Mình có dùng Switch Layer 3 - 3750 làm edge switch. Vì mình đã test trên hệ thống Lab thành công nhưng khi apply cho toàn bộ hệ thống mạng của mình ( có Switch 3750 làm Distribution Switch và Switch 6500 làm Core Switch). Hơn nữa hệ thống mạng của công ty mình là rất lớn có tới gần 100 Vlan. Dĩ nhiên là lúc này đã config VTP domain rồi.

Lạ 1 điều là mình test đi test lại vẫn xuất hiện 1 lỗi như sau:

- Khi apply code: ip dhcp Snooping Vlan 1 1005 trên tất cả các Switch ( cụ thể gồm cả trên Switch có DHCP giả mạo) thì mới cấm được DHCP giả mạo theo ý mình nhưng trên các Switch Client khác ngay lập tức sẽ ko lấy được IP của DHCP thật. Client chỉ lấy được IP từ DHCP thật khi: trên Switch nối vào Client bỏ Vlan của Client đó.

VD: Client nối với Port 4 Switch C có số VLan là 5 thì chúng ta fải code trên Switch C như sau: ip dhcp snooping Vlan 1 4
ip dhcp snooping Vlan 6 1005

Sau khi code như vậy thì mới đảm bảo đựoc rằng Client ko lấy được IP từ DHCP giả mạo mà chỉ lấy được từ DHCP thật.

Không biết còn fải config DHCP relay agent gì nữa không để Client vẫn lấy được IP từ DHCP thật

Nhưng như vậy thì trên 1 Switch Client giả sử 24 port tương ứng với 24 Vlan mà mình Apply như vậy thì toi và cũng không đảm bảo bài toán.

Trên đay là những gì mình đã thực hiện khi apply DHCP snoopng vào hệ thống thật của công ty mình. Mong các bạn giả đáp thắc mắc này giùm mình.

Thanks!

Chào !!!
Khi cấu hình dhcp snooping nên nhớ :
+ Phải enable DHCP snooping trên switch ở mode globally.

+ DHCP snooping không thể active cho đến khi nó được enable trên 1 VLAN

+ Trước khi enable DHCP trên 1 Switch, bạn phải nắm chắc chắn xem những thiết bị như DHCP server và DHCP relay agent(nếu có) đã được cấu hình và enable.

+ Trước khi cấu hình lệnh DHCP snooping information option trên switch, đảm bảo cấu hình thiết bị như DHCP server phải đang "act".

+ Nếu như DHCP relay agent được enable nhưng DHCP snooping bị disable thì DHCP option-82 sẽ không được hỗ trợ.

+ Nếu port được connect đến DHCP server nó cần được cấu hình là trust port bằng lệnh "ip dhcp snooping trust"

+ Nếu một switch port connect đến một DHCP client thì cấu hình port này là untrusted bằng cách thêm vào câu lệnh " no ip dhcp snooping trust" (mặc định đã là untrusted do đó không cấu hình câu lệnh này vẫn được)

+ Không thêm vào câu lệnh " ip dhcp snooping information option allow-untrusted" trên switch nơi mà những thiết bị không đáng tin cậy connect. Nếu bạn dùng câu lệnh này thì những thiết bị ấy có thể tấn công spoof trên option 82.

Đều đáng lưu ý ở câu hỏi trên là :
+ Nếu như có cấu hình dhcp relay agent trên edge switch,để aggregation switch (switch layer 2 bên dưới hay switch bên dưới không cấu hình relay agent) có thể chấp nhậnthông tin option 82 trong gói packet gởi từ edge switch , bạn phải cấu hình thêm lệnh
Bạn enable câu lệnh này trong những interface nối với thiết bị tin cậy trên aggregation switch.

+Bạn bỏ đi câu lệnh " no ip dhcp snooping information option" trên aggregation switch để nó chấp nhận thông tin option 82

+ Bạn cần xem xét có phải trên edge bạn nối với một DHCP và đó là DHCP thật của mạng thực sự ở công ty. KHi đó bạn phải dùng đến ip helper -address ( tức là dùng dhcp relay agent).

Trả lời phần này
Bạn xem lưu ý sau :
+ DHCP snooping không thể active cho đến khi nó được enable trên 1 VLAN

Như vậy là VLAN 5 không hề active DHCP snooping, bạn cần xem lại !!!

=> Hình như bạn hiểu lầm vấn đề, kết nối giữa 2 switch luôn là trunk do đó (mặc định) nó sẽ tải tất cả VLAN trên đường này. Số lượng port trên switch client không quan trọng.

Chúc bạn vui !!!

Tức là theo bạn mình fải sử dụng code trên Switch level 3 fải ko:

interface Vlan 153
ip address 10.16.53.1 255.255.255.0
ip helper-address 10.16.34.13
ip dhcp relay information trusted

Mình sẽ thử xem.

dhcp relay agent:

- những thông điệp DHCP là broadcast, những gói broadcast sẽ ko đi qua được router để đến subnet khác, dhcp relay agent chuyển những gói broadcast thành những cuộc truyền có định hướng, vì vậy nó sẽ qua được interface của router để đến DHCP server ở subnet khác

vd: khi bạn set ip helper-address 192.168.1.1 ở trên một vlan khác thì khi một client ở vlan nào đó cần tìm dhcp server, nó sẽ tìm thấy dhcp server 192.168.1.1 ở subnet khác với subnet của vlan đó => nó sẽ luôn gửi thông điệp DHCP đến server đó thôi (có thể bạn ko cần bận tâm về DHCP server kia nữa)

- set ip helper-address ip_of_dhcpserver : cho tất cả các vlan, ngoại trừ vlan cùng subnet với DHCP server.

- mạng của bạn cũng khá nhiều VLAN, khó có thể chia lại được

- dhcp snooping ko chỉ hoạt động trên một switch, mà trên toàn bộ các switch, bởi vì DHCP server giả có thể được connect vào bất kỳ port, của bất kỳ switch nào.

Hi, các bạn!

Mình lại trở lại thảo luận vấn đề này tiếp. Mình đã apply thành công trên hệ thống Switch của công ty mình. Vấn đề ở đây chúng ta chưa trust cổng trunk nối giữa các Switch nên khi apply trên diện rộng nó đã chặn cả DHCP thật. Hehe làm mãi không được sếp mình fải nhảy vào giúp. Sau khi bật debug lên thì phát jiện ra vấn đề này. Cấu hình như sau:

- Trên các Switch Client:

SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 1 1005
SW1(config)# interface ra f0/1 -24
SW1(config-if)#ip dhcp snooping limit rate 3
SW1(config)# interface ra gi0/1 -2
SW1(config-if)#ip dhcp snooping trust

- Trên Switch nối với DHCP thật:

SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 1 1005
SW1(config)# interface ra f0/1 -24
SW1(config-if)#ip dhcp snooping limit rate 3
SW1(config)# interface ra gi0/1 -2; fa0/2 { port fa0/2 nối với DHCP thật }
SW1(config-if)#ip dhcp snooping trust

Cảm ơn các bạn đã tham gia thảo luận vấn đề này cùng với mình.

mình cũng đang gặp rắc rối ở DHCP Snooping này đây