Network Engineer Cisco-Juniper-Fortinet-CheckPoint-DrayTek

Phướng cách hoạt động:
DHCP-Snooping là tính năng chống giả mạo DHCP Server, chỉ những DHCP Server được sự cho phép của Admin mới có quyền cấp DHCP cho máy tính trong mạng.
Tính năng chống giả mạo IP hay chống giả mạo MAC Address (ARP Inspection) đều hoạt động dựa trên DHCP-Snooping. Chính vì vậy DHCP-Snooping là công cụ không thể thiếu khi muốn nâng cao tính bảo mật cho mạng LAN bằng cách ngăn chặn những người dùng sử dụng phần mềm giả mạo MAC, IP với mục đích xấu.
Sau đây là một ví dụ cụ thể cho tính năng DHCP-Snooping trên VigorSwitch G2260.




Khi gắn máy tính vào VigorSwitchG2260, Client sẽ gửi một gói tin DHCP Request. Lúc này chỉ những DHCP Server được cấp phép trên VigorSwitchG2260 mới có quyền gửi gói tin Response, những DHCP Server không được phép sẽ bị chặn lại.
Yêu cầu cấu hình:
Chỉ có DHCP Server gắn vào port 23 mới có quyền cấp DHCP cho máy tính. 
Các port còn lại dành cho máy tính, và khi gắn DHCP Server bất kỳ vào port nào không phải port 23 thì không thể cấp được IP cho các máy tính trong mạng.

Cấu hình bằng WUI:
Snooping Mode: Enable
Port 23: Trusted 




Cấu hình bằng Console:
Switch# dhcp-snooping
Switch(dhcp-snooping)# mode enable // kích hoạt tính năng DHCP-Snooping
Switch(dhcp-snooping)# port-mode 23 trusted // Port dành cho DHCP Server
Switch(dhcp-snooping)# port-mode 1-22,24-26 untrusted // port dành cho client

Như vậy, phần cài đặt đã hoàn thành.
Khi mạng nội bộ được trang bị VigorSwitch G2260, với cách cấu hình trên, người quản trị sẽ không lo gặp phải các vấn đề kết nối Internet phát sinh do người dùng gắn những thiết bị cấp DHCP vào mạng của công ty, yên tâm dành thời gian cho các công việc quan trọng khác.



Để các chính sách của Router Firewall hoạt động đúng, bạn cần trang bị một hệ thống Switch thông minh, có thể ngăn chặn các công cụ giả mạo IP hay MAC address với mục đích vượt Firewall. Bộ công cụ được giới thiệu ngay sau đây sẽ giúp người quản trị tránh mất các thông tin cá nhân như username/password, nội dung chat, E-mail khi người dùng trao đổi trong môi trường LAN.

Tính năng IP Source Guard/ ARP Inspection trên VigorSwitch G2260 sẽ giúp bạn khắc phục phần nào những nhược điểm trên.


Trong ví dụ này Port 1 được kết nối trực tiếp với Router Vigor3900, như vậy bật tính năng chống giả mạo IP/MAC Address trên port 1 là không cần thiết.
Port 23 được kết nối với card mạng gán ip tĩnh trên DHCP Server, port 23 sẽ được bật tính năng chống giả mạo IP/MAC Address.
Bật tính năng chống giả mạo IP/MAC Address trên các port kết nối với người dùng cuối, thiết bị máy tính sẽ nhận IP từ DHCP Server khi gắn vào các port này.

Cấu Hình IP Source Guard Qua Giao Diện WEB
Security >> IP Source Guard >> General Setup
Mode: Enable // bật tính năng IP Source Guard lên
Port 1, chọn Mode là Disabled // kết nối với Router Vigor
Tất cả các Port còn lại chọn Enable // kết nối với máy tính
Nhấn « Apply »



Vì DHCP Server kết nối vào port 23 và gắn ip tĩnh trên card mạng, nên để cho phép DHCP Server được phép truyền tải dữ liệu trong mạng bạn cần phải khai báo IP, MAC của card mạng trên DHCP Server vào VigorSwitch G2260. Nếu có bất kỳ thiết bị mạng nào khác sử dụng IP tĩnh, bạn cũng phải làm các bước tương tự như sau:
Vào “Seccurity >> IP Source Guard >> Static Table”
Nhấp “Add new entry” khai báo port 23, VLAN 1
IP DHCP Server: 192.168.1.254
MAC Address của DHCP Server: 00-13-2c-67-b3-86
Nhấn “Apply”



Cấu Hình ARP Inspection Qua Giao Diện WEB
Security >> ARP Inspection >> General Setup
Mode: Enable // bật tính năng ARP Inspection lên
Port 1, chọn Mode là Disabled //kết nối với Router Vigor
Tất cả các Port còn lại chọn Enable // kết nối với máy tính
Nhấn «Apply»


Vì DHCP Server kết nối vào port 23 và gắn ip tĩnh trên card mạng, nên để cho phép DHCP Server được phép truyền tải dữ liệu trong mạng bạn cần phải khai báo IP, MAC của card mạng trên DHCP Server vào VigorSwitch G2260. Nếu có bất kỳ thiết bị mạng nào khác sử dụng IP tĩnh, bạn cũng phải làm các bước tương tự như sau:
Vào “Seccurity >> ARP Inspection >> Static Table”
Nhấp “Add new entry” khai báo port 23, VLAN 1
IP DHCP Server: 192.168.1.254
MAC Address của DHCP Server: 00-13-2c-67-b3-86
Nhấn “Apply”



Cấu Hình IP Source Guard Qua Giao Diện Console
Switch# ip-source-guard
Switch(ip-source-guard)# mode enable
Switch(ip-source-guard)# port-mode 1 disable
Switch(ip-source-guard)# port-mode 2-26 enable
Switch(ip-source-guard)# add 23 1 192.168.1.254 00-13-2c-67-b3-86
-----
Cấu Hình ARP Inspection Qua Giao Diện Console
Switch# arp-inspection
Switch(arp-inspection)# mode enable
Switch(arp-inspection)# port-mode 1 disable
Switch(arp-inspection)# port-mode 2-26 enable
Switch(arp-inspection)# add 23 1 192.168.1.254




Writer: Vigorous.nguyen
Reference: www.draytek.com