Interruttore - Configurazione dello snooping DHCP

Snooping DHCP: Impedisce agli aggressori o agli utenti di aggiungere un proprio server DHCP alla rete e solo una whitelist di indirizzi IP può accedere alla rete. Quando si utilizza lo snooping DHCP, è possibile posizionare il server DHCP solo su una "porta attendibile". La porta di fiducia può essere definita manualmente dall'amministratore di rete. Tutti i client possono ottenere l'indirizzo IP dal server DHCP "affidabile". Tutte le assegnazioni di indirizzi IP DHCP saranno inoltre registrate in una tabella interna chiamata "Snooping Table".

Questa tabella contiene i seguenti attributi chiave:

• Indirizzo MAC
• ID VLAN
• Indirizzo IP
• Numero di porta

Se esiste un binding, lo switch inoltra il pacchetto o lo scarta se non viene trovato alcun binding.

Ora, se c'è un altro server DHCP collegato alla rete, ma si trova su una porta "non attendibile", tutti i suoi messaggi DHCP verranno scartati su quella porta e quindi nessun altro potrà ottenere l'IP da questo server DHCP non autorizzato.

- Impostazione dello snooping DHCP globale
- Impostazione dello snooping DHCP per VLAN
- Cosa può andare storto

1) Configurare lo snooping DHCP

1.1 Configurare lo snooping DHCP globale

Andare a:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Qui si può vedere lo stato del database del DHCP Snooping dopo averlo abilitato.

Andare a:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN: selezionare un ID VLAN se si desidera che lo switch inoltri i pacchetti DHCP ai server DHCP su una VLAN specifica (VLAN del server DHCP).

Nota: È necessario abilitare lo snooping DHCP anche sulla VLAN DHCP (VLAN del server DHCP).

1.2 Configurazione della porta di fiducia

Configurare lo stato di fiducia del server navigando in:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Porta attendibile: per le porte collegate a server DHCP o ad altri switch.

Porta non attendibile: per le porte collegate ai client e ai server DHCP non attendibili; lo switch scarta i pacchetti DHCP dalle porte non attendibili nelle seguenti situazioni:

1. Il pacchetto è un pacchetto del server DHCP (ad esempio, OFFERTA, ACK o NACK).
2. L'indirizzo MAC di origine e l'indirizzo IP di origine del pacchetto non corrispondono a nessuno dei binding correnti.
3. Il pacchetto è un pacchetto RELEASE o DECLINE e l'indirizzo MAC di origine e la porta di origine non corrispondono a nessuno dei binding correnti.
4. La velocità di arrivo dei pacchetti DHCP è troppo alta.

Nota: specificare il numero massimo di pacchetti DHCP (1-2048) che lo switch riceve da ciascuna porta ogni secondo. Lo switch scarta tutti i pacchetti DHCP aggiuntivi. Immettere 0 per disabilitare questo limite, consigliato per le porte affidabili.

1.3 Configurazione di DHCP Snooping per VLAN

Prima di far funzionare correttamente lo snooping DHCP per la VLAN, è necessario configurare la configurazione della VLAN di DHCP Snooping.

Andare a:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Salvare la configurazione

Non dimenticate di salvare la configurazione quando la state configurando. Se non si salva la configurazione, al riavvio dello switch verrà ripristinata la configurazione precedente.

1.4 Cosa può andare storto

A volte lo snooping DHCP potrebbe non funzionare correttamente; qui di seguito sono indicati i motivi e i modi per risolverli:

Se è stato attivato lo snooping DHCP nella pagina di configurazione dello switch.

Inoltre, impostare di conseguenza le porte trusted e untrusted:

Per far funzionare lo snooping DHCP, è necessario selezionare la VLAN in alto a destra.

Abilitare la VLAN su cui si desidera implementare il DHCP Snooping.

2) Configurare lo snooping DHCP sulla GUI tradizionale

Applicazione avanzata > IP Source Guard > Impostazione IPv4 Source Guard > DHCP Snooping > Configura

VLAN DHCP: selezionare un ID VLAN se si desidera che lo switch inoltri i pacchetti DHCP ai server DHCP su una VLAN specifica (VLAN del server DHCP).

Nota: È necessario abilitare lo snooping DHCP anche sulla VLAN DHCP (VLAN del server DHCP).

Come impostare la porta attendibile

• Applicazione avanzata > IP Source Guard > Impostazione IPv4 Source Guard > DHCP Snooping > Configura > P

Porta attendibile: per le porte collegate a server DHCP o ad altri switch.

Porta non attendibile: per le porte collegate a client e server DHCP non attendibili; lo switch scarta i pacchetti DHCP dalle porte non attendibili nelle seguenti situazioni:

1. Il pacchetto è un pacchetto del server DHCP (ad esempio, OFFERTA, ACK o NACK).
2. L'indirizzo MAC di origine e l'indirizzo IP di origine del pacchetto non corrispondono a nessuno dei binding correnti.
3. Il pacchetto è un pacchetto RELEASE o DECLINE e l'indirizzo MAC di origine e la porta di origine non corrispondono a nessuno dei binding correnti.
4. La velocità di arrivo dei pacchetti DHCP è troppo alta.

Nota: specificare il numero massimo di pacchetti DHCP (1-2048) che lo switch riceve da ciascuna porta ogni secondo. Lo switch scarta tutti i pacchetti DHCP aggiuntivi. Immettere 0 per disabilitare questo limite, consigliato per le porte affidabili.

Come impostare DHCP Snooping per VLAN

• Applicazione avanzata > IP Source Guard > Impostazione IPv4 Source Guard > DHCP Snooping > Configura > VLAN

Cosa può andare storto:

A volte lo snooping DHCP potrebbe non funzionare correttamente; di seguito è riportato il motivo e il modo per risolverlo: Ho attivato lo snooping DHCP nella pagina di configurazione dello switch.

E ho anche impostato le porte trusted e untrusted, di conseguenza.

Per far funzionare lo snooping DHCP, è necessario selezionare la VLAN in alto a destra.

Abilitare la VLAN su cui si desidera implementare DHCP Snooping.