Viktig merknad: |
DHCP Snooping: Forhindre at angripere eller brukere legger til sin egen DHCP-server i nettverket, slik at bare en hvitliste med IP-adresser får tilgang til nettverket. Når du bruker DHCP-snooping, kan du bare plassere DHCP-serveren på en "Trusted Port". Tillitsporten kan defineres manuelt av nettverksadministratoren. Alle klienter kan få IP-adressen fra den "klarerte" DHCP-serveren. Alle DHCP-IP-adressetildelinger registreres også i en intern tabell som kalles "Snooping Table".
Denne tabellen inneholder disse nøkkelattributtene:
- MAC-adresse
- VLAN-ID
- IP-adresse
- Portnummer
Hvis det finnes en binding, videresender svitsjen pakken eller forkaster den hvis det ikke finnes noen binding.
Hvis en annen DHCP-server er koblet til nettverket, men befinner seg på en port som ikke er klarert, vil alle DHCP-meldingene bli forkastet på denne porten, slik at ingen andre kan få IP fra denne uautoriserte DHCP-serveren.
- Konfigurere global DHCP Snooping
- Konfigurere DHCP Snooping for VLAN
- Hva kan gå galt
1) Konfigurere DHCP Snooping
1.1 Konfigurere Global DHCP Snooping
Naviger til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status
Her kan du se databasestatusen for DHCP Snooping etter at du har aktivert den.
Naviger til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup
DHCP VLAN: Velg en VLAN-ID hvis du vil at svitsjen skal videresende DHCP-pakker til DHCP-servere på et bestemt VLAN (DHCP-serverens VLAN).
Merk: Du må også aktivere DHCP snooping på DHCP VLAN (DHCP-serverens VLAN).
1.2 Konfigurere klarert port
Konfigurer serverens klarerte tilstand ved å navigere til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup
Trustedport: for porter som er koblet til DHCP-servere eller andre svitsjer.
Ikke klarert port: for porter som er koblet til klienter og ikke klarerte DHCP-servere, og svitsjen forkaster DHCP-pakker fra ikke klarerte porter i følgende situasjoner:
- Pakken er en DHCP-serverpakke (for eksempel OFFER, ACK eller NACK).
- Kilde-MAC-adressen og kilde-IP-adressen i pakken samsvarer ikke med noen av de gjeldende bindingene.
- Pakken er en RELEASE- eller DECLINE-pakke, og kilde-MAC-adressen og kildeporten samsvarer ikke med noen av de gjeldende bindingene.
- DHCP-pakker ankommer med for høy hastighet.
Merk: Angi det maksimale antallet DHCP-pakker (1-2048) som svitsjen mottar fra hver port hvert sekund. Bryteren forkaster alle ytterligere DHCP-pakker. Angi 0 for å deaktivere denne grensen, noe som anbefales for klarerte porter.
1.3 Konfigurere DHCP Snooping for VLAN
Før du kan få DHCP Snooping til å fungere skikkelig for VLAN, må du konfigurere DHCP Snooping VLAN-konfigurasjonen.
Naviger til:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup
1.4 Lagre konfigurasjonen
Husk å lagre konfigurasjonen når du er ferdig med å konfigurere. Hvis du ikke lagrer konfigurasjonen, vil den gå tilbake til den forrige konfigurasjonen når du starter bryteren på nytt.
1.4 Hva kan gå galt
Noen ganger kan det hende at DHCP-snooping ikke fungerer som det skal. Nedenfor finner du en forklaring på hvorfor og hvordan du løser problemet:
Hvis du har aktivert DHCP Snooping på svitsjens konfigurasjonsside.
Angi også hvilke porter som er klarerte og ikke klarerte:
Den får imidlertid fortsatt en IP fra en ulovlig DHCP-server som ikke er fra port 10.
Hvorfor fungerer ikke DHCP snooping som det skal?
For å få DHCP Snooping til å fungere må du velge VLAN øverst til høyre.
Aktiver VLANet du ønsker å implementere DHCP Snooping på.
2) Konfigurer DHCP Snooping på det gamle brukergrensesnittet
Avansert program > IP Source Guard > Oppsett av IPv4 Source Guard > DHCP Snooping > Konfigurer
DHCP VLAN: Velg en VLAN-ID hvis du vil at svitsjen skal videresende DHCP-pakker til DHCP-servere på et bestemt VLAN (DHCP-serverens VLAN).
Merk: Du må også aktivere DHCP-snooping på DHCP VLAN (DHCP-serverens VLAN).
Slik konfigurerer du en klarert port
- Avansert program > IP Source Guard > Oppsett av IPv4 Source Guard > DHCP Snooping > Konfigurer > P
Trustedport: for porter som er koblet til DHCP-servere eller andre svitsjer.
Ikke-pålitelig port: for porter som er koblet til klienter og ikke-pålitelige DHCP-servere, og svitsjen forkaster DHCP-pakker fra ikke-pålitelige porter i følgende situasjoner:
- Pakken er en DHCP-serverpakke (for eksempel OFFER, ACK eller NACK).
- Kilde-MAC-adressen og kilde-IP-adressen i pakken samsvarer ikke med noen av de gjeldende bindingene.
- Pakken er en RELEASE- eller DECLINE-pakke, og kilde-MAC-adressen og kildeporten samsvarer ikke med noen av de gjeldende bindingene.
- DHCP-pakker ankommer med for høy hastighet.
Merk: Angi det maksimale antallet DHCP-pakker (1-2048) som svitsjen mottar fra hver port hvert sekund. Bryteren forkaster alle ytterligere DHCP-pakker. Angi 0 for å deaktivere denne grensen, noe som anbefales for klarerte porter.
Slik konfigurerer du DHCP Snooping for VLAN
- Avansert program > IP-kildebeskyttelse > Oppsett av IPv4-kildebeskyttelse > DHCP Snooping > Konfigurer > VLAN
Hva kan gå galt?
Noen ganger kan det hende at DHCP-snooping ikke fungerer som det skal. Nedenfor finner du en forklaring på hvorfor og hvordan du løser problemet: Jeg har aktivert DHCP Snooping på svitsjens konfigurasjonsside.
Og jeg har også angitt klarerte og ikke klarerte porter tilsvarende.
Men den får fortsatt en IP fra en ulovlig DHCP-server som ikke er fra port 10.
Hvorfor fungerer ikke DHCP snooping som det skal?
Trinnvis veiledning
For å få DHCP Snooping til å fungere må du velge VLAN øverst til høyre.
Aktiver VLANet du ønsker å implementere DHCP Snooping på.