Prepínač - konfigurácia funkcie DHCP Snooping

Vytvorené December 23, 2021 12:53 - Aktualizované August 25, 2023 07:19

Serhii Boiarynov

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím originálny článok tu: Originálna verzia

DHCP Snooping: Zabráňte útočníkom alebo používateľom pridať do siete vlastný server DHCP a do siete môže pristupovať len biely zoznam adries IP. Pri použití funkcie DHCP snooping môžete umiestniť server DHCP iba na "dôveryhodný port". Dôveryhodný port môže správca siete definovať manuálne. Všetci klienti môžu získať IP adresu z "dôveryhodného" servera DHCP. Všetky pridelenia IP adries DHCP sa budú zaznamenávať aj do internej tabuľky nazvanej "Tabuľka snoopingu".

Táto tabuľka obsahuje tieto kľúčové atribúty:

MAC adresu
ID VLAN
IP adresa
číslo portu

Ak existuje väzba, prepínač paket prepošle alebo ho zahodí, ak sa väzba nenájde.

Ak je teraz k sieti pripojený iný server DHCP, ktorý sa však nachádza na "nedôveryhodnom" porte, všetky jeho správy DHCP sa na tomto porte zahodia, a teda nikto iný nebude môcť získať IP od tohto neautorizovaného servera DHCP.

- Nastavenie globálneho DHCP Snooping
- Nastavenie DHCP Snooping pre VLAN
- Čo sa môže pokaziť

1) Konfigurácia funkcie DHCP Snooping

1.1 Konfigurácia globálneho DHCP Snooping

Prejdite na:

dyn_repppp_0

Tu môžete vidieť stav databázy DHCP Snooping po jeho zapnutí.

Prejdite na:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

DHCP VLAN: Vyberte ID VLAN, ak chcete, aby prepínač preposielal pakety DHCP serverom DHCP v konkrétnej VLAN (VLAN servera DHCP).

Poznámka: Musíte tiež povoliť DHCP snooping na DHCP VLAN (VLAN servera DHCP).

1.2 Konfigurácia dôveryhodného portu

Dôveryhodný stav servera nakonfigurujte tak, že prejdete na stránku:

dyn_repppp_2

Dôveryhodný port: pre porty pripojené k serverom DHCP alebo iným prepínačom.

Nedôveryhodný port: pre porty pripojené ku klientom a nedôveryhodným serverom DHCP, pričom prepínač v nasledujúcich situáciách zahodí pakety DHCP z nedôveryhodných portov:

Paket je paketom servera DHCP (napríklad OFFER, ACK alebo NACK).
Zdrojová adresa MAC a zdrojová adresa IP v pakete sa nezhodujú so žiadnou z aktuálnych väzieb.
Paket je paket RELEASE alebo DECLINE a zdrojová adresa MAC a zdrojový port sa nezhodujú so žiadnou z aktuálnych väzieb.
Rýchlosť, akou prichádzajú pakety DHCP, je príliš vysoká.

Poznámka: Zadajte maximálny počet pre pakety DHCP (1-2048), ktoré prepínač prijíma z každého portu každú sekundu. Prepínač zahodí všetky ďalšie pakety DHCP. Zadaním hodnoty 0 tento limit vypnete, čo sa odporúča pre dôveryhodné porty.

1.3 Konfigurácia DHCP Snooping pre VLAN

Predtým, ako budete môcť správne sprevádzkovať DHCP snooping pre vašu VLAN, musíte nakonfigurovať konfiguráciu DHCP Snooping VLAN.

Prejdite na stránku:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Uloženie konfigurácie

Pri konfigurácii nezabudnite uložiť svoju konfiguráciu. Ak konfiguráciu neuložíte, po reštartovaní prepínača sa vráti na predchádzajúcu konfiguráciu.

1.4 Čo sa môže pokaziť

Niekedy DHCP snooping nemusí fungovať správne, nižšie nájdete dôvod, prečo a ako ho vyriešiť:

Ak ste aktivovali funkciu DHCP Snooping na konfiguračnej stránke prepínača.

A podľa toho nastavte aj dôveryhodné a nedôveryhodné porty:

Stále však dostáva IP adresu z nelegitímneho servera DHCP, ktorá nie je z portu 10.

Prečo DHCP snooping nefunguje správne?

Ak chcete, aby DHCP Snooping fungoval, musíte v pravom hornom rohu vybrať VLAN.

Povoľte VLAN, v ktorej chcete implementovať DHCP Snooping.

2) Konfigurácia funkcie DHCP Snooping v staršom grafickom používateľskom rozhraní

Rozšírené aplikácie > Ochrana zdrojov IP > Nastavenie ochrany zdrojov IPv4 > DHCP Snooping > Konfigurovať

DHCP VLAN: Vyberte identifikátor VLAN, ak chcete, aby prepínač preposielal pakety DHCP serverom DHCP v konkrétnej VLAN (VLAN servera DHCP).

Poznámka: Musíte tiež povoliť DHCP snooping na DHCP VLAN (VLAN DHCP servera).

Ako nastaviť dôveryhodný port

Rozšírené aplikácie > Ochrana zdrojov IP > Nastavenie ochrany zdrojov IPv4 > DHCP Snooping > Konfigurácia > P

Dôveryhodný port: pre porty pripojené k serverom DHCP alebo iným prepínačom.

Nedôveryhodný port: pre porty pripojené ku klientom a nedôveryhodným serverom DHCP, pričom prepínač zahodí pakety DHCP z nedôveryhodných portov v nasledujúcich situáciách:

Paket je paketom servera DHCP (napríklad OFFER, ACK alebo NACK).
Zdrojová adresa MAC a zdrojová adresa IP v pakete sa nezhodujú so žiadnou z aktuálnych väzieb.
Paket je paket RELEASE alebo DECLINE a zdrojová adresa MAC a zdrojový port sa nezhodujú so žiadnou z aktuálnych väzieb.
Rýchlosť, akou prichádzajú pakety DHCP, je príliš vysoká.

Ako nastaviť DHCP Snooping pre VLAN

Rozšírené aplikácie > Ochrana zdrojov IP > Nastavenie ochrany zdrojov IPv4 > DHCP Snooping > Konfigurácia > VLAN

Čo sa môže pokaziť:

Nižšie nájdete dôvod, prečo to nefunguje a ako to vyriešiť: Na konfiguračnej stránke prepínača som aktivoval funkciu DHCP Snooping.

A podľa toho som nastavil aj dôveryhodné a nedôveryhodné porty.

Stále však dostáva IP adresu z nelegitímneho servera DHCP, ktorá nie je z portu 10.

Prečo DHCP snooping nefunguje správne?

Sprievodca krok za krokom

Ak chcete sprevádzkovať DHCP Snooping, musíte vybrať VLAN na pravej hornej strane.