Switch - Configurer DHCP Snooping

DHCP Snooping : Empêche les attaquants ou les utilisateurs d'ajouter leur propre serveur DHCP au réseau et seule une liste blanche d'adresses IP peut accéder au réseau. Lorsque vous utilisez le snooping DHCP, vous ne pouvez placer le serveur DHCP que sur un "port de confiance". Le port de confiance peut être défini manuellement par l'administrateur du réseau. Tous les clients peuvent obtenir l'adresse IP du serveur DHCP "de confiance". Toutes les attributions d'adresses IP DHCP seront également enregistrées dans une table interne appelée "Snooping Table".

Cette table contient les attributs clés suivants

• Adresse MAC
• ID VLAN
• Adresse IP
• Numéro de port

S'il existe une liaison, le commutateur transmet le paquet ou le rejette si aucune liaison ne peut être trouvée.

Si un autre serveur DHCP est connecté au réseau, mais qu'il se trouve sur un port "non autorisé", tous ses messages DHCP seront rejetés sur ce port et personne ne pourra obtenir d'adresse IP de ce serveur DHCP non autorisé.

- Configurer le DHCP Snooping global
- Configuration du DHCP Snooping pour VLAN
- Ce qui peut mal se passer

1) Configurer DHCP Snooping

1.1 Configurer le DHCP Snooping global

Naviguez jusqu'à :

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Ici, vous pouvez voir l'état de la base de données de votre DHCP Snooping après l'avoir activé.

Naviguez jusqu'à :

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN : Sélectionnez un ID VLAN si vous voulez que le commutateur transmette les paquets DHCP aux serveurs DHCP sur un VLAN spécifique (VLAN du serveur DHCP).

Note : Vous devez également activer le snooping DHCP sur le VLAN DHCP (VLAN du serveur DHCP).

1.2 Configuration du port de confiance

Configurez l'état de confiance du serveur en naviguant vers :

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Port de confiance : pour les ports connectés à des serveurs DHCP ou à d'autres commutateurs.

Port non fiable : pour les ports connectés à des clients et à des serveurs DHCP non fiables, et le commutateur rejette les paquets DHCP provenant de ports non fiables dans les situations suivantes :

1. Le paquet est un paquet de serveur DHCP (par exemple, OFFER, ACK ou NACK).
2. L'adresse MAC source et l'adresse IP source du paquet ne correspondent à aucune des liaisons actuelles.
3. Le paquet est un paquet RELEASE ou DECLINE, et l'adresse MAC source et le port source ne correspondent à aucune des liaisons actuelles.
4. Le taux d'arrivée des paquets DHCP est trop élevé.

Remarque : spécifiez le nombre maximum de paquets DHCP (1-2048) que le commutateur reçoit de chaque port chaque seconde. Le commutateur rejette tout paquet DHCP supplémentaire. Entrez 0 pour désactiver cette limite, ce qui est recommandé pour les ports de confiance.

1.3 Configurer DHCP Snooping pour VLAN

Avant de pouvoir faire fonctionner correctement le DHCP snooping pour votre VLAN, vous devez configurer la configuration DHCP Snooping VLAN.

Naviguez vers :

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Sauvegarder votre configuration

N'oubliez pas de sauvegarder votre configuration lorsque vous la configurez. Si vous n'enregistrez pas la configuration, elle reviendra à la configuration précédente lorsque vous redémarrerez le commutateur.

1.4 Ce qui peut mal se passer

Il arrive que le snooping DHCP ne fonctionne pas correctement. Vous trouverez ci-dessous les raisons de ces dysfonctionnements et la manière de les résoudre :

Si vous avez activé le DHCP Snooping sur la page de configuration du switch.

Et que vous avez également défini les ports de confiance et de non confiance en conséquence :

Pour que le DHCP Snooping fonctionne, vous devez sélectionner VLAN en haut à droite.

Activez le VLAN sur lequel vous souhaitez implémenter le DHCP Snooping.

2) Configurer DHCP Snooping sur l'interface graphique traditionnelle

Application avancée > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure

DHCP VLAN : Sélectionnez un ID VLAN si vous souhaitez que le commutateur transmette les paquets DHCP aux serveurs DHCP sur un VLAN spécifique (VLAN du serveur DHCP).

Note : Vous devez également activer le snooping DHCP sur le VLAN DHCP (VLAN du serveur DHCP).

Comment configurer le port de confiance

• Application avancée > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > P

Port de confiance : pour les ports connectés à des serveurs DHCP ou à d'autres commutateurs.

Port non fiable : pour les ports connectés aux clients et aux serveurs DHCP non fiables, et le commutateur rejette les paquets DHCP provenant de ports non fiables dans les situations suivantes :

1. Le paquet est un paquet de serveur DHCP (par exemple, OFFER, ACK ou NACK).
2. L'adresse MAC source et l'adresse IP source du paquet ne correspondent à aucune des liaisons actuelles.
3. Le paquet est un paquet RELEASE ou DECLINE, et l'adresse MAC source et le port source ne correspondent à aucune des liaisons actuelles.
4. Le taux d'arrivée des paquets DHCP est trop élevé.

Remarque : spécifiez le nombre maximum de paquets DHCP (1-2048) que le commutateur reçoit de chaque port chaque seconde. Le commutateur rejette tout paquet DHCP supplémentaire. Entrez 0 pour désactiver cette limite, ce qui est recommandé pour les ports de confiance.

Comment configurer DHCP Snooping pour VLAN

• Application avancée > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > VLAN

Qu'est-ce qui peut mal se passer ?

Il arrive que le DHCP snooping ne fonctionne pas correctement. Vous trouverez ci-dessous les raisons de ce problème et la manière de le résoudre : J'ai activé le DHCP Snooping sur la page de configuration du switch.

J'ai également défini les ports de confiance et de non confiance en conséquence.

Pour faire fonctionner le DHCP Snooping, vous devez sélectionner VLAN en haut à droite.

Activez le VLAN sur lequel vous souhaitez implémenter le DHCP Snooping.