Wifi Ubiquiti
Wifi UniFi
Wifi Ruckus
WiFi Huawei
Wifi Meraki
Wifi Aruba
Wifi Grandstream
Wifi Ruijie
Wifi Extreme
Wifi MikroTik
Wifi EnGenius
Wifi Cambium
Wifi LigoWave
Wifi Fortinet
WiFi Everest
WiFi H3C
Router Draytek
Router Teltonika
Barracuda Load Balancer ADC
Router Cisco
Load Balancing Kemp
Load Balancing Peplink
Router HPE
Load Balancing FortiADC 
Switch Ruckus
Firewall Netgate
Firewall Palo Alto
Firewall WatchGuard
Firewall Sophos
Firewall SonicWall
Firewall FortiNAC
Firewall Fortiweb
Firewall Zyxel
Thiết bị lưu trữ NAS Synology
Thiết bị lưu trữ NAS QNAP
Thiết bị lưu trữ TerraMaster
Thiết bị lưu trữ ASUSTOR
Dell EMC Data Storage
Ổ cứng Toshiba
Ổ cứng Seagate
SSD Samsung Enterprise
Ổ cứng Western Digital
RAM Server
HDD Server
Phụ kiện Server
Modem Gateway 3G/4G/5G công nghiệp
Bộ phát wifi công nghiệp
Switch công nghiệp
Router 3G/4G/5G công nghiệp
LoRaWan
Máy tính công nghiệp
Firewall công nghiệp
Camera giám sát
Tổng đài - điện thoại IP
Hệ thống âm thanh
Hệ thống kiểm soát ra vào
Phụ kiện Teltonika
License
Module, Phụ kiện quang
Adapter & nguồn PoE
Trong quá trình vận hành hệ thống mạng, không ít quản trị viên gặp phải tình trạng xuất hiện DHCP Server giả mạo khiến thiết bị người dùng nhận sai địa chỉ IP, mất kết nối hoặc tiềm ẩn nhiều rủi ro bảo mật. Để hạn chế những sự cố này, DHCP Snooping là một trong những tính năng bảo mật quan trọng được tích hợp trên các thiết bị switch MikroTik, giúp kiểm soát chặt chẽ lưu lượng DHCP trong mạng, chỉ cho phép các DHCP Server hợp lệ cấp phát địa chỉ IP cho người dùng. Sau đây, Việt Tuấn sẽ hướng dẫn chi tiết cấu hình DHCP Snooping trên Switch MikroTik để giúp hệ thống mạng hoạt động ổn định và an toàn hơn.
DHCP Snooping là gì?
DHCP Snooping là một tính năng bảo mật ở Layer 2, có chức năng giám sát các luồng lưu lượng DHCP trong mạng nội bộ để đảm bảo rằng chỉ có DHCP Server chính thống mới được phép cấp IP cho người dùng.
Nếu không bật DHCP Snooping, hệ thống mạng của bạn sẽ rất dễ gặp phải 2 rủi ro lớn:
- Tình trạng cắm nhầm thiết bị: Người dùng mang một cục Router Wifi từ nhà đến cắm vào mạng cơ quan, Router đó tự động cấp dải IP lạ khiến các máy tính khác bị mất mạng hoặc trùng IP.
- Tấn công giả mạo Gateway: Kẻ gian có thể giả lập một DHCP Server để cấp IP và tự nhận mình là Gateway mặc định hoặc DNS giả, từ đó đánh cắp toàn bộ các gói tin nhạy cảm (Email, tài khoản...) chạy qua máy của họ.
Sơ đồ thiết kế hệ thống DHCP Snooping trên Switch Mikrotik
Sơ đồ giả lập GNS3
- Router chính (MikroTik): Cấp dải IP chuẩn (Ví dụ: 172.16.10.0/24).
- Switch chính (MikroTik): Thiết bị sẽ cấu hình DHCP Snooping.
- Cổng ether1: Cổng Uplink nối trực tiếp lên Router chính.
- Cổng ether2, ether3...: Các cổng kết nối xuống các máy tính Client.
- Router giả mạo (Rogue Router): Thiết bị lạ cố tình cắm vào một cổng bất kỳ trên Switch để phát dải IP cùng dải với Router của hệ thống bạn, làm dán đoạn và gây mất mạng hoặc là cố tình đẩy traffic qua Router giả mạo để lấy dữ liệu từ traffic đó
Cổng ether8: Cổng Uplink nối trực tiếp lên Router giả mạo.
Các bước cấu hình trên WinBox (MikroTik)
Để cấu hình, bạn truy cập vào cấu hình của con Switch MikroTik thông qua phần mềm WinBox và làm theo các bước sau:
Bước 1: Kích hoạt DHCP Snooping trên Bridge chính
Trên Switch MikroTik bạn đã tạo sẵn một giao diện Bridge (ví dụ tên là BridgeLan) và gộp tất cả các cổng vào trong Bridge này.
Bạn hãy thực hiện các bước sau:
- Chọn mục Bridge ở menu bên trái.
- Tại tab Bridge, kích đúp chuột vào tên Bridge chính của bạn (ví dụ: BridgeLan).
- Ở cửa sổ hiện ra, tích chọn vào ô DHCP Snooping.
- Nhấn Apply và OK.
Theo mô hình thì các bạn sẽ thấy cổng ether 1 là cổng UPLINK với Router chính. Vì vậy mình sẽ cấu hình Trusted cổng UPLINK.
Bước 2: Thiết lập Trust Port cho Router chính
Bạn cần chỉ định cổng nào nối với Router cấp IP thật để cho phép luồng DHCP đi qua cổng đó.
Thực hiện các bước sau:
- Vẫn trong cửa sổ Bridge, bạn chuyển sang tab Ports.
- Click vào cổng đang kết nối trực tiếp với Router chính (Trong ví dụ là cổng ether1 - Cổng Uplink).
- Chuyển sang tab General hoặc tab cấu hình cổng tùy phiên bản RouterOS. Tích chọn vào ô Trust.
- Nhấn Apply và OK.
Kiểm tra kết quả hoạt động
Sau khi cấu hình xong bộ đôi quy tắc này. Bạn bật DHCP Snooping trên Bridge và tích chọn Trust cho cổng Uplink.
Và lưu ý:
- Các máy tính Client khi xin cấp IP sẽ chỉ nhận được dải IP chuẩn 172.16.10.x do Router chính cấp.
- Nếu Router giả mạo cố tình phát gói tin DHCP cấp mạng vào hệ thống thông qua các cổng khác, Switch MikroTik sẽ kiểm tra xem cổng đó có được bật thuộc tính Trust hay không. Do cổng đó là cổng thông thường (Untrust), Switch sẽ lập tức drop (chặn đứng) hoàn toàn gói tin cấp IP lậu đó, giúp bảo vệ an toàn tuyệt đối cho toàn hệ thống mạng.
Kết luận
DHCP Snooping là một tính năng bảo mật quan trọng giúp ngăn chặn DHCP Server giả mạo, bảo vệ hệ thống mạng khỏi các nguy cơ cấp phát IP trái phép và nâng cao độ ổn định trong quá trình vận hành. Hy vọng những hướng dẫn trong bài viết sẽ giúp bạn triển khai tính năng này một cách dễ dàng và hiệu quả. Nếu cần tư vấn giải pháp mạng MikroTik, WiFi doanh nghiệp, Switch, Router hoặc các hệ thống lưu trữ NAS cho doanh nghiệp, hãy liên hệ Việt Tuấn để được đội ngũ kỹ sư giàu kinh nghiệm hỗ trợ ngay nhé!
![[FULL] Tổng hợp tài liệu CCNA tiếng Việt (từ cơ bản tới nâng cao)](https://viettuans.vn/uploads/2023/01/tu-lieu-ccna-tieng-viet.jpg)
Bài viết hay, rất hữu ích.