DHCP Snooping и DHCP Option 82 в RouterOS на MikroTik
RouterOS поддържа DHCP Snooping и DHCP Option 82. DHCP Snooping е Layer 2 защитна функция, която блокира неоторизирани DHCP сървъри в мрежата. В RouterOS портовете на Bridge се делят на два типа:
- Trusted (надеждни) — портовете, свързани с легитимния DHCP сървър. DHCP отговори от тези портове се препращат нормално.
- Untrusted (ненадеждни) — клиентски портове. DHCP отговори, получени от тези портове, се блокират автоматично.
DHCP Option 82 (Relay Agent Information) е разширение, което устройствата с активиран DHCP Snooping добавят към DHCP заявките. То съдържа информация за суича и порта, от който идва заявката — позволява на DHCP сървъра да идентифицира точното местоположение на клиента и да приложи специфична политика (IP pool, VLAN, bandwidth).
Суичовете от сериите CRS3xx, CRS5xx, рутерите CCR2116, CCR2216 и чиповете 88E6393X, 88E6191X, 88E6190 поддържат напълно хардуерно разтоварено DHCP Snooping и Option 82 (без Bonding интерфейси).
Конфигурация на DHCP Snooping
Стъпка 1 — активиране на DHCP Snooping на bridge интерфейса:
/interface bridge
set bridge1 dhcp-snooping=yesСтъпка 2 — маркиране на uplink порта като trusted (останалите са untrusted по подразбиране):
/interface bridge port
set [find interface=ether10] trusted=yesВсички bridge портове са untrusted по подразбиране. Задавате trusted=yes само на порта(овете), към които е свързан легитимният DHCP сървър или upstream рутер.
Конфигурация на DHCP Option 82
Option 82 се активира на ниво bridge. RouterOS автоматично добавя към всяка DHCP заявка Circuit-ID (PVID на порта) и Remote-ID (MAC адресът на bridge-а):
/interface bridge
set bridge1 dhcp-snooping=yes add-dhcp-option82=yesЗа да се вижда коректна информация за порта, уверете се, че PVID е зададен правилно на всеки клиентски порт:
/interface bridge port
set [find interface=ether1] pvid=10
set [find interface=ether2] pvid=20
set [find interface=ether3] pvid=30Проверка
Проверка дали DHCP Snooping е активен и кои портове са trusted:
/interface bridge print detail where dhcp-snooping=yes
/interface bridge port print where trusted=yesПри засичане на нерегламентиран DHCP сървър на untrusted порт, RouterOS записва събитието в лога. Проверете с:
log print where topics~"dhcp"Заключение
DHCP Snooping и Option 82 са мощна комбинация за сигурност и управление на IP адресиране в по-големи мрежи. Snooping блокира rogue DHCP сървъри, а Option 82 дава на централния DHCP сървър детайлна информация за местоположението на всеки клиент — порт, VLAN и суич. На CRS3xx/CRS5xx цялото обработване е хардуерно, което гарантира нулево натоварване на процесора.