Schakelaar - DHCP Snooping configureren

DHCP Snooping: Voorkom dat aanvallers of gebruikers hun eigen DHCP-server toevoegen aan het netwerk en dat alleen een witte lijst van IP-adressen toegang heeft tot het netwerk. Wanneer je DHCP-snooping gebruikt, kun je de DHCP-server alleen op een "Vertrouwde poort" plaatsen. De Trusted Port kan handmatig worden gedefinieerd door de netwerkbeheerder. Alle clients kunnen het IP-adres krijgen van de "Trusted" DHCP Server. Alle DHCP IP-adrestoewijzingen worden ook opgeslagen in een interne tabel die de "Snooping Table" wordt genoemd.

Deze tabel bevat de volgende belangrijke attributen:

• MAC-adres
• VLAN-ID
• IP-adres
• Poortnummer

Als er een binding is, stuurt de Switch het pakket door of gooit het weg als er geen binding kan worden gevonden.

Als er een andere DHCP-server op het netwerk is aangesloten, maar deze bevindt zich op een "niet-vertrouwde" poort, dan worden al zijn DHCP-boodschappen op die poort weggegooid en kan niemand anders IP krijgen van deze niet-geautoriseerde DHCP-server.

- Wereldwijde DHCP-snooping instellen
- DHCP-snooping instellen voor VLAN
- Wat kan er fout gaan

1) DHCP Snooping configureren

1.1 Globale DHCP-snooping configureren

Navigeer naar:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Hier kun je de databasestatus van je DHCP Snooping zien nadat je het hebt ingeschakeld.

Navigeer naar:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN: Selecteer een VLAN-ID als u wilt dat de schakelaar DHCP-pakketten doorstuurt naar DHCP-servers op een specifieke VLAN (VLAN van de DHCP-server).

Opmerking: U moet ook DHCP-snooping inschakelen op het DHCP VLAN (het VLAN van de DHCP-server).

1.2 Vertrouwde poort configureren

Configureer de vertrouwde status van de server door te navigeren naar:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Vertrouwde poort: voor poorten die verbonden zijn met DHCP-servers of andere schakelaars.

Niet-vertrouwde poort: voor poorten die zijn verbonden met clients en niet-vertrouwde DHCP-servers, en de switch verwijdert DHCP-pakketten van niet-vertrouwde poorten in de volgende situaties:

1. Het pakket is een DHCP-serverpakket (bijvoorbeeld OFFER, ACK of NACK).
2. Het bron MAC adres en bron IP adres in het pakket komen niet overeen met één van de huidige bindingen.
3. Het pakket is een RELEASE of DECLINE pakket en het bron MAC adres en bronpoort komen niet overeen met een van de huidige bindingen.
4. De snelheid waarmee DHCP pakketten aankomen is te hoog.

Opmerking: specificeer het maximale aantal DHCP-pakketten (1-2048) dat de Switch per seconde van elke poort ontvangt. De Switch gooit alle extra DHCP-pakketten weg. Voer 0 in om deze limiet uit te schakelen, wat wordt aanbevolen voor vertrouwde poorten.

1.3 DHCP Snooping voor VLAN configureren

Voordat je DHCP Snooping goed kunt laten werken voor je VLAN, moet je de DHCP Snooping VLAN configuratie instellen.

Navigeer naar:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Uw configuratie opslaan

Vergeet niet je configuratie op te slaan tijdens het configureren. Als je de configuratie niet opslaat, wordt deze teruggezet naar de vorige configuratie wanneer je de switch opnieuw opstart.

1.4 Wat kan er fout gaan?

Soms kan het zijn dat DHCP snooping niet goed werkt, hieronder vind je een reden waarom en hoe je het kunt oplossen:

Als je DHCP Snooping hebt geactiveerd op de configuratiepagina van de switch.

En dienovereenkomstig vertrouwde en niet-vertrouwde poorten hebt ingesteld:

Om DHCP Snooping te laten werken, moet je rechtsboven VLAN selecteren.

Schakel het VLAN in waar je DHCP Snooping wilt implementeren.

2) DHCP Snooping configureren op de oude GUI

Geavanceerde toepassing > IP-bronbewaking > IPv4-bronbewaking instellen > DHCP-snooping > Configureren

DHCP VLAN: Selecteer een VLAN-ID als u wilt dat de schakelaar DHCP-pakketten doorstuurt naar DHCP-servers op een specifieke VLAN (VLAN van de DHCP-server).

Opmerking: U moet DHCP-snooping ook inschakelen op het DHCP VLAN (het VLAN van de DHCP-server).

Vertrouwde poort instellen

• Geavanceerde toepassing > IP-bronbewaking > IPv4-bronbewaking instellen > DHCP-snooping > Configureren > P

Vertrouwde poort: voor poorten die verbonden zijn met DHCP-servers of andere switches.

Niet-vertrouwde poort: voor poorten die zijn verbonden met clients en niet-vertrouwde DHCP-servers. De switch verwijdert DHCP-pakketten van niet-vertrouwde poorten in de volgende situaties:

1. Het pakket is een DHCP-serverpakket (bijvoorbeeld OFFER, ACK of NACK).
2. Het bron MAC adres en bron IP adres in het pakket komen niet overeen met één van de huidige bindingen.
3. Het pakket is een RELEASE of DECLINE pakket en het bron MAC adres en bronpoort komen niet overeen met een van de huidige bindingen.
4. De snelheid waarmee DHCP pakketten aankomen is te hoog.

Opmerking: specificeer het maximale aantal DHCP-pakketten (1-2048) dat de Switch per seconde van elke poort ontvangt. De Switch gooit alle extra DHCP-pakketten weg. Voer 0 in om deze limiet uit te schakelen, wat wordt aanbevolen voor vertrouwde poorten.

DHCP Snooping instellen voor VLAN

• Geavanceerde toepassing > IP-bronbewaking > IPv4-bronbewaking instellen > DHCP-snooping > Configureren > VLAN

Wat kan er fout gaan?

Soms werkt DHCP snooping niet goed, hieronder vind je een reden waarom en hoe je het kunt oplossen: Ik heb DHCP Snooping geactiveerd op de configuratiepagina van de switch.

En ik heb ook vertrouwde en niet-vertrouwde poorten ingesteld.

Om DHCP Snooping te laten werken, moet je rechtsboven VLAN selecteren.

Schakel het VLAN in waar je DHCP Snooping wilt implementeren.