Viktigt meddelande: |
DHCP Snooping: Förhindrar att angripare eller användare lägger till sin egen DHCP-server i nätverket och endast en vitlista med IP-adresser kan komma åt nätverket. När du använder DHCP snooping kan du bara placera DHCP-servern på en "Trusted Port". Den betrodda porten kan definieras manuellt av nätverksadministratören. Alla klienter kan få IP-adressen från den "betrodda" DHCP-servern. Alla DHCP IP-adresstilldelningar kommer också att registreras i en intern tabell som kallas "Snooping Table".
Denna tabell innehåller följande nyckelattribut:
- MAC-adress
- VLAN-ID
- IP-adress
- Portnummer
Om det finns en bindning vidarebefordrar växeln paketet eller kasserar det om ingen bindning kan hittas.
Om det nu finns en annan DHCP-server ansluten till nätverket, men den är placerad på en "obehörig" port, kommer alla dess DHCP-meddelanden att kasseras på den porten och därmed kommer ingen annan att kunna få IP från denna obehöriga DHCP-server.
- Konfigurera global DHCP Snooping
- Konfigurera DHCP Snooping för VLAN
- Vad kan gå fel
1) Konfigurera DHCP Snooping
1.1 Konfigurera Global DHCP Snooping
Navigera till:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status
Här kan du se databasstatusen för din DHCP Snooping efter att du har aktiverat den.
Navigera till:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup
DHCP VLAN: Välj ett VLAN-ID om du vill att växeln ska vidarebefordra DHCP-paket till DHCP-servrar i ett visst VLAN (DHCP-serverns VLAN).
Observera: Du måste också aktivera DHCP snooping på DHCP VLAN (DHCP-serverns VLAN).
1.2 Konfigurera betrodd port
Konfigurera serverns betrodda tillstånd genom att navigera till:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup
Betroddport: för portar som är anslutna till DHCP-servrar eller andra växlar.
Obetrodd port: för portar som är anslutna till klienter och obetrodda DHCP-servrar, och växeln kasserar DHCP-paket från obetrodda portar i följande situationer:
- Paketet är ett DHCP-serverpaket (t.ex. OFFER, ACK eller NACK).
- Källans MAC-adress och källans IP-adress i paketet matchar inte någon av de aktuella bindningarna.
- Paketet är ett RELEASE- eller DECLINE-paket och källans MAC-adress och källport matchar inte någon av de aktuella bindningarna.
- Hastigheten med vilken DHCP-paket anländer är för hög.
Anm: Ange det maximala antalet DHCP-paket (1-2048) som växeln tar emot från varje port varje sekund. Växeln kasserar alla ytterligare DHCP-paket. Ange 0 för att inaktivera denna gräns, vilket rekommenderas för betrodda portar.
1.3 Konfigurera DHCP Snooping för VLAN
Innan du kan få DHCP Snooping att fungera korrekt för ditt VLAN måste du konfigurera DHCP Snooping VLAN-konfigurationen.
Navigera till:
SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup
1.4 Spara din konfiguration
Glöm inte att spara konfigurationen när du håller på att konfigurera. Om du inte sparar konfigurationen kommer den att återgå till den tidigare konfigurationen när du startar om switchen.
1.4 Vad kan gå fel
Ibland kanske DHCP snooping inte fungerar som det ska, nedan hittar du en förklaring till varför och hur du löser problemet:
Om du har aktiverat DHCP Snooping på switchens konfigurationssida.
Och även ställt in betrodda och obetrodda portar i enlighet med detta:
Den får dock fortfarande en IP från en olaglig DHCP-server som inte är från port 10.
Varför fungerar inte DHCP snooping korrekt?
För att få DHCP Snooping att fungera måste du välja VLAN längst upp till höger.
Aktivera det VLAN som du vill implementera DHCP Snooping på.
2) Konfigurera DHCP Snooping på äldre GUI
Avancerat program > IP-källskydd > IPv4-källskyddskonfiguration > DHCP Snooping > Konfigurera
DHCP VLAN: Välj ett VLAN-ID om du vill att växeln ska vidarebefordra DHCP-paket till DHCP-servrar på ett specifikt VLAN (DHCP-serverns VLAN).
Observera: Du måste också aktivera DHCP-snooping på DHCP VLAN (DHCP-serverns VLAN).
Så här konfigurerar du Trusted Port
- Avancerat program > IP Source Guard > Inställningar för IPv4 Source Guard > DHCP Snooping > Konfigurera > P
Betroddport: för portar som är anslutna till DHCP-servrar eller andra växlar.
Obetrodd port: för portar som är anslutna till klienter och obetrodda DHCP-servrar, och växeln kasserar DHCP-paket från obetrodda portar i följande situationer:
- Paketet är ett DHCP-serverpaket (t.ex. OFFER, ACK eller NACK).
- Källans MAC-adress och källans IP-adress i paketet matchar inte någon av de aktuella bindningarna.
- Paketet är ett RELEASE- eller DECLINE-paket och källans MAC-adress och källport matchar inte någon av de aktuella bindningarna.
- Hastigheten med vilken DHCP-paket anländer är för hög.
Anm: Ange det maximala antalet DHCP-paket (1-2048) som växeln tar emot från varje port varje sekund. Växeln kasserar alla ytterligare DHCP-paket. Ange 0 för att inaktivera denna gräns, vilket rekommenderas för betrodda portar.
Så här konfigurerar du DHCP Snooping för VLAN
- Avancerat program > IP-källskydd > IPv4-källskyddskonfiguration > DHCP Snooping > Konfigurera > VLAN
Vad kan gå fel?
Ibland kanske DHCP snooping inte fungerar korrekt, nedan kan du hitta en anledning till varför och hur du löser det: Jag har aktiverat DHCP Snooping på switchens konfigurationssida.
Och jag har också ställt in betrodda och obetrodda portar, i enlighet med detta.
Men den får fortfarande en IP från en olaglig DHCP-server som inte är från port 10.
Varför fungerar inte DHCP snooping som det ska?
Steg för steg-guide
För att få DHCP Snooping att fungera måste du välja VLAN längst upp till höger.
Aktivera det VLAN som du vill implementera DHCP Snooping på.
Kommentarer
0 kommentarerArtikeln är stängd för kommentarer.