Важное уведомление: |
DHCP Snooping: Предотвращает добавление злоумышленниками или пользователями собственного DHCP-сервера в сеть, при этом доступ к сети может осуществляться только по "белому" списку IP-адресов. При использовании DHCP snooping сервер DHCP можно размещать только на "доверенном порту". Доверенный порт может быть определен администратором сети вручную. Все клиенты могут получать IP-адреса с "Доверенного" DHCP-сервера. Все назначения IP-адресов DHCP будут также записываться во внутреннюю таблицу, называемую "Snooping Table".
Эта таблица содержит следующие ключевые атрибуты:
- MAC-адрес
- ИДЕНТИФИКАТОР VLAN
- IP-адрес
- Номер порта
Если привязка существует, коммутатор пересылает пакет или отбрасывает его, если привязка не найдена.
Теперь, если к сети подключен другой DHCP-сервер, но он расположен на "недоверенном" порту, все его DHCP-сообщения будут отбрасываться на этом порту, и, таким образом, никто не сможет получить IP-адрес от этого неавторизованного DHCP-сервера.
- Настройка глобального DHCP Snooping
- Настройка DHCP Snooping для VLAN
- Что может пойти не так
1) Настроить DHCP Snooping
1.1 Настройка глобального DHCP Snooping
Перейдите в раздел:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status
Здесь вы можете увидеть состояние базы данных DHCP Snooping после ее включения.
Перейдите по ссылке:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup
DHCP VLAN: Выберите идентификатор VLAN, если вы хотите, чтобы коммутатор пересылал DHCP-пакеты на DHCP-серверы в определенной VLAN (VLAN сервера DHCP).
Примечание: Необходимо также включить DHCP snooping в DHCP VLAN (VLAN сервера DHCP).
1.2 Настройка доверенного порта
Настройте доверенное состояние сервера, перейдя по ссылке:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup
Доверенный порт: для портов, подключенных к DHCP-серверам или другим коммутаторам.
Недоверенный порт: для портов, подключенных к клиентам и недоверенным DHCP-серверам. Коммутатор отбрасывает DHCP-пакеты с недоверенных портов в следующих ситуациях:
- Пакет является пакетом DHCP-сервера (например, OFFER, ACK или NACK).
- MAC-адрес источника и IP-адрес источника в пакете не соответствуют ни одной из текущих привязок.
- Пакет является пакетом RELEASE или DECLINE, а MAC-адрес источника и порт источника не соответствуют ни одной из текущих привязок.
- Скорость поступления DHCP-пакетов слишком высока.
Примечание: укажите максимальное количество DHCP-пакетов (1-2048), которые коммутатор получает от каждого порта каждую секунду. Коммутатор отбрасывает все дополнительные DHCP-пакеты. Введите 0, чтобы отключить это ограничение, что рекомендуется для доверенных портов.
1.3 Настройка DHCP Snooping для VLAN
Прежде чем обеспечить корректную работу DHCP Snooping для VLAN, необходимо настроить конфигурацию DHCP Snooping VLAN.
Перейдите по адресу:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup
1.4 Сохранить конфигурацию
Не забудьте сохранить конфигурацию при выполнении настройки. Если не сохранить конфигурацию, то при перезагрузке коммутатора она вернется к предыдущей конфигурации.
1.4 Что может пойти не так
Иногда DHCP snooping может работать некорректно, ниже приведены причины и способы их устранения:
Если вы активировали DHCP Snooping на странице конфигурации коммутатора.
А также установите доверенные и недоверенные порты соответственно:
Однако он все равно получает IP-адрес от нелегального DHCP-сервера, который не является портом 10.
Почему DHCP snooping не работает должным образом?
Чтобы заставить DHCP Snooping работать, необходимо выбрать VLAN в правом верхнем углу.
Включите VLAN, в которой вы хотите реализовать DHCP Snooping.
2) Настройте DHCP Snooping в традиционном графическом интерфейсе
Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure
DHCP VLAN: Выберите идентификатор VLAN, если вы хотите, чтобы коммутатор пересылал DHCP-пакеты на DHCP-серверы в определенной VLAN (VLAN сервера DHCP).
Примечание: Необходимо также включить DHCP snooping в DHCP VLAN (VLAN сервера DHCP).
Как настроить доверенный порт
- Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > P
Доверенный порт: для портов, подключенных к DHCP-серверам или другим коммутаторам.
Недоверенный порт: для портов, подключенных к клиентам и недоверенным DHCP-серверам. Коммутатор отбрасывает DHCP-пакеты с недоверенных портов в следующих ситуациях:
- Пакет является пакетом DHCP-сервера (например, OFFER, ACK или NACK).
- MAC-адрес источника и IP-адрес источника в пакете не соответствуют ни одной из текущих привязок.
- Пакет является пакетом RELEASE или DECLINE, а MAC-адрес источника и порт источника не соответствуют ни одной из текущих привязок.
- Скорость поступления DHCP-пакетов слишком высока.
Примечание: укажите максимальное количество DHCP-пакетов (1-2048), которые коммутатор получает от каждого порта каждую секунду. Коммутатор отбрасывает все дополнительные DHCP-пакеты. Введите 0 для отключения этого ограничения, что рекомендуется для доверенных портов.
Как настроить DHCP Snooping для VLAN
- Advanced Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > VLAN
Что может быть не так:
Иногда DHCP Snooping может работать некорректно, ниже описаны причины и способы их устранения: Я активировал DHCP Snooping на странице конфигурации коммутатора.
Кроме того, я установил доверенные и недоверенные порты соответственно.
Однако он все равно получает IP с нелегитимного DHCP-сервера, не с порта 10.
Почему DHCP snooping не работает должным образом?
Пошаговое руководство
Чтобы заставить DHCP Snooping работать, необходимо выбрать VLAN в правом верхнем углу.
Включите VLAN, в которой вы хотите реализовать DHCP Snooping.
Комментарии
0 комментариев
Статья закрыта для комментариев.