Switch - Konfiguracja funkcji DHCP Snooping

DHCP Snooping: Uniemożliwia atakującym lub użytkownikom dodanie własnego serwera DHCP do sieci, a dostęp do sieci może uzyskać tylko biała lista adresów IP. Kiedy używasz DHCP snooping, możesz umieścić serwer DHCP tylko na "zaufanym porcie". Zaufany port może zostać zdefiniowany ręcznie przez administratora sieci. Wszyscy klienci mogą uzyskać adres IP z "zaufanego" serwera DHCP. Wszystkie przypisania adresów IP DHCP będą również rejestrowane w wewnętrznej tabeli zwanej "Snooping Table".

Tabela ta zawiera następujące kluczowe atrybuty:

• Adres MAC
• VLAN ID
• Adres IP
• Numer portu

Jeśli istnieje powiązanie, przełącznik przekazuje pakiet dalej lub odrzuca go, jeśli nie można znaleźć powiązania.

Teraz, jeśli istnieje inny serwer DHCP podłączony do sieci, ale znajduje się na "niezaufanym" porcie, wszystkie jego wiadomości DHCP zostaną odrzucone na tym porcie, a tym samym nikt inny nie będzie mógł uzyskać adresu IP z tego nieautoryzowanego serwera DHCP.

- Konfiguracja globalnego DHCP S nooping
- Konfiguracja DHCP Snooping dla VLAN
- Co może pójść nie tak

1) Konfiguracja DHCP Snooping

1.1 Konfiguracja globalnego DHCP Snooping

Przejdź do:

Tutaj możesz zobaczyć stan bazy danych DHCP Snooping po jego włączeniu.

Przejdź do:

DHCP VLAN: Wybierz identyfikator VLAN, jeśli chcesz, aby przełącznik przekazywał pakiety DHCP do serwerów DHCP w określonej sieci VLAN (VLAN serwera DHCP).

Uwaga: Należy również włączyć DHCP snooping w DHCP VLAN (DHCP server's VLAN).

1.2 Konfiguracja zaufanego portu

Skonfiguruj stan zaufany serwera, przechodząc do:

Zaufany port: dla portów podłączonych do serwerów DHCP lub innych przełączników.

Untrusted port: dla portów podłączonych do klientów i niezaufanych serwerów DHCP, a przełącznik odrzuca pakiety DHCP z niezaufanych portów w następujących sytuacjach:

1. Pakiet jest pakietem serwera DHCP (na przykład OFFER, ACK lub NACK).
2. Źródłowy adres MAC i źródłowy adres IP w pakiecie nie pasują do żadnego z bieżących powiązań.
3. Pakiet jest pakietem RELEASE lub DECLINE, a źródłowy adres MAC i port źródłowy nie pasują do żadnego z bieżących powiązań.
4. Szybkość przychodzenia pakietów DHCP jest zbyt wysoka.

Uwaga: należy określić maksymalną liczbę pakietów DHCP (1-2048), które przełącznik odbiera z każdego portu na sekundę. Przełącznik odrzuca wszelkie dodatkowe pakiety DHCP. Wprowadź 0, aby wyłączyć ten limit, co jest zalecane dla zaufanych portów.

1.3 Konfiguracja DHCP Snooping dla VLAN

Przed rozpoczęciem prawidłowego działania DHCP snooping dla sieci VLAN, należy skonfigurować DHCP Snooping VLAN.

Przejdź do:

1.4 Zapisz konfigurację

Nie zapomnij zapisać konfiguracji podczas jej przeprowadzania. Jeśli konfiguracja nie zostanie zapisana, po ponownym uruchomieniu przełącznika zostanie przywrócona poprzednia konfiguracja.

1.4 Co może pójść nie tak

Czasami snooping DHCP może nie działać poprawnie, poniżej można znaleźć przyczynę i sposób jej rozwiązania:

Jeśli aktywowałeś DHCP Snooping na stronie konfiguracji przełącznika.

A także odpowiednio ustawić zaufane i niezaufane porty:

Aby uruchomić DHCP Snooping, należy wybrać VLAN w prawym górnym rogu.

Włącz sieć VLAN, w której chcesz wdrożyć DHCP Snooping.

2) Skonfiguruj DHCP Snooping w starszym interfejsie GUI

Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure

DHCP VLAN: Wybierz identyfikator VLAN, jeśli chcesz, aby przełącznik przekazywał pakiety DHCP do serwerów DHCP w określonej sieci VLAN (VLAN serwera DHCP).

Uwaga: Należy również włączyć DHCP snooping w DHCP VLAN (DHCP server's VLAN).

Jak skonfigurować zaufany port

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > P

Zaufany port: dla portów podłączonych do serwerów DHCP lub innych przełączników.

Untrusted port: dla portów podłączonych do klientów i niezaufanych serwerów DHCP, a przełącznik odrzuca pakiety DHCP z niezaufanych portów w następujących sytuacjach:

1. Pakiet jest pakietem serwera DHCP (na przykład OFFER, ACK lub NACK).
2. Źródłowy adres MAC i źródłowy adres IP w pakiecie nie pasują do żadnego z bieżących powiązań.
3. Pakiet jest pakietem RELEASE lub DECLINE, a źródłowy adres MAC i port źródłowy nie pasują do żadnego z bieżących powiązań.
4. Szybkość przychodzenia pakietów DHCP jest zbyt wysoka.

Uwaga: należy określić maksymalną liczbę pakietów DHCP (1-2048), które przełącznik odbiera z każdego portu na sekundę. Przełącznik odrzuca wszelkie dodatkowe pakiety DHCP. Wprowadź 0, aby wyłączyć ten limit, co jest zalecane dla zaufanych portów.

Jak skonfigurować DHCP Snooping dla VLAN

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > VLAN

Co może pójść nie tak:

Czasami DHCP snooping może nie działać poprawnie, poniżej można znaleźć powód i sposób jego rozwiązania: Aktywowałem DHCP Snooping na stronie konfiguracji przełącznika.

Ustawiłem również odpowiednio zaufane i niezaufane porty.

Aby uruchomić DHCP Snooping, należy wybrać VLAN w prawym górnym rogu.

Włącz sieć VLAN, w której chcesz zaimplementować DHCP Snooping.