Коммутатор - Настройка DHCP Snooping

Важное уведомление: Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

DHCP Snooping: Предотвращает добавление злоумышленниками или пользователями собственного DHCP-сервера в сеть, при этом доступ к сети может осуществляться только по "белому" списку IP-адресов. При использовании DHCP snooping сервер DHCP можно размещать только на "доверенном порту". Доверенный порт может быть определен администратором сети вручную. Все клиенты могут получать IP-адреса с "Доверенного" DHCP-сервера. Все назначения IP-адресов DHCP будут также записываться во внутреннюю таблицу, называемую "Snooping Table".

Эта таблица содержит следующие ключевые атрибуты:

• MAC-адрес
• ИДЕНТИФИКАТОР VLAN
• IP-адрес
• Номер порта

Если привязка существует, коммутатор пересылает пакет или отбрасывает его, если привязка не найдена.

Теперь, если к сети подключен другой DHCP-сервер, но он расположен на "недоверенном" порту, все его DHCP-сообщения будут отбрасываться на этом порту, и, таким образом, никто не сможет получить IP-адрес от этого неавторизованного DHCP-сервера.

- Настройка глобального DHCP Snooping
- Настройка DHCP Snooping для VLAN
- Что может пойти не так

1) Настроить DHCP Snooping

1.1 Настройка глобального DHCP Snooping

Перейдите в раздел:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Здесь вы можете увидеть состояние базы данных DHCP Snooping после ее включения.

Перейдите по ссылке:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN: Выберите идентификатор VLAN, если вы хотите, чтобы коммутатор пересылал DHCP-пакеты на DHCP-серверы в определенной VLAN (VLAN сервера DHCP).

Примечание: Необходимо также включить DHCP snooping в DHCP VLAN (VLAN сервера DHCP).

1.2 Настройка доверенного порта

Настройте доверенное состояние сервера, перейдя по ссылке:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Доверенный порт: для портов, подключенных к DHCP-серверам или другим коммутаторам.

Недоверенный порт: для портов, подключенных к клиентам и недоверенным DHCP-серверам. Коммутатор отбрасывает DHCP-пакеты с недоверенных портов в следующих ситуациях:

1. Пакет является пакетом DHCP-сервера (например, OFFER, ACK или NACK).
2. MAC-адрес источника и IP-адрес источника в пакете не соответствуют ни одной из текущих привязок.
3. Пакет является пакетом RELEASE или DECLINE, а MAC-адрес источника и порт источника не соответствуют ни одной из текущих привязок.
4. Скорость поступления DHCP-пакетов слишком высока.

Примечание: укажите максимальное количество DHCP-пакетов (1-2048), которые коммутатор получает от каждого порта каждую секунду. Коммутатор отбрасывает все дополнительные DHCP-пакеты. Введите 0, чтобы отключить это ограничение, что рекомендуется для доверенных портов.

1.3 Настройка DHCP Snooping для VLAN

Прежде чем обеспечить корректную работу DHCP Snooping для VLAN, необходимо настроить конфигурацию DHCP Snooping VLAN.

Перейдите по адресу:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Сохранить конфигурацию

Не забудьте сохранить конфигурацию при выполнении настройки. Если не сохранить конфигурацию, то при перезагрузке коммутатора она вернется к предыдущей конфигурации.

1.4 Что может пойти не так

Иногда DHCP snooping может работать некорректно, ниже приведены причины и способы их устранения:

Если вы активировали DHCP Snooping на странице конфигурации коммутатора.

А также установите доверенные и недоверенные порты соответственно:

Чтобы заставить DHCP Snooping работать, необходимо выбрать VLAN в правом верхнем углу.

Включите VLAN, в которой вы хотите реализовать DHCP Snooping.

2) Настройте DHCP Snooping в традиционном графическом интерфейсе

Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure

DHCP VLAN: Выберите идентификатор VLAN, если вы хотите, чтобы коммутатор пересылал DHCP-пакеты на DHCP-серверы в определенной VLAN (VLAN сервера DHCP).

Примечание: Необходимо также включить DHCP snooping в DHCP VLAN (VLAN сервера DHCP).

Как настроить доверенный порт

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > P

Доверенный порт: для портов, подключенных к DHCP-серверам или другим коммутаторам.

Недоверенный порт: для портов, подключенных к клиентам и недоверенным DHCP-серверам. Коммутатор отбрасывает DHCP-пакеты с недоверенных портов в следующих ситуациях:

1. Пакет является пакетом DHCP-сервера (например, OFFER, ACK или NACK).
2. MAC-адрес источника и IP-адрес источника в пакете не соответствуют ни одной из текущих привязок.
3. Пакет является пакетом RELEASE или DECLINE, а MAC-адрес источника и порт источника не соответствуют ни одной из текущих привязок.
4. Скорость поступления DHCP-пакетов слишком высока.

Примечание: укажите максимальное количество DHCP-пакетов (1-2048), которые коммутатор получает от каждого порта каждую секунду. Коммутатор отбрасывает все дополнительные DHCP-пакеты. Введите 0 для отключения этого ограничения, что рекомендуется для доверенных портов.

Как настроить DHCP Snooping для VLAN

• Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > VLAN

Что может быть не так:

Иногда DHCP Snooping может работать некорректно, ниже описаны причины и способы их устранения: Я активировал DHCP Snooping на странице конфигурации коммутатора.

Кроме того, я установил доверенные и недоверенные порты соответственно.

Чтобы заставить DHCP Snooping работать, необходимо выбрать VLAN в правом верхнем углу.

Включите VLAN, в которой вы хотите реализовать DHCP Snooping.