Switch - DHCP Snooping konfigurálása

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

DHCP Snooping: Megakadályozza, hogy a támadók vagy felhasználók saját DHCP-kiszolgálót adjanak a hálózathoz, és csak az IP-címek fehér listája férhet hozzá a hálózathoz. A DHCP snooping használatakor a DHCP-kiszolgálót csak "megbízható porton" helyezheti el. A megbízható portot a hálózati rendszergazda manuálisan határozhatja meg. Minden ügyfél a "Megbízható" DHCP-kiszolgálótól kaphatja meg az IP-címet. Minden DHCP IP-címkiosztás egy belső táblázatba, a "Snooping Table"-be is rögzítésre kerül.

Ez a táblázat a következő kulcsfontosságú attribútumokat tartalmazza:

  • MAC-cím
  • VLAN AZONOSÍTÓ
  • IP-cím
  • Port száma

Ha van kötés, a kapcsoló továbbítja a csomagot, vagy elveti, ha nem talál kötést.

Ha most egy másik DHCP-kiszolgáló is csatlakozik a hálózathoz, de egy "nem megbízható" porton található, akkor az összes DHCP-üzenetét elveti azon a porton, és így senki más nem kaphat IP-t ettől a nem engedélyezett DHCP-kiszolgálótól.

- Globális DHCP Snooping beállítása
- DHCP Snooping beállítása VLAN-hoz
- Mi lehet rosszul

1) A DHCP Snooping beállítása

1.1 A globális DHCP Snooping konfigurálása

Navigáljon a következő menüpontra:

dyn_repppppppp_0

Itt láthatja a DHCP Snooping engedélyezése után az adatbázis állapotát.

Navigáljon a következő helyre::

dyn_repppppppp_1

DHCP VLAN: Válasszon ki egy VLAN azonosítót, ha azt szeretné, hogy a switch a DHCP csomagokat egy adott VLAN (DHCP-kiszolgáló VLAN-ja) DHCP-kiszolgálóinak továbbítsa.

Megjegyzés: A DHCP snoopingot a DHCP VLAN-on (DHCP-kiszolgáló VLAN-ja) is engedélyeznie kell.

1.2 Megbízható port konfigurálása

Konfigurálja a kiszolgáló megbízható állapotát a következő navigációval:

dyn_repppppppp_2

Megbízható port: DHCP-kiszolgálókhoz vagy más kapcsolókhoz csatlakoztatott portokhoz.

Nem megbízható port: az ügyfelekhez és nem megbízható DHCP-kiszolgálókhoz csatlakozó portokhoz, és a kapcsoló a nem megbízható portokról érkező DHCP-csomagokat a következő helyzetekben elveti:

  1. A csomag DHCP-kiszolgálói csomag (például OFFER, ACK vagy NACK).
  2. A csomagban szereplő forrás MAC-cím és forrás IP-cím nem felel meg az aktuális kötések egyikének sem.
  3. A csomag RELEASE vagy DECLINE csomag, és a forrás MAC-cím és a forrásport nem egyezik meg az aktuális kötések egyikével sem.
  4. A DHCP-csomagok beérkezési sebessége túl magas.

Megjegyzés: adja meg a DHCP-csomagok maximális számát (1-2048), amelyet a Switch minden egyes portról másodpercenként fogad. A kapcsoló minden további DHCP-csomagot elvet. Adja meg a 0 értéket a korlátozás letiltásához, ami a megbízható portok esetében ajánlott.

1.3 DHCP Snooping beállítása VLAN-hoz

Mielőtt a DHCP Snooping megfelelően működne a VLAN számára, konfigurálnia kell a DHCP Snooping VLAN konfigurációt.

Navigáljon a következő menüpontra:

dyn_repppppppp_3

1.4 A konfiguráció mentése

Ne felejtsd el elmenteni a konfigurációdat, amikor a konfigurálást végzed. Ha nem menti el a konfigurációt, akkor a kapcsoló újraindításakor visszaáll az előző konfiguráció.

1.4 Mi romolhat el

Néha előfordulhat, hogy a DHCP snooping nem működik megfelelően, az alábbiakban megtalálhatja az okokat és a megoldási lehetőségeket:

Ha aktiválta a DHCP Snoopingot a kapcsoló konfigurációs oldalán.

2018-11-20_131431.jpg

És ennek megfelelően állítsa be a megbízható és nem megbízható portokat is:

2018-11-14_144803.jpg

Azonban még mindig kap egy IP-t egy illegális DHCP-kiszolgálótól, amely nem a 10-es portról származik.

Miért nem működik megfelelően a DHCP snooping?

Ahhoz, hogy a DHCP Snooping működjön, ki kell választani a VLAN-t a jobb felső sarokban.

2018-11-14_150441.jpg

Engedélyezze azt a VLAN-t, amelyen a DHCP Snoopingot szeretné bevezetni.

2018-11-14_150555.jpg

2) A DHCP Snooping konfigurálása a hagyományos GUI-n

Speciális alkalmazás > IP-forrásvédelem > IPv4-forrásvédelem beállítása > DHCP Snooping > Konfigurálás

mceclip3.png

DHCP VLAN: Válassza ki a VLAN azonosítót, ha azt szeretné, hogy a switch a DHCP csomagokat egy adott VLAN (DHCP-kiszolgáló VLAN-ja) DHCP-kiszolgálóinak továbbítsa.

Megjegyzés: A DHCP-szimatolást a DHCP VLAN-on (a DHCP-kiszolgáló VLAN-ján) is engedélyeznie kell.

A megbízható port beállítása

  • Speciális alkalmazás > IP Source Guard > IPv4 Source Guard beállítása > DHCP Snooping > Konfigurálás > Pmceclip1.png

Megbízható port: DHCP-kiszolgálókhoz vagy más kapcsolókhoz csatlakoztatott portokhoz.

Nem megbízható port: az ügyfelekhez és nem megbízható DHCP-kiszolgálókhoz csatlakozó portokhoz, és a kapcsoló a nem megbízható portokról érkező DHCP-csomagokat a következő helyzetekben elveti:

  1. A csomag DHCP-kiszolgálói csomag (például OFFER, ACK vagy NACK).
  2. A csomagban szereplő forrás MAC-cím és forrás IP-cím nem felel meg az aktuális kötések egyikének sem.
  3. A csomag RELEASE vagy DECLINE csomag, és a forrás MAC-cím és a forrásport nem egyezik meg az aktuális kötések egyikével sem.
  4. A DHCP-csomagok beérkezési sebessége túl magas.

Megjegyzés: adja meg a DHCP-csomagok maximális számát (1-2048), amelyet a Switch minden egyes portról másodpercenként fogad. A kapcsoló minden további DHCP-csomagot elvet. Adja meg a 0 értéket a korlátozás letiltásához, ami a megbízható portok esetében ajánlott.

A DHCP Snooping beállítása a VLAN számára

  • Speciális alkalmazás > IP-forrásvédelem > IPv4-forrásvédelem beállítása > DHCP Snooping > Konfigurálás > VLAN

mceclip2.png

Mi lehet rosszul:

Az alábbiakban megtalálhatja az okát és a megoldási lehetőségeket: Aktiváltam a DHCP Snoopingot a kapcsoló konfigurációs oldalán.

2018-11-20_131431.jpg

És ennek megfelelően beállítottam a megbízható és nem megbízható portokat is.

2018-11-14_144803.jpg

Ennek ellenére még mindig kap egy IP-t egy illegális DHCP-kiszolgálótól, ami nem a 10-es portról származik.

Miért nem működik megfelelően a DHCP snooping?

Lépésről lépésre útmutató

Ahhoz, hogy a DHCP Snooping működjön, ki kell választani a VLAN-t a jobb felső sarokban.

2018-11-14_150441.jpg

Engedélyezze azt a VLAN-t, amelyen a DHCP Snoopingot szeretné bevezetni.

2018-11-14_150555.jpg

A szakasz cikkei

Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

A cikkhez nem írhatók újabb hozzászólások.