARP Inspection sẽ kiểm tra các gói tin ARP, nếu IP-MAC của gói tin ARP có trong bảng DHCP Snooping Binding thì đây là gói tin ARP hợp lệ và sẽ được cho qua. Ngược lại, gói tin ARP sẽ bị drop bỏ.
ARP là giao thức để tìm địa chỉ MAC của một địa chỉ IP, nếu không có ARP thì máy tính sẽ không trao đổi dữ liệu được với các máy khác.
Như vậy, người dùng muốn kết nối vào mạng, thì phải có thông tin IP-MAC trong bảng DHCP Snooping Binding. Mà muốn có thông tin trong bảng DHCP Snooping Binding thì phải sử dụng DHCP để nhận IP. Vậy là chúng ta đã đạt được mục đích : CHẶN NGƯỜI DÙNG ĐẶT IP TĨNH
Cấu hình
Mô hình dưới đây sử dụng switch Cisco chạy hệ điều hành Cisco IOS
![\"\"](\"https://kainetworks.vn/wp-content/uploads/2024/04/bao-ve-dhcp-voi-port-security-va-dhcp-snooping-1.png?w=1024\")
Cấu hình DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 1Trust cổng uplink của switch (hoặc cổng kết nối với DHCP Server)
Như trong ví dụ là cổng 24
interface GigabitEthernet1/0/24
ip dhcp snooping trustKhi người dùng nhận IP bằng DHCP, trên bảng DHCP Snooping Binding trên switch sẽ như sau
Xem bằng lệnh :
show ip dhcp snooping binding![\"\"](\"https://kainetworks.vn/wp-content/uploads/2024/04/screenshot_2-1.png?w=1024\")
Cấu hình ARP Inspection
ip arp inspection vlan 1Trust cổng uplink của switch (hoặc cổng kết nối với DHCP Server)
interface GigabitEthernet1/0/24
ip arp inspection trustNếu người dùng đặt IP tĩnh, gói tin ARP sẽ không hợp lệ và trên switch sẽ xuất hiện log %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) :
![\"\"](\"https://kainetworks.vn/wp-content/uploads/2024/04/screenshot_3-1.png?w=1024\")
Kết quả là người dùng sẽ không kết nối vào mạng được.
Trên đây là một phương pháp để chặn người dùng đặt IP tĩnh, nếu bạn biết phương pháp khác thì mình cùng thảo luận dưới phần comment nhé.
Cám ơn các bạn!
