Kytkin - DHCP Snoopingin määrittäminen

DHCP Snooping: Estää hyökkääjiä tai käyttäjiä lisäämästä omaa DHCP-palvelinta verkkoon, ja vain valkoisen listan IP-osoitteet voivat käyttää verkkoa. Kun käytät DHCP-snoopingia, voit sijoittaa DHCP-palvelimen vain "luotettuun porttiin". Verkonvalvoja voi määrittää luotettavan portin manuaalisesti. Kaikki asiakkaat voivat saada IP-osoitteen "luotetulta" DHCP-palvelimelta. Kaikki DHCP:n IP-osoitteiden osoitukset kirjataan myös sisäiseen taulukkoon, jota kutsutaan "Snooping Table" -taulukoksi.

Tämä taulukko sisältää seuraavat keskeiset attribuutit:

• MAC-osoite
• VLAN-TUNNUS
• IP-osoite
• Portin numero

Jos paketti on sidottu, kytkin lähettää sen eteenpäin tai hylkää sen, jos sidontaa ei löydy.

Jos verkkoon on liitetty toinen DHCP-palvelin, mutta se sijaitsee "epäluotettavassa" portissa, kaikki sen DHCP-viestit hylätään kyseisessä portissa, eikä kukaan muu voi saada IP-osoitteita tältä valtuuttamattomalta DHCP-palvelimelta.

- Global DHCP Snooping -palvelun määrittäminen
- DHCP Snoopingin määrittäminen VLAN:lle
- Mikä voi mennä pieleen

1) DHCP Snoopingin määrittäminen

1.1 Määritä maailmanlaajuinen DHCP Snooping.

Siirry osoitteeseen:

Täältä näet DHCP Snoopingin tietokannan tilan sen käyttöönoton jälkeen.

Siirry osoitteeseen:

DHCP VLAN: Valitse VLAN-tunnus, jos haluat, että kytkin välittää DHCP-paketteja tietyn VLAN:n (DHCP-palvelimen VLAN) DHCP-palvelimille.

Huomautus: DHCP-snooping on otettava käyttöön myös DHCP VLANissa (DHCP-palvelimen VLAN).

1.2 Luottamuksellisen portin määrittäminen

Määritä palvelimen luotettu tila navigoimalla osoitteeseen:

Luotettu portti: DHCP-palvelimiin tai muihin kytkimiin liitettyjä portteja varten.

Luottamukseton portti: portit, jotka on liitetty asiakkaisiin ja epäluotettuihin DHCP-palvelimiin, ja kytkin hylkää DHCP-paketit epäluotetuista porteista seuraavissa tilanteissa:

1. Paketti on DHCP-palvelimen paketti (esimerkiksi OFFER, ACK tai NACK).
2. Paketin lähteen MAC-osoite ja lähteen IP-osoite eivät vastaa mitään nykyisistä sidonnoista.
3. Paketti on RELEASE- tai DECLINE-paketti, eivätkä lähteen MAC-osoite ja lähdeportti vastaa mitään nykyisistä sidonnoista.
4. DHCP-pakettien saapumisnopeus on liian suuri.

Huomautus: Määritä DHCP-pakettien enimmäismäärä (1-2048), jonka kytkin vastaanottaa kustakin portista sekunnissa. Kytkin hylkää kaikki ylimääräiset DHCP-paketit. Anna 0, jos haluat poistaa tämän rajoituksen käytöstä, mikä on suositeltavaa luotetuille porteille.

1.3 DHCP Snoopingin määrittäminen VLAN:lle

Ennen kuin saat DHCP Snoopingin toimimaan kunnolla VLANissa, sinun on määritettävä DHCP Snooping VLAN -määritys.

Siirry osoitteeseen:

1.4 Tallenna konfiguraatio

Älä unohda tallentaa konfiguraatiota, kun olet tekemässä konfigurointia. Jos et tallenna konfiguraatiota, se palautuu edelliseen konfiguraatioon, kun käynnistät kytkimen uudelleen.

1.4 Mikä voi mennä pieleen

Joskus DHCP-snooping ei ehkä toimi kunnolla, ja alla on syy siihen, miksi ja miten se ratkaistaan:

Jos olet aktivoinut DHCP Snoopingin kytkimen määrityssivulla.

Ja aseta myös luotetut ja epäluotetut portit vastaavasti:

Jotta DHCP Snooping toimisi, sinun on valittava oikeassa yläkulmassa VLAN.

Ota käyttöön se VLAN, johon haluat ottaa DHCP Snoopingin käyttöön.

2) DHCP Snoopingin määrittäminen vanhassa graafisessa käyttöliittymässä.

Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure (Määritä).

DHCP VLAN: Valitse VLAN-tunnus, jos haluat, että kytkin välittää DHCP-paketit tietyn VLAN:n (DHCP-palvelimen VLAN) DHCP-palvelimille.

Huomautus: DHCP-snooping on otettava käyttöön myös DHCP VLANissa (DHCP-palvelimen VLAN).

Luotetun portin määrittäminen

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > P

Luotettu portti: DHCP-palvelimiin tai muihin kytkimiin liitettyjä portteja varten.

Luottamukseton portti: portit, jotka on liitetty asiakkaisiin ja luottamattomiin DHCP-palvelimiin, ja kytkin hylkää DHCP-paketit luottamattomista porteista seuraavissa tilanteissa:

1. Paketti on DHCP-palvelimen paketti (esimerkiksi OFFER, ACK tai NACK).
2. Paketin lähteen MAC-osoite ja lähteen IP-osoite eivät vastaa mitään nykyisistä sidonnoista.
3. Paketti on RELEASE- tai DECLINE-paketti, eivätkä lähteen MAC-osoite ja lähdeportti vastaa mitään nykyisistä sidonnoista.
4. DHCP-pakettien saapumisnopeus on liian suuri.

Huomautus: Määritä DHCP-pakettien enimmäismäärä (1-2048), jonka kytkin vastaanottaa kustakin portista sekunnissa. Kytkin hylkää kaikki ylimääräiset DHCP-paketit. Anna 0, jos haluat poistaa tämän rajoituksen käytöstä, mikä on suositeltavaa luotetuille porteille.

DHCP Snooping -palvelun määrittäminen VLAN:ia varten

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > VLAN.

Mikä voi mennä pieleen:

Joskus DHCP-snooping ei ehkä toimi kunnolla, alla on syy siihen, miksi ja miten se ratkaistaan: Olen aktivoinut DHCP Snoopingin kytkimen määrityssivulla.

Olen myös asettanut luotettavat ja epäluotettavat portit vastaavasti.

Saadaksesi DHCP Snoopingin toimimaan, sinun on valittava VLAN oikeasta yläkulmasta.

Ota käyttöön VLAN, johon haluat ottaa DHCP Snoopingin käyttöön.