Śledzenie DHCP

DHCP Snooping: Powstrzymaj atakujących lub użytkowników przed dodaniem własnego serwera DHCP do sieci i tylko biała lista adresów IP może uzyskać dostęp do sieci. Kiedy używasz DHCP Snooping, możesz umieścić serwer DHCP tylko na „Zaufany Port”. Trust Port może być zdefiniowany ręcznie przez administratora sieci. Wszyscy klienci mogą uzyskać adres IP z „Zaufanego” serwera DHCP. Wszystkie przydziały adresów IP DHCP zostaną również zapisane w wewnętrznej tabeli zwanej „Tabelą Snooping”.

Ta tabela zawiera te kluczowe atrybuty:

• adres MAC
• Identyfikator VLAN
• adres IP
• Numer Port

Jeśli istnieje powiązanie, Switch przekazuje pakiet lub odrzuca go, jeśli nie można znaleźć powiązania.

Teraz, jeśli do sieci jest podłączony inny serwer DHCP, ale znajduje się na „niezaufanym” porcie, wszystkie jego komunikaty DHCP zostaną odrzucone na tym porcie, a zatem nikt inny nie będzie mógł uzyskać adresu IP z tego nieautoryzowanego serwera DHCP Serwer.

- Skonfiguruj globalne podsłuchiwanie DHCP
- Skonfiguruj DHCP Snooping dla VLAN
- Co może się nie udać

Jak skonfigurować globalne śledzenie DHCP?

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Konfiguruj

DHCP VLAN: Wybierz identyfikator VLAN, jeśli chcesz, aby Switch przekazywał pakiety DHCP do serwerów DHCP w określonej sieci VLAN (sieć VLAN serwera DHCP).

Uwaga: Musisz także włączyć DHCP Snooping w DHCP VLAN (VLAN serwera DHCP) .

Jak skonfigurować zaufany Port

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Konfiguruj > P

Port zaufany: dla portów podłączonych do serwerów DHCP lub innych przełączników.

Port niezaufany: dla portów podłączonych do klientów i niezaufanych serwerów DHCP, a Switch odrzuca pakiety DHCP z niezaufanych portów w następujących sytuacjach:

1. Pakiet jest pakietem serwera DHCP (na przykład OFFER, ACK lub NACK).
2. Źródłowy adres MAC i źródłowy adres IP w pakiecie nie pasują do żadnego z bieżących powiązań.
3. Pakiet jest pakietem RELEASE lub DECLINE, a źródłowy adres MAC i źródłowy port nie pasują do żadnego z bieżących powiązań.
4. Szybkość, z jaką docierają pakiety DHCP, jest zbyt wysoka.

Uwaga: określ maksymalną liczbę pakietów DHCP (1-2048), które Switch odbiera z każdego portu co sekundę. Switch odrzuca wszelkie dodatkowe pakiety DHCP. Wpisz 0, aby wyłączyć ten limit, co jest zalecane dla zaufanych portów.

Jak skonfigurować DHCP Snooping dla VLAN

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Konfiguruj > VLAN

Co może się nie udać:

Czasami DHCP Snooping może nie działać poprawnie, poniżej znajdziesz przyczynę i sposób rozwiązania tego problemu: Aktywowałem DHCP Snooping na stronie konfiguracji przełącznika.

Ustawiłem również odpowiednio zaufane i niezaufane porty.

Aby uruchomić DHCP Snooping, musisz wybrać VLAN w prawym górnym rogu.

Włącz sieć VLAN, w której chcesz zaimplementować DHCP Snooping.

ZASTRZEŻENIE:

Drogi Kliencie, pamiętaj, że używamy tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie każdy tekst może zostać przetłumaczony dokładnie. W przypadku pytań lub rozbieżności co do dokładności informacji w przetłumaczonej wersji zapoznaj się z oryginalnym artykułem tutaj: Wersja oryginalna