Senin, Oktober 12, 2009

DHCP Server Screening

Masalah yang sering bikin pusing para network administrator (terutama di jaringan dengan skala menengah sampai atas) adalah adanya illegal DHCP server. Misalnya ada seorang staff pada perusahaan XYZ (sebut saja si Jono) dari satu departemen yang baru membeli home router untuk dirumah dan mencobanya dikantor. Namun tanpa sengaja (walaupun ada kasus yang melakukan ini dengan sengaja hehehe, anda bisa tebak motif-nya apa :-D), dia menghubungkan router dengan jaringan kantor melalui port LAN router. Apa yang terjadi? Router si Jono akan broadcast paket DHCP offer (karena by default hampir semua home router mengaktifkan DHCP server) pada jaringan perusahaan XYZ tsb, shg bila ada PC/Laptop yang baru bergabung atau melakukan renew IP, akan mendapat IP dari router si Jono dan Bukan dari DHCP server perusahaan. Akibatnya tentu fatal, PC/Laptop itu menjadi tidak bisa akses kemana2 karena IP-nya berbeda dengan yang semestinya.

Apa yang terjadi selanjutnya? telepon Desktop Support Engineer pasti tidak berhenti berbunyi :-). Coba kita bayangkan ini terjadi di satu perusahaan dengan 2000 PC, memang tidak semua terkena karena umumnya pada perusahaan besar dibagi per vlan, namun satu vlan bisa berisi 100-200 PC, jadi tetap saja ini problem besar.

Layout sederhana-nya spt ini :



Pada layout tsb si Laptop akan mempunyai 2 kemungkinan yaitu dapat IP dari DHCP Server yang legal atau yang illegal tergantung siapa yang cepat dalam me-respond paket DHCP. Bila kita liat isi paket yang diterima oleh si Laptop akan ada 2 paket DHCP Offer dari 2 DHCP server yang berbeda (DHCP Server Legal : 192.168.10.1, DHCP Server Illegal : 192.168.0.1) :



Untuk mencegah ini D-Link xStack Managed Switch mempunyai satu fitur yang disebut DHCP Server Screening. Fitur ini akan mem-blok paket DHCP sehingga dapat mencegah terjadinya illegal DHCP server.

Dalam contoh ini saya gunakan DES-3528 dgn fw 2.11B028 :



Layout yang digunakan masih sama dengan yang diatas.

Saya aktifkan DHCP Server Screening pada semua access port yaitu 1-24 :



Kemudian verifikasi apakah sudah aktif di port 1-24 :



Setelah itu Save.

Maka Illegal DHCP Server itu akan otomatis ter-blok :



Pada sisi Laptop hanya akan "melihat" paket DHCP Offer dari DHCP Server yang legal :



Fitur ini juga berguna untuk ISP yang mempunyai jaringan Metro-Ethernet, shg bila customer salah colok port ke port LAN pada router, DHCP paket dari router tidak membanjiri network ISP.

Ada pun seri D-Link xStack yang sudah support fitur ini adalah :

- DES-3500 Series
- DES-3528 Series
- DGS-3200 Series
- DGS-3400 Series
- DGS-3600 Series
- DGS-3700 Series

Happy Filtering :-) !!

Tidak ada komentar: