Switch - DHCP Snooping'i Yapılandırma

DHCP Snooping: Saldırganların veya kullanıcıların ağa kendi DHCP Sunucularını eklemelerini önleyin ve ağa yalnızca beyaz listedeki IP adresleri erişebilir. DHCP gözetlemesini kullandığınızda, DHCP Sunucusunu yalnızca bir "Güvenilen Bağlantı Noktasına" yerleştirebilirsiniz. Güven Bağlantı Noktası ağ yöneticisi tarafından manuel olarak tanımlanabilir. Tüm istemciler IP adresini "Güvenilir" DHCP Sunucusundan alabilir. Tüm DHCP IP adresi atamaları "Snooping Tablosu" adı verilen dahili bir tabloya da kaydedilecektir.

Bu tablo şu temel nitelikleri içerir:

• MAC adresi
• VLAN KIMLIĞI
• IP adresi
• Liman numarası

Eğer bir bağlama varsa, Switch paketi iletir veya herhangi bir bağlama bulunamazsa paketi atar.

Şimdi, ağa bağlı başka bir DHCP Sunucusu varsa, ancak "güvenilmeyen" bir bağlantı noktasında bulunuyorsa, tüm DHCP mesajları bu bağlantı noktasında atılacak ve böylece başka hiç kimse bu yetkisiz DHCP Sunucusundan IP alamayacaktır.

- Global DHCP Snooping'i Kurma
- VLAN için DHCP Snooping'i Kurma
- Ne yanlış gidebilir

1) DHCP Snooping'i Yapılandırma

1.1 Global DHCP Snooping'i Yapılandırma

Şuraya git:

Burada, etkinleştirdikten sonra DHCP Snooping'inizin veritabanı durumunu görebilirsiniz.

Şuraya git:

DHCP VLAN: Switch'in DHCP paketlerini belirli bir VLAN (DHCP sunucusunun VLAN'ı) üzerindeki DHCP sunucularına iletmesini istiyorsanız bir VLAN ID seçin.

Not: DHCP snooping'i DHCP VLAN (DHCP sunucusunun VLAN'ı) üzerinde de etkinleştirmeniz gerekir.

1.2 Güvenilir Bağlantı Noktasını Yapılandırma

Sunucu güvenilir durumunu şuraya giderek yapılandırın:

Güvenilir bağlantı noktası: DHCP sunucularına veya diğer anahtarlara bağlı bağlantı noktaları için.

Güvenilmeyen bağlantı noktası: istemcilere ve güvenilmeyen DHCP sunucularına bağlı bağlantı noktaları içindir ve Switch, aşağıdaki durumlarda güvenilmeyen bağlantı noktalarından gelen DHCP paketlerini atar:

1. Paket bir DHCP sunucu paketidir (örneğin, TEKLİF, ACK veya NACK).
2. Paketteki kaynak MAC adresi ve kaynak IP adresi geçerli bağlardan hiçbiriyle eşleşmiyor.
3. Paket bir RELEASE veya DECLINE paketidir ve kaynak MAC adresi ve kaynak bağlantı noktası geçerli bağlardan hiçbiriyle eşleşmez.
4. DHCP paketlerinin ulaşma hızı çok yüksek.

Not: Switch'in her bir bağlantı noktasından her saniye aldığı DHCP paketleri için maksimum sayıyı (1-2048) belirtin. Switch tüm ek DHCP paketlerini atar. Güvenilir bağlantı noktaları için önerilen bu sınırı devre dışı bırakmak için 0 girin.

1.3 VLAN için DHCP Snooping'i Yapılandırma

DHCP snooping'in VLAN'ınız için düzgün çalışmasını sağlamadan önce, DHCP Snooping VLAN yapılandırmasını yapılandırmanız gerekir.

Şuraya git:

1.4 Yapılandırmanızı Kaydedin

Yapılandırma yaparken yapılandırmanızı kaydetmeyi unutmayın. Yapılandırmayı kaydetmezseniz, anahtarı yeniden başlattığınızda önceki yapılandırmaya geri dönecektir.

1.4 Neyin yanlış gidebileceği

Bazen DHCP snooping düzgün çalışmayabilir, aşağıda bunun nedenini ve nasıl çözüleceğini bulabilirsiniz:

Anahtar yapılandırma sayfasında DHCP Snooping'i etkinleştirdiyseniz.

Ve ayrıca buna göre güvenilir ve güvenilmeyen bağlantı noktalarını ayarlayın:

DHCP Snooping'in çalışmasını sağlamak için sağ üst taraftan VLAN'ı seçmeniz gerekir.

DHCP Snooping'i uygulamak istediğiniz VLAN'ı etkinleştirin.

2) DHCP Snooping'i eski GUI üzerinde yapılandırın

Gelişmiş Uygulama > IP Kaynak Koruması > IPv4 Kaynak Koruması Kurulumu > DHCP Snooping > Yapılandır

DHCP VLAN: Switch'in DHCP paketlerini belirli bir VLAN (DHCP sunucusunun VLAN'ı) üzerindeki DHCP sunucularına iletmesini istiyorsanız bir VLAN ID seçin.

Not: DHCP snooping'i DHCP VLAN (DHCP sunucusunun VLAN'ı) üzerinde de etkinleştirmeniz gerekir.

Güvenilir Bağlantı Noktası Nasıl Kurulur

• Gelişmiş Uygulama > IP Kaynak Koruması > IPv4 Kaynak Koruması Kurulumu > DHCP Snooping > Yapılandır > P

Güvenilir bağlantı noktası: DHCP sunucularına veya diğer anahtarlara bağlı bağlantı noktaları için.

Güvenilmeyen bağlantı noktası: istemcilere ve güvenilmeyen DHCP sunucularına bağlı bağlantı noktaları içindir ve Switch, aşağıdaki durumlarda güvenilmeyen bağlantı noktalarından gelen DHCP paketlerini atar:

1. Paket bir DHCP sunucu paketidir (örneğin, TEKLİF, ACK veya NACK).
2. Paketteki kaynak MAC adresi ve kaynak IP adresi geçerli bağlardan hiçbiriyle eşleşmiyor.
3. Paket bir RELEASE veya DECLINE paketidir ve kaynak MAC adresi ve kaynak bağlantı noktası geçerli bağlardan hiçbiriyle eşleşmez.
4. DHCP paketlerinin ulaşma hızı çok yüksek.

Not: Switch'in her bir bağlantı noktasından her saniye aldığı DHCP paketleri için maksimum sayıyı (1-2048) belirtin. Switch tüm ek DHCP paketlerini atar. Güvenilen bağlantı noktaları için önerilen bu sınırı devre dışı bırakmak için 0 girin.

VLAN için DHCP Snooping Nasıl Kurulur

• Gelişmiş Uygulama > IP Kaynak Koruması > IPv4 Kaynak Koruması Kurulumu > DHCP Snooping > Yapılandır > VLAN

Ne yanlış gidebilir ki?

Bazen DHCP snooping düzgün çalışmayabilir, aşağıda bunun nedenini ve nasıl çözüleceğini bulabilirsiniz: Anahtar yapılandırma sayfasında DHCP Snooping'i etkinleştirdim.

Ayrıca güvenilir ve güvenilmeyen portları da buna göre ayarladım.

DHCP Snooping'in çalışmasını sağlamak için sağ üst taraftan VLAN'ı seçmeniz gerekir.

DHCP Snooping'i uygulamak istediğiniz VLAN'ı etkinleştirin.