Отслеживание DHCP: не позволяйте злоумышленникам или пользователям добавлять свой собственный DHCP-сервер в сеть, и только белый список IP-адресов может получить доступ к сети. Когда вы используете отслеживание DHCP, вы можете разместить DHCP-сервер только на «Trusted Port». Доверие Port может быть определено администратором сети вручную. Все клиенты могут получить IP-адрес от «доверенного» DHCP-сервера. Все назначения IP-адресов DHCP также будут записаны во внутреннюю таблицу, которая называется «Таблица отслеживания».
Эта таблица содержит следующие ключевые атрибуты:
- MAC-адрес
- ID VLAN
- айпи адрес
- Номер Port
Если есть привязка, Switch пересылает пакет или отбрасывает его, если привязка не может быть найдена.
Теперь, если есть другой DHCP-сервер, подключенный к сети, но расположенный на «ненадежном» порте, все его сообщения DHCP будут отброшены на этом порту, и, таким образом, никто другой не сможет получить IP-адрес от этого неавторизованного DHCP. Сервер.
- Настройка глобального DHCP Snooping
- Настройка DHCP Snooping для VLAN
- Что может быть не так
Как настроить глобальное отслеживание DHCP
- Advanced Application> IP Source Guard> Настройка IPv4 Source Guard> DHCP Snooping> Настроить
DHCP VLAN: выберите идентификатор VLAN, если вы хотите, чтобы Switch пересылал DHCP-пакеты на DHCP-серверы в определенной VLAN (VLAN DHCP-сервера).
Примечание. Вы также должны включить отслеживание DHCP в DHCP VLAN (VLAN DHCP-сервера) .
Как настроить доверенный Port
- Advanced Application> IP Source Guard> Настройка IPv4 Source Guard> DHCP Snooping> Настроить> P
Надежный порт: для портов, подключенных к DHCP-серверам или другим коммутаторам.
Недоверенный порт: для портов, подключенных к клиентам и ненадежным DHCP-серверам, а Switch отбрасывает DHCP-пакеты от ненадежных портов в следующих ситуациях:
- Пакет представляет собой пакет DHCP-сервера (например, OFFER, ACK или NACK).
- MAC-адрес источника и IP-адрес источника в пакете не соответствуют ни одной из текущих привязок.
- Пакет является пакетом RELEASE или DECLINE, а исходный MAC-адрес и исходный порт не соответствуют ни одной из текущих привязок.
- Скорость доставки пакетов DHCP слишком высока.
Примечание: укажите максимальное количество пакетов DHCP (1-2048), которые Switch получает от каждого порта каждую секунду. Switch отбрасывает любые дополнительные пакеты DHCP. Введите 0, чтобы отключить это ограничение, что рекомендуется для доверенных портов.
Как настроить DHCP Snooping для VLAN
- Advanced Application> IP Source Guard> Настройка IPv4 Source Guard> DHCP Snooping> Настроить> VLAN
Что может пойти не так:
Иногда отслеживание DHCP может работать некорректно, ниже вы можете найти причину, почему и как это решить: Я активировал отслеживание DHCP на странице конфигурации коммутатора.
И я также установил доверенные и ненадежные порты соответственно.
Однако он по-прежнему получает IP от нелегитимного DHCP-сервера, а не от порта 10.
Почему отслеживание DHCP не работает должным образом?
Пошаговое руководство
Чтобы включить DHCP Snooping, вам нужно выбрать VLAN в правом верхнем углу.
Включите VLAN, в которой вы хотите реализовать DHCP Snooping.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности в точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия
Комментарии
0 комментариев
Статья закрыта для комментариев.