DHCP-Snooping

DHCP-Snooping: Verhindern Sie, dass Angreifer oder Benutzer ihren eigenen DHCP-Server zum Netzwerk hinzufügen und nur eine Whitelist von IP-Adressen auf das Netzwerk zugreifen darf. Wenn Sie DHCP-Snooping verwenden, können Sie den DHCP-Server nur auf einem „Trusted Port“ platzieren. Der Trust Port kann vom Netzwerkadministrator manuell definiert werden. Alle Clients können die IP-Adresse vom „vertrauenswürdigen“ DHCP-Server beziehen. Alle DHCP-IP-Adresszuweisungen werden auch in einer internen Tabelle namens „Snooping Table“ aufgezeichnet.

Diese Tabelle enthält diese Schlüsselattribute:

• MAC-Adresse
• VLAN-ID
• IP Adresse
• Port Nummer

Wenn eine Bindung besteht, leitet der Switch das Paket weiter oder verwirft es, wenn keine Bindung gefunden werden kann.

Wenn nun ein anderer DHCP-Server mit dem Netzwerk verbunden ist, sich aber auf einem „nicht vertrauenswürdigen“ Port befindet, werden alle seine DHCP-Nachrichten auf diesem Port verworfen und somit kann niemand anderes IP von diesem nicht autorisierten DHCP beziehen Server.

- Globales DHCP-Snooping einrichten
- DHCP-Snooping für VLAN einrichten
- Was kann schief gehen

So richten Sie globales DHCP-Snooping ein

• Erweiterte Anwendung > IP Source Guard > IPv4 Source Guard-Setup > DHCP-Snooping > Konfigurieren

DHCP-VLAN: Wählen Sie eine VLAN-ID aus, wenn der Switch DHCP-Pakete an DHCP-Server in einem bestimmten VLAN (VLAN des DHCP-Servers) weiterleiten soll.

Hinweis: Sie müssen auch DHCP-Snooping im DHCP-VLAN (VLAN des DHCP-Servers) aktivieren .

So richten Sie vertrauenswürdiges Port ein

• Erweiterte Anwendung > IP Source Guard > IPv4 Source Guard-Setup > DHCP-Snooping > Konfigurieren > P

Vertrauenswürdiger Port: für Ports, die mit DHCP-Servern oder anderen Switches verbunden sind.

Nicht vertrauenswürdiger Port: für Ports, die mit Clients und nicht vertrauenswürdigen DHCP-Servern verbunden sind, und der Switch verwirft DHCP-Pakete von nicht vertrauenswürdigen Ports in den folgenden Situationen:

1. Das Paket ist ein DHCP-Serverpaket (z. B. OFFER, ACK oder NACK).
2. Die Quell-MAC-Adresse und Quell-IP-Adresse im Paket stimmen mit keiner der aktuellen Bindungen überein.
3. Das Paket ist ein RELEASE- oder DECLINE-Paket, und die Quell-MAC-Adresse und der Quellport stimmen mit keiner der aktuellen Bindungen überein.
4. Die Rate, mit der DHCP-Pakete ankommen, ist zu hoch.

Hinweis: Geben Sie die maximale Anzahl für DHCP-Pakete (1-2048) an, die der Switch jede Sekunde von jedem Port empfängt. Der Switch verwirft alle zusätzlichen DHCP-Pakete. Geben Sie 0 ein, um dieses Limit zu deaktivieren, das für vertrauenswürdige Ports empfohlen wird.

So richten Sie DHCP-Snooping für VLAN ein

• Erweiterte Anwendung > IP Source Guard > IPv4 Source Guard-Setup > DHCP-Snooping > Konfigurieren > VLAN

Was kann schief gehen:

Manchmal funktioniert DHCP-Snooping nicht richtig. Nachfolgend finden Sie einen Grund dafür und wie Sie es lösen können: Ich habe DHCP-Snooping auf der Switch-Konfigurationsseite aktiviert.

Und ich habe auch vertrauenswürdige und nicht vertrauenswürdige Ports entsprechend eingestellt.

Damit DHCP-Snooping funktioniert, müssen Sie oben rechts VLAN auswählen.

Aktivieren Sie das VLAN, in dem Sie DHCP-Snooping implementieren möchten.

HAFTUNGSAUSSCHLUSS:

Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion