Dhcp snooping d link

Материал из Xgu.ru

DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.

DHCP snooping регулирует только сообщения DHCP и не может повлиять напрямую на трафик пользователей или другие протоколы. Некоторые функции коммутаторов, не имеющие непосредственного отношения к DHCP, могут выполнять проверки на основании таблицы привязок DHCP snooping (DHCP snooping binding database). В их числе:

• Dynamic ARP Protection (Inspection) — проверка ARP-пакетов, направленная на борьбу с ARP-spoofing,
• IP Source Guard — выполняет проверку IP-адреса отправителя в IP-пакетах, предназначенная для борьбы с IP-spoofingом.

Содержание

[править] Введение

DHCP snooping позволяет:

• защитить клиентов в сети от получения адреса от неавторизованного DHCP-сервера,
• регулировать какие сообщения протокола DHCP отбрасывать, какие перенаправлять и на какие порты.

Для правильной работы DHCP snooping, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):

• Ненадёжные (Untrusted) — порты, к которым подключены клиенты. DHCP-ответы, приходящие с этих портов отбрасываются коммутатором. Для ненадёжных портов выполняется ряд проверок сообщений DHCP и создаётся база данных привязки DHCP (DHCP snooping binding database).
• Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор или DHCP-сервер. DHCP-пакеты полученные с доверенных портов не отбрасываются.

[править] Принципы работы DHCP snooping

По умолчанию коммутатор отбрасывает DHCP-пакет, который пришел на ненадёжный порт, если:

• Приходит одно из сообщений, которые отправляет DHCP-сервер (DHCPOFFER, DHCPACK, DHCPNAK или DHCPLEASEQUERY);
• Приходит сообщение DHCPRELEASE или DHCPDECLINE, в котором содержится MAC-адрес из базы данных привязки DHCP, но информация об интерфейсе в таблице не совпадает с интерфейсом, на котором был получен пакет;
• В пришедшем DHCP-пакете не совпадают MAC-адрес указанный в DHCP-запросе и MAC-адрес отправителя;
• Приходит DHCP-пакет, в котором есть опция 82.

[править] Пример топологии

Топология изображенная на рисунке не является рекомендацией, а служит демонстрацией того, какие порты коммутаторов указывать доверенными, а какие ненадёжными.

Настройки DHCP snooping на коммутаторах разных производителей выполняются для этой топологии (конфигурационные файлы коммутаторов в конце страницы).

Пояснения к рисунку:

• На коммутаторах sw1 и sw2 включен DHCP snooping;
• Порт 24 коммутатора sw1 и порт a1 коммутатора sw2 указаны доверенными, так как на ненадежных портах сообщения DHCP-сервера будут отбрасываться;
• Порт 24 коммутатора sw1 и порт a1 коммутатора sw2 указаны доверенными, так как коммутатор, на котором включен DHCP snooping будет перенаправлять DHCP-запросы только на доверенные порты.

[править] Порядок настройки

1. Настройка и проверка работы DHCP-сервера и DHCP-ретранслятора без включенного DHCP snooping.
2. Включение DHCP snooping. После включения DHCP snooping на коммутаторе и в соответствующих VLAN, все порты коммутатора по умолчанию считаются ненадёжными.
3. Указание доверенных портов. Те порты к которым подключены коммутаторы и которые ведут к DHCP-серверу (или порты к которым сервер подключен) должны быть настроены как доверенные.
4. Настройка политики обработки опции 82.
5. (Опционально) Включение или выключение дополнительных проверок DHCP-сообщений.

После того, как DHCP snooping включен на коммутаторе, по мере выдачи адресов клиентам, начинает заполняться база данных привязки DHCP.

В базе данных привязки DHCP хранятся (информация хранится только о ненадёжных портах):

• MAC-адрес клиента
• Арендованный IP-адрес клиента
• Время аренды в секундах
• Идентификатор VLAN
• Идентификатор порта к которому присоединен клиент

[править] Использование опции 82

По умолчанию коммутатор на котором включен DHCP snooping, вставляет опцию 82 в DHCP-запросы. Коммутатор может изменять или вставлять опцию 82, даже если клиент и сервер находятся в одной подсети.

При вставке опции 82, коммутатор фактически вставляет два значения:

• Remote ID (MAC-адрес или IP-адрес коммутатора). Это значение можно настраивать;
• Circuit ID (порт с которого пришел запрос). Это значение не настраивается.

По умолчанию коммутатор, использующий DHCP snooping, обнаруживает и отбрасывает любой DHCP-запрос содержащий опцию 82, который он получил через ненадёжный порт.

Этот режим стоит оставить, если коммутатор соединен с конечными клиентами. Получение запроса с опцией 82 от клиента будет говорит об атаке, которую коммутатор должен предотвратить.

Но если функция DHCP snooping включена на нескольких коммутаторах, которые соединены последовательно, то такое поведение по умолчанию, приведет к тому, что клиенты не смогут получить адрес по DHCP (если сервер находится через несколько коммутаторов).

В приведенной схеме такая проблема возникнет:

• Когда sw1 получает запрос от хоста, он проверяет его и, если все в порядке, отправляет дальше. Но при этом, в этот запрос вставляется опция 82
• sw2, при получении запроса на ненадёжном интерфейсе, опять выполняет проверки и, увидев опцию 82 в запросе, отбрасывает его

Есть три способа решения этой проблемы:

• Сделать порт a5 на коммутаторе sw2 доверенным

• Хотя тогда запросы от хостов и не будут проверяться, чаще всего, это не страшно, так как, все запросы клиентов уже были проверены на sw1

Настроить варианты обработки опции 82 на sw2:

Сохранить опцию 82 в пришедшем пакете

Заменить опцию 82 в пришедшем пакете

Отключить вставку опции 82 на sw1 (может быть не на всем оборудовании)

[править] Настройка DHCP snooping на коммутаторах ProCurve

Включить DHCP snooping:

Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью:

[править] Настройка доверенных и ненадёжных портов

По умолчанию на коммутаторе все порты ненадёжные, поэтому доверенные порты надо явным образом указывать.

Указать доверенные порты:

[править] Настройка авторизованного DHCP-сервера

После того как порт указан как доверенный, сообщения от любого DHCP-сервера, который подключен к этому порту передаются. Для того чтобы указать IP-адреса конкретных DHCP-серверов, которым разрешено работать в сети, необходимо настроить список авторизованных DHCP-серверов.

Максимальное количество DHCP-серверов в списке — 20.

(Опционально) Указать адрес авторизованного DHCP-сервера, доступного через доверенный порт:

После указания авторизованных серверов коммутатор не будет отбрасывать сообщения DHCP-сервера, если выполняются оба условия:

• сообщение пришло на доверенный порт,
• адрес сервера указан с списке авторизованных DHCP-серверов.

[править] Проверка соответствия MAC-адресов

По умолчанию, после включения DHCP snooping, на коммутаторе включена проверка соответствия MAC-адресов. Коммутатор проверяет соответствие MAC-адреса в DHCP-запросе MAC-адресу клиента. Если они не соответствуют, то коммутатор отбрасывает пакет.

При необходимости можно отключить эту проверку:

[править] Настройка опции 82

С опцией 82 связаны две настройки:

• Настройка значения remote ID;
• Настройка политики обработки пакетов с опцией 82.

Настройка remote ID:

Значения remote ID:

• mac — MAC-адрес коммутатора (значение по умолчанию);
• subnet-ip — IP-адрес VLAN, который получил DHCP-запрос;
• mgmt-ip — IP-адрес коммутатора.

Настройка политики обработки пакетов с опцией 82:

• drop — отбросить пакет;
• keep — коммутатор отправляет пакет с сохранением значения опции 82;
• replace — коммутатор отправляет пакет, но заменяет значение опции 82.

Отключить вставку опции 82:

[править] Просмотр настроек и проверка работы DHCP snooping

Просмотр настроек DHCP snooping:

Просмотр статистики DHCP snooping:

Просмотр базы данных привязки DHCP для коммутатора sw2:

Просмотр базы данных привязки DHCP для коммутатора sw1:

[править] DHCP snooping и DHCP-ретранслятор

Настройки опции 82 с DHCP snooping перекрывают любые глобальные настройки указанные при настройке коммутатора для работы DHCP-ретранслятором.

Описание процедуры настройки коммутаторов ProCurve для работы DHCP-ретранслятором можно прочитать на странице Опция 82 DHCP.

Если DHCP snooping не настроен в VLAN, то для него применяются глобальные настройки.

[править] Поиск неисправностей

В прошивках старше K.15

Если необходимо вывести сообщения отладки в текущую сессию:

Если необходимо отправлять сообщения на log-сервер (log-сервер должен быть настроен командой logging ):

[править] Настройка DHCP snooping на коммутаторах Cisco

Включить DHCP snooping:

Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью:

После включения DHCP snooping в VLAN, коммутатор перестает отправлять DHCP-сообщения от клиента на все порты VLAN. Сообщения по-прежнему отправляются на широковещательный адрес, но теперь коммутатор будет передавать их только на доверенные порты, так как только на них может находиться DHCP-сервер.

[править] Настройка доверенных и ненадёжных портов

По умолчанию на коммутаторе все порты ненадёжные, поэтому доверенные порты надо явным образом указывать.

Указать доверенные порты:

(Опционально) Указать адрес авторизованного DHCP-сервера, доступного через доверенный порт:

По умолчанию, после включения DHCP snooping, на коммутаторе включена проверка соответствия MAC-адресов. Коммутатор проверяет соответствие MAC-адреса в DHCP-запросе MAC-адресу клиента. Если они не соответствуют, то коммутатор отбрасывает пакет.

При необходимости можно отключить эту проверку:

[править] Добавление статических записей в базу данных привязки DHCP

Добавление статической записи в базу данных привязки DHCP:

[править] Настройка опции 82

С опцией 82 связаны две настройки:

• Настройка значения remote ID;
• Настройка политики обработки пакетов с опцией 82.

Настройка remote ID (по умолчанию используется MAC-адрес коммутатора):

Настройка политики обработки пакетов с опцией 82. Коммутатор не будет отбрасывать пакеты, в которых есть опция 82:

В этой статье я хотел бы осветить практические аспекты использования DHCP relay+option82 как возможность авторизации (в дальнейшем именно эта связка будет иметься ввиду), а так же привести примеры конфигурации свитча Dlink DES-3200-10 и isc-dhcp-server. Практически во всех статьях dhcp relay трактуют так: «можно вынести dhcp-сервер за пределы широковещательного домена». Однако почему-то не упоминают или почти не упоминают, что это хорошая возможность избавиться от широковешательных запросов в пределах того же самого широковешательного домена. И самое главное, на что акцентирую внимание — мы можем быть уверены, благодаря option82, что запрос пришёл именно со свитча с заданным маком и именно с порта с указанным номером, а следовательно — таким образом можно «авторизовать» пользователя.

Я немного позанудствую и напомню, как действует DHCP relay. Он перехватит широковещательный запрос (VLAN-а, на который он настроен), обернёт его в L3 и отправит unicast-ом указанному DHCP-серверу. Ну и не лишним будет напомнить, что делаетoption82. Она добавляет в DHCP-пакет два дополнительных параметра:

DHCP-Relay-Circuit-Id — номер порта с которого пришёл запрос.
DHCP-Relay-Remote-Id — (по умолчанию) макадрес свитча с которого пришёл запрос.

Ещё хочется сказать о методах внедрения этой опции в пакет.В оборудовании Dlink есть два способа:

dhcp_relay — добавляет Option82 и как писалось выше, обернёт его в L3 и отправит unicast-ом указанному DHCP-серверу
dhcp_local_relay (DHCP Snooping) — только добавляет Option82 и пересылает широковещательный пакет дальше.

Немного отклонюсь от темы. Дело в том что конструкцию dhcp_local_relay я нашёл только в оборудовании Dlink. Мне стало интересно, почему же другие производители не внедрили такую замечательную опцию? Оказывается, внедрили, и давно. Называется она DHCP Snooping.

Возможно, у кого-то возникнет вопрос: «зачем нам избавляться от широковещательного трафика»? Дело в том, что на практике я очень часто встречался с таким явлением, что при выходе из строя коммутатора, например, в результате грозы, возникают петли, что приводит к широковещательному шторму. Конечно, как вы уже догадались, от одного широковещательного трафика в IPv4 нам все равно не избавиться — это ARP-трафик. Именно он отвечает за построение таблиц MAC-IP. Конечно, можно это запретить и заполнить таблицы вручную. Но, боюсь что возникшие при этом неудобства сведут на нет все прелести от статических ARP-таблиц.

Во всех статьях указано, что DHCP-клиент и DHCP-сервер могут (должны) находиться в разных подсетях — это неправда. Вот наша схема:

Далее я приведу пример конфигураций:

Теперь конфиг isc-dhcp-server (isc-dhcpd-4.2.4 ) на
Linux big-A75F-M2 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux:

$sudo apt-get install vlan-tools isc-dhcp-server
$sudo vconfig add eth0 7
$sudo ifconfig eth0.7 10.90.90.92/8
#Создаем VLAN7 и назначаем адрес 10.90.90.92/8 на котором у нас будет висеть сервер DHCP

Конечно, это только стендовый конфиг, но нам самое главное разобраться с принципом работы. Все же забегая в перед я могу сказать, что у меня работает биллинговая система с option82 и конструкцией dhcp_local_relay(dhcp snooping), а в качестве сервера используется freeradius2 с perl-выборкой IP-адресов из базы postgres. Но это уже выходит за рамки данной статьи.

На машине с сервером запускаем:

c0:a0:bb:48:e5:b0 > 00:15:17:db:e3:e0, ethertype IPv4 (0x0800), length 345: 10.90.90.90.68 > 10.90.90.92.67: BOOTP/DHCP, Request from 48:5b:39:43:78:e5, length 303

Listening on LPF/eth0.7/00:15:17:db:e3:e0/10.0.0.0/8
Sending on LPF/eth0.7/00:15:17:db:e3:e0/10.0.0.0/8

Должен вернуть UID процесса, если ни чего не выведет, проверяйте конфигурацию.

Для чего нужна такая проверка? Я помню случаи, когда сервер стартовал, висел в памяти несколько секунд и вылетал. А я тщетно пытался получить получить IP-адрес.

Если все прошло удачно, в логах мы обнаружим что-то типа:

Dec 2 20:36:17 big-A75F-M2 dhcpd: DHCPREQUEST for 10.0.0.155 from 48:5b:39:43:78:e5 (big-1001PX) via 10.90.90.90

Dec 2 20:36:17 big-A75F-M2 dhcpd: DHCPACK on 10.0.0.155 to 48:5b:39:43:78:e5 (big-1001PX) via 10.90.90.90

Dec 2 20:38:06 big-A75F-M2 dhcpd: Lease for 10.0.0.155 raw option-82 info is CID: 0.4.0.10.0.3 AID: 0.6.c0.a0.bb.48.e5.b0

Теперь одна очень важная вещь, про неё нигде не написано, но я дошёл до неё экспериментальным путём. IP-адрес свитча должен находиться в той же подсети, что и адреса, выдаваемые абонентам. Ни при каких других комбинациях мне не удалось заставить работать связку Dlink DES-3200 (Boot PROM Version: Build 4.00.002 Firmware Version: Build 4.04.004 Hardware Version: C1) и isc-dhcp-server 4.2.4.

И еще не большой бонус, как не погибнуть от броадкастов. Конфиг для Dlink DES-3200 С1:

Это статья не клон и не попытка переписать чужие статьи своими словами. Ниже список похожих публикаций и отличия от них. В своей статье я делал акцент на использование данной конструкции как метод авторизации, а не попытку вынести DHCP-сервер за пределы сети.

Карманные записки Системного Инженера

show ports
Показать инфо о портах

config ports x state enable
Включить порт

config ports x state disable
Выключить порт

config vlan default(имя влана) delete xx
config vlan v996 (имя влана) add untagged xx
Изменение влана

show switch
Отображение информации о коммутаторе. Важно: не путать версию прошивки и версию конфига

show log
Просмотр логов коммутатора

Варианты записей присутствующих в логах коммутатора:

7028 2008/10/23 18:51:57 Port 19 link down — упал линк на 19-м порту
7029 2008/10/23 18:52:01 Port 19 link up, 100Mbps FULL duplex — линк поднялся на 19-м порту установлена скорость передачи 100Mb установлен режим полного дуплекса
7045 2008/10/23 19:28:19 Multicast storm is occurring (port: 18) — зафиксирован мультикаст шторм на 18 порту.
7035 2008/10/23 19:06:19 Multicast storm has cleared (port: 8) — мультикаст шторм был очищен
7313 2008/10/24 21:59:16 Broadcast storm is occurring (port: 15) — зафиксирован броадкаст шторм на 18 порту.
7429 2008/10/25 14:11:12 Broadcast storm has cleared (port: 18) — броадкаст шторм был очищен

Если в логах коммутатора вы видите записи о том что на всех активных портах одновременно были зафиксированы броадкаст и мультикаст шторм, коммутатор перезагружался.

show ports description
Просмотр описания порта

config ports X description
Добавить описание порта

sh ports media_type
Посмотреть какие модули установлены в каких портах, их модели, версии и версии прошивок.

show arpentry
Отображает ARP-кэш. В D-Link нет функции поиска IP по заданному MAC’y, поэтому при необходимости такого поиска приходится выводить весь кэш на экран и искать вручную.

show utilization cpu
Отображение загрузки центрального процессора, за последние 5 секунд, минуту и 5 минут.

show utilization ports
Отображение загрузки портов в PPS (пакеты в секунду)

show ipif
Отображение информации по всем сконфигурированным интерфейсам на данном свитче.

show iproute
Отображение таблицы маршрутизации свитча
sh fdb
Отображение всех сконфигурированных интерфейсов свитча и MAC-адреса подключенных к ним устройств.

show error ports
Отображение ошибок передачи пакетов на заданном порту

Типы ошибок:
CRC Error — ошибки проверки контрольной суммы
Undersize — возникают при получение фрейма размером 61-64 байта. Фрейм передается дальше, на работу не влияет
Oversize — возникают при получении пакета размером более 1518 байт и правильной контрольной суммой
Jabber — возникает при получении пакета размером более 1518 байт и имеющего ошибки в контрольной сумме
Drop Pkts — пакеты отброшенные в одном из трех случаев:
Переполнение входного буфера на порту
Пакеты, отброшенные ACL
Проверка по VLAN на входе
Fragment — количество принятых кадров длиной менее 64 байт (без преамбулы и начального ограничителя кадра, но включая байты FCS — контрольной суммы) и содержащих ошибки FCS или ошибки выравнивания.
Excessive Deferral — количество пакетов, первая попытка отправки которых была отложена по причине занятости среды передачи.
Collision — возникают, когда две станции одновременно пытаются передать кадр данных по общей сред
Late Collision — возникают, если коллизия была обнаружена после передачи первых 64 байт пакета
Excessive Collision — возникают, если после возникновения коллизии последующие 16 попыток передачи пакета окончались неудачей. данный пакет больше не передается
Single Collision — единичная коллизия

show fdb port
Отображение MAC-адресов на заданном порту

show fdb mac_address
Отображает принадлежность MAC-адреса порту коммутатора

show packet ports
Отображение статистики трафика на порту в реальном времени.

RX — пакеты приходящие от клиента
TX — пакеты приходящие к клиенту

show traffic control
Отображение настроек storm control на коммутаторе. Должно быть отключено для аплинков, каскадных портов и всех портов узловых коммутаторов.

Параметры настроек имеют вид Enabled(Disabled)/10/S(D)
Enabled(Disabled) — показывает включен ли шторм контроль для данного порта
Числовое значение — кол-во пакетов при превышение, которого срабатывает шторм контроль
S(D) — действие выполняемое с пакетами. S — блокируется весь трафик на порту. D — пакеты отбрасываются
В колонке Time Interval указывается продолжительность дествия над трафиком.

show mac_notification
Отображение настроек уведомления о появлении новых MAC-адресов на порту коммутатора. Должно быть отключено для аплинков, каскадных портов и всех портов узловых коммутаторов.

show port_security
Отображение настроек контроля MAC-адресов. Должно быть отключено для аплинков, каскадных портов и всех портов узловых коммутаторов.

show stp
Отображение настроек протокола STP на коммутаторе

show arpentry ipaddress
Поиск записи с данным IP-адресом в arp-таблице.

show dhcp_relay
Отображение настроек dhcp_relay на коммутаторе. Обязательно должно быть включено в сегментированном районе, выключено в несегментированном.

Пример вывода:
Command: show dhcp_relay
DHCP/BOOTP Relay Status : Enabled — включена или выключена функция
DHCP/BOOTP Hops Count Limit : 16
DHCP/BOOTP Relay Time Threshold : 0
DHCP Relay Agent Information Option 82 State : Enabled
DHCP Relay Agent Information Option 82 Check : Disabled
DHCP Relay Agent Information Option 82 Policy : Keep
Interface Server 1 Server 2 Server 3 Server 4
————— ————— —————
System 83.102.233.203 — адрес централизованного DHCP-сервера

show bandwidth_control
Отображение настроек полосы пропускание для заданного порта.

show traffic_segmentation
Отображение настроек сегментации трафика для заданного порта

show current_config access_profile
Отображение настроек ACL по всем портам (На свичах DES-3028 команда show access_profile) .

Пример вывода:
config access_profile profile_id 150 add access_id 24 ip destination_ip 0.0.0.0 port 24 deny (150 — номер правила, далее указывается, что блокируется этим правилом, порт на который действует данное правило, состояние правила deny — запрещено, permit — разрешено)

show vlan
Отображение настроек Vlan на коммутаторе.

cable_diag ports
Диагностическая утилита для проверки длины кабеля (показывает результат только на юзерских портах (1-24)) Доступна без enable на DES-3526 с прошивкой 6.00.B25, а также на DES-3028. Примеры вывода ниже.

Линк на порту есть, все работает нормально:
Command: cable_diag ports 1
Perform Cable Diagnostics …
Port Type Link Status Test Result Cable Length (M)
—- —— ————- —————————— —————-
1 FE Link Up OK 88
В следующем случае вариантов может быть несколько:
а. Кабель целый, все работает отлично;
б. Кабель целый, просто вытащен из компа;
в. Кабель целый, в сетевую воткнут, но сам ПК выключен;
г. Кабель аккуратно срезан.v При диагностике стоит учитывать, что разница в один метр — совершенно нормальная ситуация — в UTP отдельные пары идут с различным шагом скрутки (одна пара более «витая», чем другая).
Command: cable_diag ports 1
Perform Cable Diagnostics …
Port Type Link Status Test Result Cable Length (M)
—- —— ————- —————————— —————-
1 FE Link Down Pair1 Open at 83 M —
Pair2 Open at 84 M
Видимо проблема с кабелем, а именно повреждены жилы:
Command: cable_diag ports 1
Perform Cable Diagnostics …
Port Type Link Status Test Result Cable Length (M)
—- —— ————- —————————— —————-
1 FE Link Down Pair2 Open at 57 M —
Кабель не подключен к свитчу:
Command: cable_diag ports 1
Perform Cable Diagnostics …
Port Type Link Status Test Result Cable Length (M)
— —— ————- —————————— —————-
1 FE Link Down No Cable —
Кабель обрезан на 48 метре:
Command: cable_diag ports 1
Perform Cable Diagnostics …
Port Type Link Status Test Result Cable Length (M)
—- —— ————- —————————— —————-
1 FE Link Down Pair1 Short at 48 M —
Pair2 Short at 48 M
Питание по кабелю есть, но измерить длину невозможно:
Command: cable_diag ports 1
Perform Cable Diagnostics …
Port Type Link Status Test Result Cable Length (M)
—- —— ————- —————————— —————-
1 FE Link Down ОК —

show lldp remote_ports
Отображение следующего оборудования на порту (отображает мак адрес во 2й строчке).

Пример вывода: Command: show lldp remote_ports 26

Port ID : 26
Remote Entities count : 1 Entity 1
Chassis Id Subtype : MACADDRESS
Chassis Id : 00-1E-58-AE-DC-14
Port Id Subtype : LOCAL
Port ID : 1/25
Port Description : D-Link DES-3028 R2.50 Port 25
System Name : P1CV186021772-1#B340237#B340238
System Description : Fast Ethernet Switch
System Capabilities : Repeater, Bridge,
Management Address count : 1
Port PVID : 0
PPVID Entries count : 0
VLAN Name Entries count : 0
Protocol ID Entries count : 0
MAC/PHY Configuration/Status : (None)
Power Via MDI : (None)
Link Aggregation : (None)
Maximum Frame Size : 0
Unknown TLVs count : 0

show address_binding dhcp_snoop binding_entry
Просмотр таблицы dhcp snooping binding

Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор отбрасывает фреймы от этого мака (аналог фунции IP Source Address Guard на Alcatel’ях). Соответствие мака, порта и ip коммутатор проверяет по таблице dhcp snooping binding. Посмотреть эту таблицу можно командой show address_binding dhcp_snoop binding_entry. Соответственно, если с кокого-либо порта уходят ip-пакеты, в которых ip-адрес отправителя отличен от указанного в этой таблице (скажем 169.254.255.5 или 0.0.0.0, или некорректная статика), то свич такие пакеты отбрасывает, при этом занося в лог следующую запись:
Unauthenticated IP-MAC address and discardet by ip mac port binding (IP 169.254.255.5, MAC 00-24-26-35-56-08, port: 19)