Přepínač - Konfigurace funkce DHCP Snooping

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Snooping DHCP: Zabraňte útočníkům nebo uživatelům přidat do sítě vlastní server DHCP a do sítě může přistupovat pouze bílý seznam IP adres. Při použití funkce DHCP snooping můžete umístit server DHCP pouze na "důvěryhodný port". Důvěryhodný port může správce sítě definovat ručně. Všichni klienti mohou získat IP adresu z "důvěryhodného" serveru DHCP. Všechna přiřazení IP adres DHCP se také zaznamenají do interní tabulky nazvané "Snooping Table".

Tato tabulka obsahuje tyto klíčové atributy:

  • MAC adresu
  • ID VLAN
  • IP adresa
  • Číslo portu

Pokud vazba existuje, přepínač paket předá dál, nebo jej zahodí, pokud vazbu nenajde.

Pokud je nyní k síti připojen jiný server DHCP, který se však nachází na "nedůvěryhodném" portu, budou všechny jeho zprávy DHCP na tomto portu zahozeny, a nikdo jiný tak nebude moci získat IP od tohoto neautorizovaného serveru DHCP.

- Nastavení globálního DHCP Snooping
- Nastavení DHCP Snooping pro VLAN
- Co se může pokazit

1) Konfigurace DHCP Snooping

1.1 Konfigurace globálního DHCP Snooping

Přejděte na:

dyn_repppp_0

Zde můžete vidět stav databáze DHCP Snooping po jeho povolení.

Přejděte na:

přejděte na adresu dyn_repppp_1

DHCP VLAN: Vyberte ID VLAN, pokud chcete, aby přepínač předával pakety DHCP serverům DHCP v určité VLAN (VLAN serveru DHCP).

Poznámka: Je třeba také povolit DHCP snooping v DHCP VLAN (VLAN serveru DHCP).

1.2 Konfigurace důvěryhodného portu

Důvěryhodný stav serveru nakonfigurujte tak, že přejdete na stránku:

dyn_repppp_2

Důvěryhodný port: pro porty připojené k serverům DHCP nebo jiným přepínačům.

Nedůvěryhodný port: pro porty připojené ke klientům a nedůvěryhodným serverům DHCP, přičemž přepínač v následujících situacích zahazuje pakety DHCP z nedůvěryhodných portů:

  1. Paket je paket serveru DHCP (například OFFER, ACK nebo NACK).
  2. Zdrojová adresa MAC a zdrojová adresa IP v paketu neodpovídají žádné z aktuálních vazeb.
  3. Paket je paket RELEASE nebo DECLINE a zdrojová adresa MAC a zdrojový port neodpovídají žádné z aktuálních vazeb.
  4. Rychlost, kterou pakety DHCP přicházejí, je příliš vysoká.

Poznámka: zadejte maximální počet paketů DHCP (1-2048), které přepínač přijímá z každého portu každou sekundu. Přepínač zahodí všechny další pakety DHCP. Zadáním 0 tento limit zakážete, což se doporučuje u důvěryhodných portů.

1.3 Konfigurace DHCP Snooping pro VLAN

Než budete moci správně zprovoznit DHCP snooping pro vaši VLAN, musíte nakonfigurovat konfiguraci DHCP Snooping VLAN.

Přejděte na následující stránku:

dyn_repppp_3

1.4 Uložte konfiguraci

Při konfiguraci nezapomeňte uložit konfiguraci. Pokud konfiguraci neuložíte, vrátí se po restartu přepínače zpět na předchozí konfiguraci.

1.4 Co se může pokazit

Někdy se může stát, že DHCP snooping nefunguje správně, níže naleznete důvod, proč tomu tak je a jak to vyřešit:

Pokud jste na stránce konfigurace přepínače aktivovali funkci DHCP Snooping.

2018-11-20_131431.jpg

A také podle toho nastavte důvěryhodné a nedůvěryhodné porty:

2018-11-14_144803.jpg

Stále však dostává IP adresu z nelegitimního serveru DHCP, která není z portu 10.

Proč snooping DHCP nefunguje správně?

Chcete-li zprovoznit DHCP Snooping, musíte v pravém horním rohu vybrat VLAN.

2018-11-14_150441.jpg

Povolte VLAN, ve které chcete implementovat DHCP Snooping.

2018-11-14_150555.jpg

2) Konfigurace funkce DHCP Snooping ve starším grafickém uživatelském rozhraní

Pokročilé aplikace > IP Source Guard > Nastavení IPv4 Source Guard > DHCP Snooping > Konfigurace.

mceclip3.png

DHCP VLAN: Vyberte ID VLAN, pokud chcete, aby přepínač předával pakety DHCP serverům DHCP v určité VLAN (VLAN serveru DHCP).

Poznámka: Je nutné povolit DHCP snooping také v DHCP VLAN (VLAN serveru DHCP).

Jak nastavit důvěryhodný port

  • Pokročilé aplikace > IP Source Guard > Nastavení IPv4 Source Guard > DHCP Snooping > Konfigurace > Pmceclip1.png.

Důvěryhodný port: pro porty připojené k serverům DHCP nebo jiným přepínačům.

Nedůvěryhodný port: pro porty připojené ke klientům a nedůvěryhodným serverům DHCP a přepínač zahazuje pakety DHCP z nedůvěryhodných portů v následujících situacích:

  1. Paket je paket serveru DHCP (například OFFER, ACK nebo NACK).
  2. Zdrojová adresa MAC a zdrojová adresa IP v paketu neodpovídají žádné z aktuálních vazeb.
  3. Paket je paket RELEASE nebo DECLINE a zdrojová adresa MAC a zdrojový port neodpovídají žádné z aktuálních vazeb.
  4. Rychlost, kterou pakety DHCP přicházejí, je příliš vysoká.

Poznámka: zadejte maximální počet paketů DHCP (1-2048), které přepínač přijímá z každého portu každou sekundu. Přepínač zahodí všechny další pakety DHCP. Zadáním 0 tento limit zakážete, což se doporučuje u důvěryhodných portů.

Jak nastavit DHCP Snooping pro VLAN

  • Pokročilé aplikace > IP Source Guard > Nastavení IPv4 Source Guard > DHCP Snooping > Konfigurace > VLAN.

mceclip2.png

Co může být špatně:

Níže naleznete důvody, proč a jak je vyřešit: Na stránce konfigurace přepínače jsem aktivoval funkci DHCP Snooping.

2018-11-20_131431.jpg

A podle toho jsem také nastavil důvěryhodné a nedůvěryhodné porty.

2018-11-14_144803.jpg

Stále však dostává IP adresu z nelegitimního serveru DHCP, která není z portu 10.

Proč snooping DHCP nefunguje správně?

Průvodce krok za krokem

Chcete-li zprovoznit DHCP Snooping, musíte v pravém horním rohu vybrat VLAN.

2018-11-14_150441.jpg

Povolte VLAN, ve které chcete implementovat DHCP Snooping.

2018-11-14_150555.jpg

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

K článku není možné přidávat komentáře.