Превключвател - Конфигуриране на DHCP Snooping

DHCP Snooping: Как да се справим с тази задача? Предотвратява добавянето на собствени DHCP сървъри към мрежата от страна на нападатели или потребители и достъп до мрежата има само бял списък с IP адреси. Когато използвате DHCP snooping, можете да поставите DHCP сървъра само на "доверен порт". Доверителният порт може да бъде определен ръчно от мрежовия администратор. Всички клиенти могат да получат IP адрес от "доверения" DHCP сървър. Всички назначения на IP адреси от DHCP също ще бъдат записвани във вътрешна таблица, наречена "Таблица за снупинг".

Тази таблица съдържа тези ключови атрибути:

• MAC адрес
• VLAN ID
• IP адрес
• Номер на порт

Ако има свързване, комутаторът препраща пакета или го отхвърля, ако не може да бъде намерено свързване.

Сега, ако има друг DHCP сървър, свързан към мрежата, но е разположен на "недоверен" порт, всички негови DHCP съобщения ще бъдат отхвърлени на този порт и по този начин никой друг няма да може да получи IP от този неоторизиран DHCP сървър.

- Настройка на глобален DHCP Snooping
- Настройка на DHCP Snooping за VLAN
- Какво може да се обърка

1) Конфигуриране на DHCP Snooping

1.1 Конфигуриране на глобалния DHCP Snooping

Навигирайте до:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Тук можете да видите състоянието на базата данни на вашия DHCP Snooping след активирането му.

Навигирайте до:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN: Изберете идентификатор на VLAN, ако искате комутаторът да препраща DHCP пакети към DHCP сървъри в определена VLAN (VLAN на DHCP сървъра).

Забележка: Трябва също така да разрешите DHCP snooping и в DHCP VLAN (VLAN на DHCP сървъра).

1.2 Конфигуриране на доверен порт

Конфигурирайте довереното състояние на сървъра, като преминете към:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Trusted port (Доверен порт): за портове, свързани с DHCP сървъри или други комутатори.

Untrusted port (Недоверен порт): за портове, свързани с клиенти и недоверени DHCP сървъри, като комутаторът отхвърля DHCP пакети от недоверени портове в следните ситуации:

1. Пакетът е пакет на DHCP сървър (например OFFER, ACK или NACK).
2. MAC адресът на източника и IP адресът на източника в пакета не съвпадат с нито едно от текущите свързвания.
3. Пакетът е пакет RELEASE или DECLINE и MAC адресът на източника и изходният порт не съвпадат с нито едно от текущите свързвания.
4. Скоростта, с която пристигат DHCP пакетите, е твърде висока.

Забележка: посочете максималния брой за DHCP пакети (1-2048), които комутаторът получава от всеки порт всяка секунда. Превключвателят отхвърля всички допълнителни DHCP пакети. Въведете 0, за да деактивирате това ограничение, което се препоръчва за доверени портове.

1.3 Конфигуриране на DHCP Snooping за VLAN

Преди да можете да накарате DHCP Snooping да работи правилно за вашата VLAN, трябва да конфигурирате конфигурацията на DHCP Snooping за VLAN.

Навигирайте до:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Запазване на конфигурацията

Не забравяйте да запазите конфигурацията си, когато извършвате конфигуриране. Ако не запазите конфигурацията, тя ще се върне към предишната конфигурация, когато рестартирате комутатора.

1.4 Какво може да се обърка

Понякога DHCP snooping може да не работи правилно, по-долу можете да намерите причината за това и как да я разрешите:

Ако сте активирали DHCP Snooping на страницата за конфигуриране на комутатора.

И също така задайте съответно доверени и недоверени портове:

За да заработи DHCP Snooping, трябва да изберете VLAN в горния десен ъгъл.

Активирайте VLAN, в която искате да приложите DHCP Snooping.

2) Конфигуриране на DHCP Snooping в стария графичен потребителски интерфейс

Разширено приложение > IP Source Guard (Защита на източника) > Настройка на IPv4 Source Guard (Защита на източника) > DHCP Snooping (Снупинг на DHCP) > Конфигуриране

DHCP VLAN: Изберете идентификатор на VLAN, ако искате комутаторът да препраща DHCP пакети към DHCP сървъри в определена VLAN (VLAN на DHCP сървъра).

Забележка: Трябва също така да разрешите DHCP snooping и в DHCP VLAN (VLAN на DHCP сървъра).

Как да настроите доверен порт

• Разширено приложение > IP Source Guard (Защита на източника на IPv4) > Настройка на IPv4 Source Guard (Защита на източника на IPv4) > DHCP Snooping (Снупинг на DHCP) > Конфигуриране > P

Доверен порт: за портове, свързани с DHCP сървъри или други комутатори.

Недоверен порт: за портове, свързани с клиенти и недоверени DHCP сървъри, като комутаторът отхвърля DHCP пакети от недоверени портове в следните ситуации:

1. Пакетът е пакет на DHCP сървър (например OFFER, ACK или NACK).
2. MAC адресът на източника и IP адресът на източника в пакета не съвпадат с нито едно от текущите свързвания.
3. Пакетът е пакет RELEASE или DECLINE и MAC адресът на източника и изходният порт не съвпадат с нито едно от текущите свързвания.
4. Скоростта, с която пристигат DHCP пакетите, е твърде висока.

Забележка: посочете максималния брой за DHCP пакети (1-2048), които комутаторът получава от всеки порт всяка секунда. Превключвателят отхвърля всички допълнителни DHCP пакети. Въведете 0, за да деактивирате това ограничение, което се препоръчва за доверени портове.

Как да настроите DHCP Snooping за VLAN

• Разширено приложение > IP Source Guard (Охрана на източника на IPv4) > Настройка на IPv4 Source Guard (Охрана на източника на IPv4) > DHCP Snooping (Снупуване на DHCP) > Конфигуриране > VLAN (VLAN)

Какво може да се обърка:

Понякога DHCP snooping може да не работи правилно, по-долу можете да намерите причината за това и как да я разрешите: Активирах DHCP Snooping на страницата за конфигуриране на комутатора.

Също така съм задал съответно доверени и недоверени портове.

За да заработи DHCP Snooping, трябва да изберете VLAN в горния десен ъгъл.

Активирайте VLAN, в която искате да приложите DHCP Snooping.