Schalter - DHCP-Snooping konfigurieren

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

DHCP-Snooping: Verhindern Sie, dass Angreifer oder Benutzer ihre eigenen DHCP-Server zum Netzwerk hinzufügen und nur eine Whitelist von IP-Adressen auf das Netzwerk zugreifen kann. Wenn Sie DHCP Snooping verwenden, können Sie den DHCP Server nur an einem "Trusted Port" platzieren. Der vertrauenswürdige Port kann vom Netzwerkadministrator manuell festgelegt werden. Alle Clients können die IP-Adresse von dem "vertrauenswürdigen" DHCP-Server beziehen. Alle DHCP-IP-Adresszuweisungen werden außerdem in einer internen Tabelle, der "Snooping-Tabelle", gespeichert.

Diese Tabelle enthält die folgenden Schlüsselattribute:

  • MAC-Adresse
  • VLAN-KENNUNG
  • IP-Adresse
  • Anschlussnummer

Wenn es eine Bindung gibt, leitet der Switch das Paket weiter oder verwirft es, wenn keine Bindung gefunden werden kann.

Wenn nun ein anderer DHCP-Server mit dem Netzwerk verbunden ist, der sich jedoch an einem "nicht vertrauenswürdigen" Port befindet, werden alle seine DHCP-Nachrichten an diesem Port verworfen, so dass niemand mehr in der Lage ist, IP von diesem nicht autorisierten DHCP-Server zu erhalten.

- Globales DHCP-Snooping einrichten
- DHCP-Snooping für VLAN einrichten
- Was kann schiefgehen?

1) DHCP-Snooping konfigurieren

1.1 Globales DHCP-Snooping konfigurieren

Navigieren Sie zu: 

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Hier können Sie den Datenbankstatus Ihres DHCP-Snooping nach dessen Aktivierung sehen.

Navigieren Sie zu: 

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN: Wählen Sie eine VLAN-ID, wenn der Switch DHCP-Pakete an DHCP-Server in einem bestimmten VLAN (VLAN des DHCP-Servers) weiterleiten soll.

Hinweis: Sie müssen auch DHCP-Snooping auf dem DHCP-VLAN (VLAN des DHCP-Servers) aktivieren.

1.2 Konfigurieren Sie den vertrauenswürdigen Port

Konfigurieren Sie den vertrauenswürdigen Status des Servers, indem Sie zu navigieren: 

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Vertrauenswürdiger Port: für Ports, die mit DHCP-Servern oder anderen Switches verbunden sind.

Nicht vertrauenswürdiger Port: für Ports, die mit Clients und nicht vertrauenswürdigen DHCP-Servern verbunden sind, und der Switch verwirft DHCP-Pakete von nicht vertrauenswürdigen Ports in den folgenden Situationen:

  1. Das Paket ist ein DHCP-Server-Paket (z. B. OFFER, ACK oder NACK).
  2. Die MAC-Quelladresse und die IP-Quelladresse des Pakets stimmen nicht mit einer der aktuellen Bindungen überein.
  3. Das Paket ist ein RELEASE- oder DECLINE-Paket, und die Quell-MAC-Adresse und der Quell-Port stimmen mit keiner der aktuellen Bindungen überein.
  4. Die Rate, mit der DHCP-Pakete ankommen, ist zu hoch.

Hinweis: Geben Sie die maximale Anzahl von DHCP-Paketen (1-2048) an, die der Switch pro Sekunde von jedem Anschluss empfängt. Der Switch verwirft alle weiteren DHCP-Pakete. Geben Sie 0 ein, um dieses Limit zu deaktivieren, was für vertrauenswürdige Ports empfohlen wird.

1.3 Konfigurieren von DHCP-Snooping für VLAN

Bevor Sie DHCP Snooping für Ihr VLAN einrichten können, müssen Sie die DHCP Snooping VLAN-Konfiguration vornehmen.

Navigieren Sie zu:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Speichern Sie Ihre Konfiguration

Vergessen Sie nicht, Ihre Konfiguration zu speichern, wenn Sie die Konfiguration vornehmen. Wenn Sie die Konfiguration nicht speichern, wird sie beim Neustart des Switches auf die vorherige Konfiguration zurückgesetzt.

1.4 Was schief gehen kann

Manchmal kann es vorkommen, dass DHCP-Snooping nicht richtig funktioniert. Im Folgenden finden Sie die Gründe dafür und wie Sie das Problem lösen können:

Wenn Sie DHCP Snooping in der Switch-Konfigurationsseite aktiviert haben.

2018-11-20_131431.jpg

Legen Sie außerdem vertrauenswürdige und nicht vertrauenswürdige Ports entsprechend fest:

2018-11-14_144803.jpg

Er erhält jedoch immer noch eine IP von einem nicht zugelassenen DHCP-Server, die nicht von Port 10 stammt.

Warum funktioniert DHCP-Snooping nicht richtig?

Um DHCP Snooping zum Laufen zu bringen, müssen Sie oben rechts VLAN auswählen.

2018-11-14_150441.jpg

Aktivieren Sie das VLAN, in dem Sie DHCP Snooping implementieren möchten.

2018-11-14_150555.jpg

2) Konfigurieren Sie DHCP Snooping auf der Legacy-GUI

Erweiterte Anwendung > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Konfigurieren

mceclip3.png

DHCP VLAN: Wählen Sie eine VLAN-ID, wenn der Switch DHCP-Pakete an DHCP-Server in einem bestimmten VLAN (VLAN des DHCP-Servers) weiterleiten soll.

Hinweis: Sie müssen DHCP-Snooping auch für das DHCP-VLAN (VLAN des DHCP-Servers) aktivieren.

So richten Sie einen vertrauenswürdigen Port ein

  • Erweiterte Anwendung > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Konfigurieren > Pmceclip1.png

Vertrauenswürdiger Port: für Ports, die mit DHCP-Servern oder anderen Switches verbunden sind.

Nicht vertrauenswürdiger Port : für Ports, die mit Clients und nicht vertrauenswürdigen DHCP-Servern verbunden sind, und der Switch verwirft DHCP-Pakete von nicht vertrauenswürdigen Ports in den folgenden Situationen:

  1. Das Paket ist ein DHCP-Server-Paket (z. B. OFFER, ACK oder NACK).
  2. Die MAC-Quelladresse und die IP-Quelladresse des Pakets stimmen nicht mit einer der aktuellen Bindungen überein.
  3. Das Paket ist ein RELEASE- oder DECLINE-Paket, und die Quell-MAC-Adresse und der Quell-Port stimmen mit keiner der aktuellen Bindungen überein.
  4. Die Rate, mit der DHCP-Pakete ankommen, ist zu hoch.

Hinweis: Geben Sie die maximale Anzahl von DHCP-Paketen (1-2048) an, die der Switch pro Sekunde von jedem Anschluss empfängt. Der Switch verwirft alle weiteren DHCP-Pakete. Geben Sie 0 ein, um dieses Limit zu deaktivieren, was für vertrauenswürdige Ports empfohlen wird.

So richten Sie DHCP-Snooping für VLAN ein

  • Erweiterte Anwendung > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Konfigurieren > VLAN

mceclip2.png

Was kann schief gehen?

Manchmal kann es vorkommen, dass DHCP Snooping nicht richtig funktioniert. Nachfolgend finden Sie die Gründe dafür und wie Sie das Problem lösen können: Ich habe DHCP Snooping auf der Konfigurationsseite des Switches aktiviert.

2018-11-20_131431.jpg

Und ich habe auch vertrauenswürdige und nicht vertrauenswürdige Ports entsprechend eingestellt.

2018-11-14_144803.jpg

Dennoch erhält er immer noch eine IP von einem illegalen DHCP-Server, die nicht von Port 10 stammt.

Warum funktioniert DHCP-Snooping nicht richtig?

Schritt-für-Schritt-Anleitung

Um DHCP Snooping zum Laufen zu bringen, müssen Sie oben rechts VLAN auswählen.

2018-11-14_150441.jpg

Aktivieren Sie das VLAN, in dem Sie DHCP Snooping implementieren möchten.

2018-11-14_150555.jpg

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen