tag:blogger.com,1999:blog-9205768594884267120.post832266676149074779..comments2024-03-28T04:15:24.999-03:00Comments on Blog LabCisco: DHCP Snooping na Mitigação de Servidores FalsosSamuel Britohttp://www.blogger.com/profile/01427342838658721468noreply@blogger.comBlogger24125tag:blogger.com,1999:blog-9205768594884267120.post-88786030942145999532017-06-06T16:18:16.301-03:002017-06-06T16:18:16.301-03:00Sim, até porque nas interfaces trunk irá passar tr...Sim, até porque nas interfaces trunk irá passar tráfego vindo do(s) servidor(es) DHCP.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-10250132781414832612017-06-06T14:50:46.441-03:002017-06-06T14:50:46.441-03:00Boa tarde Professor. Em relação a configuração nos...Boa tarde Professor. Em relação a configuração nos uplinks para outros switches ( no caso uplinks para os switches de acesso ). é necessário também ativar o dhcp snoofing nos switches de acesso e no trunk dos mesmos com o switche core de rede, certo?<br /><br />Um abraçoAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-70105001006018330282017-03-01T18:17:44.540-03:002017-03-01T18:17:44.540-03:00Esse é o comportamento padrão de uma porta não con...Esse é o comportamento padrão de uma porta não confiável ao receber uma oferta DHCP.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-5897948870816017162017-02-26T17:52:05.196-03:002017-02-26T17:52:05.196-03:00Entendi, mas como meu SG300 tem esse recurso creio...Entendi, mas como meu SG300 tem esse recurso creio que é só questão de sintaxe para ativar.<br />Mais uma coisa...<br />É possível fazer a porta untrust dar Shutdown caso ela receba "ataque" DHCP? Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-58487113105626927062017-02-24T15:01:46.723-03:002017-02-24T15:01:46.723-03:00Não porque essa configuração do artigo é baseada n...Não porque essa configuração do artigo é baseada no sistema IOS presente nos switches profissionais (enterprise) da família Catalyst. O SG nao possui o sistema IOS porque é da linha Small Business (SOHO), ainda que alguns modelos tenham suporte ao recurso DHCP Snooping.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-36949604179235432422017-02-23T20:07:20.319-03:002017-02-23T20:07:20.319-03:00Olá Samuel! Agradeço desde já pela contribuição. G...Olá Samuel! Agradeço desde já pela contribuição. Gostaria de saber se no modelo cisco SG 300 eu posso usar essa mesma configuração? Anonymoushttps://www.blogger.com/profile/03124742816931093700noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-42132110846620087722016-07-12T12:33:42.256-03:002016-07-12T12:33:42.256-03:00ok, muito obrigado verei se funciona e darei um re...ok, muito obrigado verei se funciona e darei um retorno.<br />Anonymoushttps://www.blogger.com/profile/06209204452190736588noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-50553244743196985192016-07-12T11:36:27.304-03:002016-07-12T11:36:27.304-03:00Você deve ativar esse recurso somente nas portas o...Você deve ativar esse recurso somente nas portas onde estão conectados servidores DHCP e também nos uplinks para outros switches, já que nesses pontos serão permitidas as mensagens OFFER do DHCP. Os comandos nas caixas da HP não são exatamente os mesmos, mas são bem parecidos. <br /><br />No caso do HP 4810, você ativa o DHCP Snooping em modo de configuração global e depois configura individualmente as interfaces que são confiáveis. Você deve usar os seguintes comandos:<br /><br />[4810]dhcp-snooping<br />DHCP Snooping is enabled.<br />[4810]int gX/X/X<br />[4810-GigabitEthernetX/X/X]dhcp-snooping trustSamuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-89169276391509841082016-07-12T10:31:50.335-03:002016-07-12T10:31:50.335-03:00Olá professor bom dia, vê se pode me dar uma luz, ...Olá professor bom dia, vê se pode me dar uma luz, tenho 3 switch 3COM HP 4210 com 48 portas no meu rack, tenho que fazer esse procedimento nos 3? esses switchs aceitam esses comandos? Também possuo 18 unidades remotas nesse caso como seria feito? desculpe são muitas as duvidas e ficaria muito agradecido se tivesse alguma resposta, desde já obrigado.Anonymoushttps://www.blogger.com/profile/06209204452190736588noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-88654664339759787182016-05-09T12:28:19.319-03:002016-05-09T12:28:19.319-03:00O Packet Tracer nao tem suporte ao recurso DHCP Sn...O Packet Tracer nao tem suporte ao recurso DHCP Snooping.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-91216389826736734692016-05-09T12:06:36.106-03:002016-05-09T12:06:36.106-03:00Professor Samuel
Não consigo ativar no SW_2960(co...Professor Samuel<br /><br />Não consigo ativar no SW_2960(config)# ip dhcp snooping, no Packet Tracer 6.0.1. Listo ip dhcp ? eme surgem apenas "pool" e "excluded-address"Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-53835008459769798442016-03-13T23:07:16.622-03:002016-03-13T23:07:16.622-03:00O DHCP Snooping é um serviço ativado em switches p...O DHCP Snooping é um serviço ativado em switches para impedir servidores DHCP falsos na rede. Uma vez ativado esse recurso, não faz diferença nenhuma se o servidor legítimo em operação existe em um roteador, um switch, um firewall ou uma máquina tradicional rodando Windows ou Linux.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-9770703032899265652016-02-11T11:25:47.786-02:002016-02-11T11:25:47.786-02:00Professor Samuel, bom dia!
Este recurso pode ser ...Professor Samuel, bom dia!<br /><br />Este recurso pode ser usado para um roteador com a função de DHCP Server habilitado? <br /><br />Ou seja o próprio roteador é o servidor de DHCP, não havendo DHCP externo.<br />Anonymoushttps://www.blogger.com/profile/03033779896664596619noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-78887138560955229312015-12-29T11:32:37.483-02:002015-12-29T11:32:37.483-02:00Sim.Sim.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-12961097689227132952015-12-29T11:21:27.001-02:002015-12-29T11:21:27.001-02:00Eu tb estava com essa duvida, ou seja as portas tr...Eu tb estava com essa duvida, ou seja as portas trunk tem que ser marcadas como trust tb né? até pq as requisições do DHCP vão ser enviadas e recebidas pelas portas tronco, corrreto?Anonymoushttps://www.blogger.com/profile/01547428198566035588noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-90631614769124758202015-03-02T05:28:54.531-03:002015-03-02T05:28:54.531-03:00Sim, os links trunk devem ser confiáveis para que ...Sim, os links trunk devem ser confiáveis para que as mensagens "offer" do(s) servidor(es) DHCP sejam permitidas.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-49192445454428232222015-02-27T23:33:21.706-03:002015-02-27T23:33:21.706-03:00Boa noite, excelente trabalho professor!
Samuel es...Boa noite, excelente trabalho professor!<br />Samuel estou com um dúvidas!<br /><br />Vamos supor em que minha rede, o Servidor DHCP esteja no Switch Core, onde eu tenho vários Switches fazendo uplink com o Switch Core, referente no seu tutorial, as portas de uplinks entre os Switches precisam estar em modo ip dhcp snooping trust?<br />ObrigadoAnonymoushttps://www.blogger.com/profile/13931285861031145712noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-39938687470845655982014-01-27T13:14:11.371-02:002014-01-27T13:14:11.371-02:00Caro Professor Samuel!!
Permita me antes lhe agra...Caro Professor Samuel!!<br /><br />Permita me antes lhe agradecer e parabenizar pelo seu forte espirito profissional e de facto de um professor real. agradeço igualmente pela alerta que faz com relação aquilo que sentiu que deve ser um erros no meu projecto ou desenho da rede do ponto de vista da arquitetura (design).<br /><br />Permite me ihgualmente lhe dizer que sou ligeiramente novo na industria Cisco e somente a alguns meses completei o meu ccna, ccna wireless e ccna security, mas como deve calcular, descrever e perceber os meandros dessa enorme industria leva sempre alguma time.<br /><br />Eu realmente gostaria de lhe poder enviar um pequeno desenho da minha rede que fiz no cisco PT, para que tenha uma ideia mais visivel e lúcida da minha topologia, mas aqui no site nao vejo opçoes de como carregar o mesmo. mas a minha rede é assim:<br /><br />INTERNET»»»ROUETR»»»»ASA»»»»»SWITCH (3740 S)»»»Local LAN...e é apartir desta Switch de core, onde saiem ligaçoes por fibra optica para 4 Racks Diferentes, onde em cada uma das Rack tem entre 4 a 5 Switches todas elas catalyst 2960.<br /><br />1. Nestas Racks, as Switches que estao no Topo das restantes, recebem as ligaçoes em fibra obviamente apartir da Switch Core 3750. ou seja as primeiras 4 Switches que estâo no topo das outras.<br /><br />2. Ja as restantes SW em cada uma das Racks, recebem todas elas um (1) Link (cabo utp) apartir da SW do Topo, para as suas respectivas Portas a Giga, ex na G1... ou seja, da SW do Topo para a segunda SW,....outra vez da SW do Topo para a terceira SW...outra vez da SW to Topo para a quarta SW e assim sucessivamente.<br /><br />Resumindo essa é a forma como os meus dispositivos estão interligados. espero bem que isto ajoda lhe para mais promenores no que diz respeito a essa matéria, da qual gostaria eu de beber muito do seu Know How.<br /><br />Professor Samuel espero que dessa forma, consegui lhe ilustrar e lhe trazer alguma ideia mais clara da minha ligação. (pela é eu nao poder de facto anexar ficheiros para melhor ilustrar).<br /><br />Agradeço uma vez mais seu sentido profissional e de um grande professor.<br /><br />Antes de terminar gostaria lhe dizer que adorei bastante esta passagem em resposta neste post que passo a sitar:<br /><br />" ( Uma rede bem projetada, na medida do possível, deve ser simétrica, de maneira que a quantidade de links dos switches de acesso para o(s) de distribuição seja a mesma em qualquer localização física do ambiente)"<br /><br />Gostaria pois que me desmistificasse estes excelentes termos por outras palavras.<br /><br /><br />ABRÇ<br /><br /><br />Denzel<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-9684790610344544382014-01-26T21:36:08.517-02:002014-01-26T21:36:08.517-02:00Faça uma releitura cuidadosa dos demais artigos qu...Faça uma releitura cuidadosa dos demais artigos que sugeri para começar a ter idéia de algumas boas práticas de projeto, mas não fique limitado apenas aos artigos. É necessário estudar bastante fundamento e boas práticas de projeto para desenhar redes...<br /><br />A princípio sua descrição do ambiente apresenta erros de projeto, cabendo destacar a presença de um único dispositivo de borda (sem redundância) e a ligação assimétrica de switches (cascateamentos). <br /><br />Uma rede bem projetada, na medida do possível, deve ser simétrica, de maneira que a quantidade de links dos switches de acesso para o(s) de distribuição seja a mesma em qualquer localização física do ambiente.<br /><br />Sugiro que você faça o desenho da topologia da sua rede para enxergar melhor seu ambiente e identificar essas falhas que mencionei, antes de partir para qualquer configuração. Não adianta configurar uma rede que apresenta falhas de desenho... Se mesmo assim você não conseguir identificar esses pontos e não sentir confiança para executar o projeto, então a empresa em que você trabalha deve avaliar a contratação de terceiros para fazê-lo.<br /><br />Abraço.Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-13202468221950956452014-01-26T20:42:26.217-02:002014-01-26T20:42:26.217-02:00Caro Professor Samuel..
O meu muito obrigado cara...Caro Professor Samuel..<br /><br />O meu muito obrigado cara.. voce nao imagina o quanto este post sobre dhcp snooping me vai ajudar...muito obrigado mesmo.<br /><br />Estou a ler e ler e ler mais e mais o seu post no link que enviou me sobre STP, mas te garanto que nao está facil entender e ter uma idei em como configurar.<br /><br />Minha rede está:<br /><br />Tenho cerca de 3 Racks e em cada Rack tenho 3 a 5 Switches Catalyst 2960<br />entre elas, a SW que está no TOP distribui o sinal de internet as demais logo abaixo ou seja, se tenho 3 SW, a SW que estiver no TOP é a que recebe o primeiro sinal de internet que vem da rack principal, e as demais 2 ou 3 SW vao pegar o sinal de internet na SW do TOP. e assim sucessivamente para as restantes Racks.<br /><br />Alguma Ideia Professor?<br /><br />Obrigado pela sua grande capacidade de resposta e paciencia.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-16996421362224804102014-01-26T17:26:11.587-02:002014-01-26T17:26:11.587-02:00A melhor maneira de configurar o STP vai depender ...A melhor maneira de configurar o STP vai depender fortemente do arranjo topológico da sua rede. Recomendo a leitura dos links abaixo para você ter uma idéia de algumas práticas comuns:<br /><br /><a href="http://labcisco.blogspot.com.br/2013/09/manipulacao-do-stp-na-otimizacao-de.html" rel="nofollow">Manipulação do STP na Otimização de Redes Layer-2</a><br /><a href="http://labcisco.blogspot.com.br/2013/03/configuracao-de-switch-multi-layer.html" rel="nofollow">Configuração de Switch Layer-3</a>Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-86112270823062595742014-01-26T15:33:03.351-02:002014-01-26T15:33:03.351-02:00Caro Professor Samuel!!
Muito obrigado mesmo pela...Caro Professor Samuel!!<br /><br />Muito obrigado mesmo pela sua rapida resposta (confirmação) da qual agradeço imenso.<br />Apos esta resposta, uma outra questão me vem acima:<br /><br />1. De acordo a mesma topologia acima, como posso configurar o protocolo STP de modos a previnir LOOK na minha rede? "lembrando que tenho mais de 10 switches catalyst 2960 series"<br /><br />Brigado pela atençao<br /><br /><br />DenzelAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-11370188916315738932014-01-26T12:31:02.725-02:002014-01-26T12:31:02.725-02:00Olá Denzel.
Sim, seria essa a configuração, basta...Olá Denzel.<br /><br />Sim, seria essa a configuração, basta você seguir o exemplo do artigo. Em ambientes onde há vários switches você deve ativar o recurso "DHCP Snooping" individualmente em cada dispositivo para que não haja nenhum ponto vulnerável na rede. <br /><br />Abraço.<br />Samuel Britohttps://www.blogger.com/profile/01427342838658721468noreply@blogger.comtag:blogger.com,1999:blog-9205768594884267120.post-78230799104884008712014-01-26T12:10:47.460-02:002014-01-26T12:10:47.460-02:00Olá Caro Samuel!
Nao obstante este Post ser antig...Olá Caro Samuel!<br /><br />Nao obstante este Post ser antigo (ano passado) mas a noticia em si é e sempre será valida a todo tempo...<br /><br />Estou a conhecer o seu site e achei-o super interessante.<br /><br />Relativamente a este Post eu tenho uma duvida.<br /><br />1. Numa Catalyst Switch com 24 portas, e em uma das portas exemplo fa 0/24 está ligado o Servidor DHCP Legitimo ou Confiavel!! e nas restantes portas estao as estaçoes de trabalho (PCs). face a isto como deve ser a minha configuração?<br /><br />Será assim; Ex;<br />Switch(config)#ip dhcp snooping<br />Switch(config)# ip dhcp snooping vlan 1<br />Switch(config)# interface range f0/1 - 23<br />Switch(config)# ip dhcp snooping limit rate 5<br />Switch(config)# interface fa 0/24<br />Switch(config)# ip dhcp snooping trust<br />Switch(config)# end<br /><br />Será isso? isto porque na sua esplanaçao, te referes apenas as portas fa 1 - 10 como untrusted e depois te referes e bem da porta G0/1 como a trusted port.!!<br /><br />2. Agora imagine num ambiente de rede em que eu tenha por exemplo mais de 20 Switches catalyst.... como deve ser a configuraçao? ou basta apenas esta configuraçao inicial na switch em que está ligada direitamente o servidor dhcp??<br /><br />Muito obrigado<br /><br /><br />Até ja.<br /><br />DenzelAnonymousnoreply@blogger.com