Podczas pracy z różnymi przełącznikami sieciowymi możemy natknąć się też na tańsze urządzenia tzw. „Smart Switch” czyli przełączniki zarządzalne z dużo mniejszymi możliwościami niż ich w pełni zarządzalne odpowiedniki. Problemem, który możemy napotkać jest brak funkcji DHCP Snooping bezpośrednio związanej z bezpieczeństwem sieci LAN. DHCP Snooping pozwala ochronić Twoją sieć LAN przed niepożądanymi serwerami DHCP w sieci, choć to nie jest jego jedyna funkcja. Co w przypadku gdy Twój przełącznik nie obsługuje takiego zabezpieczenia?
Na początek musimy upewnić się, że Twój przełącznik obsługuje konfigurację ACL (ang. Access Control List), jeśli ACL są obsługiwane to śmiało możesz przejść dalej. Ja natknąłem się na ten problem przy okazji konfiguracji przełącznika Cisco Business CBS250 Smart Switch. Przełącznik obsługuje ACL, więc nie wszystko stracone. Konfiguracja, którą musimy wykonać, wygląda tak:
Cisco Business np. seria CBS / SG:
ip access-list extended DHCP-SRV-DROP
deny udp any 67 any any ace-priority 10
permit ip any any ace-priority 20
interface gi1/0/1
service-acl input DHCP-SRV-DROP default-action permit-anyPowyższa konfiguracja blokuje cały ruch przychodzący na interfejs gi1/0/1 z portu źródłowego 67/udp, czyli odpowiedzi z serwera DHCP na danym porcie przełącznika. Musisz przypisać ACL na każdy port przełącznika, który ma być chroniony przed obcymi serwerami DHCP w sieci. Urządzenie końcowe np. komputer, telefon lub drukarka będzie mogło nadal poprawnie pobrać prawidłowy adres IP z serwera DHCP podłączonego do portu bez takiej ACL.
A jak taka konfiguracja wyglądałaby dla Cisco IOS?
Cisco IOS:
ip access-list extended DHCP-SRV-DROP
10 deny udp any eq 67 any
20 permit ip any any
interface GigabitEthernet1/1
ip access-group DHCP-SRV-DROP in
Jak możesz zauważyć, wygląda to prawie identycznie z minimalnymi zmianami w składni poleceń. Prawdopodobnie zdecydowana większość przełączników z Cisco IOS, obsługuje jednak DHCP Snooping i tę funkcję proponuję użyć w pierwszej kolejności. Dla innych przełączników konfiguracja będzie identyczna, może tylko różnić się składnia poleceń lub całość trzeba będzie wykonać z GUI. Może się też zdarzyć tak, że Twój przełącznik nie obsługuje ACL, w takim przypadku nie da się już nic z tym zrobić.
