Comutator - Configurați DHCP Snooping

DHCP Snooping: Împiedicați atacatorii sau utilizatorii să își adauge propriul server DHCP în rețea și numai o listă albă de adrese IP poate accesa rețeaua. Atunci când utilizați DHCP snooping, puteți plasa serverul DHCP numai pe un "Port de încredere". Portul de încredere poate fi definit manual de către administratorul de rețea. Toți clienții pot obține adresa IP de la serverul DHCP "de încredere". Toate alocările de adrese IP DHCP vor fi, de asemenea, înregistrate într-un tabel intern numit "Snooping Table".

Acest tabel conține următoarele atribute cheie:

• Adresa MAC
• ID VLAN
• Adresa IP
• Numărul portului

Dacă există o legătură, Switch-ul transmite pachetul sau îl respinge, dacă nu se găsește nicio legătură.

Acum, dacă mai există un alt server DHCP conectat la rețea, dar care se află pe un port "nesigur", toate mesajele sale DHCP vor fi respinse pe acel port și, astfel, nimeni altcineva nu va putea obține IP de la acest server DHCP neautorizat.

- Configurarea Global DHCP Snooping
- Configurare DHCP Snooping pentru VLAN
- Ce poate merge prost

1) Configurați DHCP Snooping

1.1 Configurați DHCP Snooping global

Navigați la:

Aici puteți vedea starea bazei de date a DHCP Snooping după activarea acestuia.

Navigați la:

DHCP VLAN: Selectați un ID VLAN dacă doriți ca Switch-ul să redirecționeze pachetele DHCP către serverele DHCP dintr-un VLAN specific (VLAN-ul serverului DHCP).

Notă: De asemenea, trebuie să activați DHCP snooping și pe DHCP VLAN (VLAN al serverului DHCP).

1.2 Configurarea portului de încredere

Configurați starea de încredere a serverului navigând la: Server trusted state (Stare de încredere a serverului):

Trusted port (Port de încredere): pentru porturile conectate la servere DHCP sau la alte switch-uri.

Untrusted port (Port de neîncredere): pentru porturile conectate la clienți și la servere DHCP de neîncredere, iar Comutatorul respinge pachetele DHCP de la porturile de neîncredere în următoarele situații:

1. Pachetul este un pachet al serverului DHCP (de exemplu, OFFER, ACK sau NACK).
2. Adresa MAC sursă și adresa IP sursă din pachet nu se potrivesc cu niciuna dintre legăturile curente.
3. Pachetul este un pachet RELEASE sau DECLINE, iar adresa MAC sursă și portul sursă nu se potrivesc cu niciuna dintre legăturile curente.
4. Rata la care sosesc pachetele DHCP este prea mare.

Notă: specificați numărul maxim pentru pachetele DHCP (1-2048) pe care Switch-ul le primește de la fiecare port în fiecare secundă. Comutatorul respinge toate pachetele DHCP suplimentare. Introduceți 0 pentru a dezactiva această limită, care este recomandată pentru porturile de încredere.

1.3 Configurați DHCP Snooping pentru VLAN

Înainte de a putea face ca DHCP Snooping să funcționeze corect pentru VLAN-ul dumneavoastră, trebuie să configurați configurația DHCP Snooping VLAN.

Navigați la:

1.4 Salvați configurația dvs.

Nu uitați să vă salvați configurația atunci când o configurați. Dacă nu salvați configurația, aceasta va reveni la configurația anterioară atunci când reporniți comutatorul.

1.4 Ce poate merge prost

Uneori, este posibil ca DHCP snooping să nu funcționeze corect, mai jos puteți găsi un motiv și cum să îl rezolvați:

Dacă ați activat DHCP Snooping pe pagina de configurare a comutatorului.

Și, de asemenea, ați setat porturile de încredere și de neîncredere, în mod corespunzător:

Pentru ca DHCP Snooping să funcționeze, trebuie să selectați VLAN în partea dreaptă sus.

Activați VLAN-ul pe care doriți să implementați DHCP Snooping.

2) Configurați DHCP Snooping în interfața grafică tradițională

Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure

DHCP VLAN: Selectați un ID VLAN dacă doriți ca Switch-ul să redirecționeze pachetele DHCP către serverele DHCP dintr-un VLAN specific (VLAN-ul serverului DHCP).

Notă: De asemenea, trebuie să activați DHCP snooping și pe DHCP VLAN (VLAN-ul serverului DHCP).

Cum se configurează portul de încredere

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > P

Port de încredere: pentru porturile conectate la servere DHCP sau la alte switch-uri.

Port de neîncredere: pentru porturile conectate la clienți și servere DHCP de neîncredere, iar comutatorul respinge pachetele DHCP de la porturile de neîncredere în următoarele situații:

1. Pachetul este un pachet al serverului DHCP (de exemplu, OFFER, ACK sau NACK).
2. Adresa MAC sursă și adresa IP sursă din pachet nu se potrivesc cu niciuna dintre legăturile curente.
3. Pachetul este un pachet RELEASE sau DECLINE, iar adresa MAC sursă și portul sursă nu se potrivesc cu niciuna dintre legăturile curente.
4. Rata la care sosesc pachetele DHCP este prea mare.

Notă: specificați numărul maxim pentru pachetele DHCP (1-2048) pe care Switch-ul le primește de la fiecare port în fiecare secundă. Comutatorul respinge toate pachetele DHCP suplimentare. Introduceți 0 pentru a dezactiva această limită, care este recomandată pentru porturile de încredere.

Cum se configurează DHCP Snooping pentru VLAN

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > VLAN

Ce poate fi greșit:

Uneori, DHCP snooping poate să nu funcționeze corect, mai jos puteți găsi un motiv pentru care și cum să îl rezolvați: Am activat DHCP Snooping pe pagina de configurare a comutatorului.

Și am setat, de asemenea, porturile de încredere și de neîncredere, în mod corespunzător.

Pentru ca DHCP Snooping să funcționeze, trebuie să selectați VLAN în partea dreaptă sus.

Activați VLAN-ul pe care doriți să implementați DHCP Snooping.