- Introduction
DHCP Snooping và Dynamic ARP Inspection (DAI) là các tính năng bảo mật Layer 2 quan trọng được thiết kế để tăng cường bảo vệ mạng. Cả hai tính năng này đều là thành phần của cơ chế IP-MAC-Port Binding (IMPB) trên các switch Omada.
Đối với DHCP Snooping, tính năng này sẽ tự động xây dựng và duy trì bảng ràng buộc IP–MAC–Port bằng cách giám sát các giao dịch DHCP hợp lệ. Bảng này ghi nhận mối liên kết hợp lệ giữa địa chỉ IP, địa chỉ MAC của client, cổng kết nối, VLAN và thời gian thuê (lease time).
Trên cổng được bật DHCP Snooping, switch sẽ ghi nhận thông tin của DHCP client và tự động loại bỏ (drop) mọi gói phản hồi DHCP server được gửi từ thiết bị client kết nối trên cổng đó.
Đối với DAI, tính năng này bảo vệ mạng khỏi tấn công ARP spoofing (còn gọi là ARP poisoning) – một dạng tấn công man-in-the-middle phổ biến, trong đó kẻ tấn công gửi các bản tin ARP giả mạo nhằm gán địa chỉ MAC của mình với địa chỉ IP của thiết bị khác. Trên các cổng switch được bật DAI, switch sẽ kiểm tra từng gói ARP và xác minh xem địa chỉ MAC có khớp với địa chỉ IP tương ứng hay không. Nguồn dữ liệu để xác thực là bảng IMPB (IP-MAC-Port Binding) đã đề cập ở trên. Trong mạng sử dụng DHCP, DHCP Snooping thường được bật kèm để tự động thu thập và tạo bảng binding động phục vụ cho việc xác thực DAI. Trong trường hợp mạng chỉ sử dụng IP tĩnh, khuyến nghị tắt cơ chế xác thực DAI dựa trên DHCP Snooping và thay vào đó cấu hình thủ công các mục binding để DAI hoạt động chính xác. Mọi gói tin không khớp với bất kỳ mục binding hợp lệ nào trên cổng được bật DAI sẽ bị xem là lưu lượng không hợp lệ và bị loại bỏ (drop).
- Yêu cầu
• Các switch Omada dòng Access, Access Plus, Access Pro, Access Max và Aggregation đã cập nhật firmware mới nhất
• Omada Controller phiên bản V6.1 trở lên - Hướng dẫn cấu hình
Trong phần tiếp theo, chúng tôi sẽ hướng dẫn các bước cơ bản để cấu hình DHCP Snooping và DAI trên các switch Omada khi được quản lý bởi Omada Controller.
Trước khi cấu hình, hãy đảm bảo rằng các switch đã được cập nhật firmware mới nhất và Omada Controller đang sử dụng phiên bản 6.1 trở lên. Đồng thời, cần adopt switch vào controller trước khi tiến hành cấu hình.
- Hướng dẫn cấu hình DHCP Snooping
- Truy cập vào mục Network Config → Security → IMPB
Chọn DHCP Snooping và bật tính năng DHCP Snooping ở mức toàn hệ thống.
- Sau khi bật DHCP Snooping toàn cục, nhấn nút Add để chọn switch cần kích hoạt DHCP Snooping
Tại trang Add DHCP Snooping Device, mở rộng mục Select Device, cuộn xuống và chọn các switch mà bạn muốn bật DHCP Snooping.
Chọn các cổng mà bạn muốn bật DHCP Snooping. Khi bật trên một cổng, các gói DHCP sẽ được giám sát (snoop) để tạo các mục IMPB, đồng thời mọi gói phản hồi DHCP server được gửi từ thiết bị client kết nối vào cổng đó sẽ bị loại bỏ (drop).
Để đảm bảo switch có thể nhận địa chỉ IP qua DHCP, cổng cascade (uplink) không được chọn. Nhấn Confirm để hoàn tất cấu hình.
Như vậy, việc cấu hình DHCP Snooping đã hoàn tất. Cấu hình hiện tại của DHCP Snooping có thể được kiểm tra và chỉnh sửa lại ngay trong cùng menu này.
- Truy cập vào mục Network Config → Security → IMPB
- Hướng dẫn cấu hình DAI
- Truy cập vào mục Network Config -> Security -> IMPB.
Vào mục DAI, tích chọn để bật DAI toàn cục (Global).
- Sau khi bật DAI toàn cục, nhấn nút Add để chọn switch cần kích hoạt DAI
Trong trang thêm thiết bị và cổng DAI, chọn các switch cần áp dụng tính năng DAI.
Chọn các cổng mà bạn muốn bật DAI. Lưu ý rằng nếu bạn đã bật DHCP Snooping trên một số cổng của cùng switch, bạn có thể chọn nhanh cùng dải cổng đó để bật DAI bằng cách nhấn Select All Snooping Port, vì DHCP Snooping và DAI thường được sử dụng kết hợp với nhau trong mạng sử dụng DHCP. Nhấn Confirm để hoàn tất cấu hình.
- Lưu ý về khi dùng DAI
Như đã giới thiệu ở trên, nguồn dữ liệu dùng để xác thực cho DAI đến từ các mục binding được tạo động bởi DHCP Snooping hoặc các mục binding tĩnh được cấu hình thủ công.
Theo mặc định, tùy chọn Snooping items take effect được bật, nghĩa là các mục binding do DHCP Snooping tạo ra sẽ được sử dụng để xác thực DAI.
Nếu mạng sử dụng DHCP, cần bật cả DHCP Snooping và DAI trên các cổng, đồng thời giữ nguyên tùy chọn Snooping items take effect để đảm bảo các DHCP client có thể truy cập Internet bình thường.
Nếu mạng không sử dụng DHCP (chỉ dùng IP tĩnh), khuyến nghị tắt tùy chọn này để đảm bảo các thiết bị sử dụng IP động không hợp lệ sẽ không thể truy cập mạng.
- Để tạo các mục binding tĩnh thủ công, nhấn nút Edit trên thiết bị.
Trong trang Edit DAI Port, nhấn Add Item để nhập thủ công các mục binding, hoặc nhấn Import để nhập hàng loạt các mục binding bằng file mẫu (template). Sau khi hoàn tất chỉnh sửa, nhấn Confirm để áp dụng cấu hình.
- Truy cập vào mục Network Config -> Security -> IMPB.
- Kết luận
Như vậy, chúng tôi đã hoàn tất phần giới thiệu về DHCP Snooping và DAI cũng như các bước cấu hình chi tiết.
Để tìm hiểu thêm thông tin chi tiết về từng tính năng và cách cấu hình, vui lòng truy cập Download Center để tải tài liệu hướng dẫn (manual) của sản phẩm. - QAs
Q1: Có cách nào chỉ giám sát (snoop) gói DHCP trên cổng mà không chặn các gói DHCP không hợp lệ hay không?
A1: Không. Khi một cổng được chọn bật DHCP Snooping, switch sẽ đồng thời:
• giám sát gói DHCP để tạo các mục IMPB
• và chặn (drop) các gói DHCP không hợp lệ nhằm ngăn chặn DHCP server giả mạo (rogue DHCP)
Hai chức năng này luôn hoạt động đồng thời và không thể tách riêng.
Please Rate this Document
