Vigtig meddelelse: |
DHCP Snooping: Forhindrer angribere eller brugere i at tilføje deres egen DHCP-server til netværket, og kun en hvidliste af IP-adresser kan få adgang til netværket. Når du bruger DHCP snooping, kan du kun placere DHCP-serveren på en "Trusted Port". Tillidsporten kan defineres manuelt af netværksadministratoren. Alle klienter kan få IP-adressen fra den "betroede" DHCP-server. Alle DHCP IP-adressetildelinger vil også blive registreret i en intern tabel kaldet "Snooping Table".
Denne tabel indeholder disse nøgleattributter:
- MAC-adresse
- VLAN ID
- IP-adresse
- Portnummer
Hvis der er en binding, videresender switchen pakken eller kasserer den, hvis der ikke kan findes en binding.
Hvis der nu er en anden DHCP-server forbundet til netværket, men er placeret på en "untrusted" port, vil alle dens DHCP-meddelelser blive kasseret på den port, og dermed vil ingen andre være i stand til at få IP fra denne uautoriserede DHCP-server.
- Opsætning af global DHCP Snooping
- Opsætning af DHCP Snooping for VLAN
- Hvad der kan gå galt
1) Konfigurer DHCP Snooping
1.1 Konfigurer global DHCP Snooping
Naviger til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status
Her kan du se databasestatus for din DHCP Snooping, efter du har aktiveret den.
Naviger til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup
DHCP VLAN: Vælg et VLAN-ID, hvis du vil have switchen til at videresende DHCP-pakker til DHCP-servere på et specifikt VLAN (DHCP-serverens VLAN).
Bemærk: Du skal også aktivere DHCP snooping på DHCP VLAN (DHCP-serverens VLAN).
1.2 Konfigurer betroet port
Konfigurer serverens betroede tilstand ved at navigere til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup
Trusted port: for porte, der er forbundet til DHCP-servere eller andre switche.
Untrusted port: for porte, der er forbundet til klienter og ikke-betroede DHCP-servere, og switchen kasserer DHCP-pakker fra ikke-betroede porte i følgende situationer:
- Pakken er en DHCP-serverpakke (f.eks. OFFER, ACK eller NACK).
- Kilde-MAC-adressen og kilde-IP-adressen i pakken matcher ikke nogen af de aktuelle bindinger.
- Pakken er en RELEASE- eller DECLINE-pakke, og kilde-MAC-adressen og kildeporten matcher ikke nogen af de aktuelle bindinger.
- Hastigheden, hvormed DHCP-pakker ankommer, er for høj.
Bemærk: Angiv det maksimale antal DHCP-pakker (1-2048), som switchen modtager fra hver port hvert sekund. Switchen kasserer alle yderligere DHCP-pakker. Indtast 0 for at deaktivere denne grænse, hvilket anbefales til betroede porte.
1.3 Konfigurer DHCP Snooping til VLAN
Før du kan få DHCP Snooping til at fungere korrekt for dit VLAN, skal du konfigurere DHCP Snooping VLAN-konfigurationen.
Naviger til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup
1.4 Gem din konfiguration
Glem ikke at gemme din konfiguration, når du er færdig med at konfigurere. Hvis du ikke gemmer konfigurationen, vil den vende tilbage til den tidligere konfiguration, når du genstarter switchen.
1.4 Hvad der kan gå galt
Nogle gange fungerer DHCP snooping ikke korrekt. Nedenfor kan du finde en grund til det, og hvordan du løser det:
Hvis du har aktiveret DHCP Snooping på switchens konfigurationsside.
Og indstil også betroede og ikke-betroede porte i overensstemmelse hermed:
Men den får stadig en IP fra en uægte DHCP-server, som ikke er fra port 10.
Hvorfor fungerer DHCP snooping ikke korrekt?
For at få DHCP Snooping til at fungere, skal du vælge VLAN øverst til højre.
Aktivér det VLAN, du gerne vil implementere DHCP Snooping på.
2) Konfigurer DHCP Snooping i den gamle GUI
Avanceret program > IP Source Guard > IPv4 Source Guard-opsætning > DHCP Snooping > Konfigurer
DHCP VLAN: Vælg et VLAN-ID, hvis du vil have switchen til at videresende DHCP-pakker til DHCP-servere på et specifikt VLAN (DHCP-serverens VLAN).
Bemærk: Du skal også aktivere DHCP snooping på DHCP VLAN (DHCP-serverens VLAN).
Sådan opsætter du Trusted Port
- Avanceret program > IP Source Guard > IPv4 Source Guard-opsætning > DHCP Snooping > Konfigurer > P
Trustedport: til porte, der er forbundet til DHCP-servere eller andre switche.
Ikke-betroet port: for porte forbundet til klienter og ikke-betroede DHCP-servere, og switchen kasserer DHCP-pakker fra ikke-betroede porte i følgende situationer:
- Pakken er en DHCP-serverpakke (f.eks. OFFER, ACK eller NACK).
- Kilde-MAC-adressen og kilde-IP-adressen i pakken matcher ikke nogen af de aktuelle bindinger.
- Pakken er en RELEASE- eller DECLINE-pakke, og kilde-MAC-adressen og kildeporten matcher ikke nogen af de aktuelle bindinger.
- Hastigheden, hvormed DHCP-pakker ankommer, er for høj.
Bemærk: Angiv det maksimale antal DHCP-pakker (1-2048), som switchen modtager fra hver port hvert sekund. Switchen kasserer alle yderligere DHCP-pakker. Indtast 0 for at deaktivere denne grænse, hvilket anbefales til betroede porte.
Sådan opsættes DHCP Snooping til VLAN
- Avanceret program > IP Source Guard > IPv4 Source Guard-opsætning > DHCP Snooping > Konfigurer > VLAN
Hvad kan gå galt?
Nogle gange fungerer DHCP snooping ikke korrekt, nedenfor kan du finde en grund til hvorfor og hvordan du løser det: Jeg har aktiveret DHCP Snooping på switchens konfigurationsside.
Og jeg har også indstillet betroede og ikke-betroede porte i overensstemmelse hermed.
Men den får stadig en IP fra en illegitim DHCP-server, som ikke er fra port 10.
Hvorfor fungerer DHCP snooping ikke korrekt?
Trin for trin-guide
For at få DHCP Snooping til at fungere, skal du vælge VLAN øverst til højre.
Aktivér det VLAN, du gerne vil implementere DHCP Snooping på.