dhcp Snooping

de la Xgu.ru

DHCP Snooping regleaza doar mesajele DHCP, și nu pot influența în mod direct asupra traficului utilizatorilor sau alte protocoale. Unele switch-uri de funcții care nu sunt legate direct de DHCP, pot efectua controale pe baza DHCP tabelul IGMP (DHCP IGMP de legare de baze de date) legături. Printre acestea:

[Edit] Introducere

DHCP Snooping poate:

Pentru DHCP IGMP să funcționeze corect, trebuie să specificați care comutați porturile sunt de încredere (de încredere), și ceea ce - nu (nu este de încredere, în continuare - fiabile):

  • Nefiabile (Nesigur) - porturi, care sunt conectate la clienți. DHCP-răspunsuri care provin din aceste porturi sunt aruncate de către comutatorul. Pentru porturile neautentificate efectuează o serie de mesaje controale DHCP DHCP și creează baze de date (DHCP IGMP bază de date cu caracter obligatoriu) de legare.
  • Trusted (Trusted) - porturile comutatorului la care este conectat un alt comutator sau DHCP-server. DHCP-pachetele sunt primite de la porturile de încredere nu sunt eliminate.

[Edit] DHCP snooping lucrări:

dhcp Snooping

În mod implicit, comutatorul decarteaza-pachetul DHCP, care a ajuns la un port nesigur în cazul în care:

[Regula] Exemplu topologie

Topologia prezentată în figură nu este o recomandare, și servește ca o demonstrație a ceea ce trece porturile pentru a specifica de încredere și care nu sunt fiabile.

DHCP setări Streseaza comutatoarele de diferiți producători sunt efectuate pentru această topologie (configurație comută fișiere la sfârșitul paginii).

legendă:

  • Pe comutatoarele SW1 și SW2 activat DHCP Snooping;
  • 24 port de switch SW1 și SW2 comutator A1 port de încredere specifica, deoarece porturi neautentificate mesaje DHCP-server vor fi eliminate;
  • 24 port de switch SW1 și SW2 comutator A1 port de încredere specifica, deoarece comutatorul, care a activat DHCP Snooping va transmite DHCP-cereri numai în porturile de încredere.

[Edit] Procedura de setare a

  1. Setarea și verificarea DHCP-server DHCP și-releu, fără a inclus DHCP snooping.
  2. Activarea DHCP Snooping. După DHCP spioneze comutatorul și porniți VLAN relevante, toate porturile de pe comutator sunt considerate fiabile în mod implicit.
  3. Specificarea porturilor de încredere. Aceste porturi, care sunt conectate la switch-uri, și care conduc la DHCP-server (sau porturi la care este conectat serverul) ar trebui să fie configurat ca fiind de încredere.
  4. Setarea opțiunilor de politică 82 de prelucrare.
  5. (Opțional) Activarea sau dezactivarea suplimentare de audit DHCP-posturi.

În datele de legare DHCP stocate (datele sunt stocate numai pe porturile neautentificate):

[Articolul] Utilizarea opțiunii 82

În mod implicit, un comutator care activat DHCP Snooping, introduce opțiunea DHCP în 82-cereri. Comutarea se poate modifica sau opțiunea 82 se introduce, chiar dacă clientul și serverul sunt pe aceeași subrețea.

Când introduceți opțiunea 82, comutatorul introduce de fapt două valori:

Implicit, comutatorul utilizează DHCP Snooping, detectează și respinge orice cerere care conține un server DHCP-opțiune de 82, pe care a primit prin portul untrusted.

Acest mod ar trebui să plece, în cazul în care comutatorul este conectat la clienții finali. Primirea unei solicitări cu opțiunea 82 din partea clientului va fi spus despre atac, că comutatorul trebuie să fie prevenită.

În diagrama de această problemă apare:

  • Când SW1 primește o solicitare de la o gazdă, se verifică și dacă totul este în ordine, merge mai departe. Dar, în același timp, opțiunea 82 este introdus în cererea
  • SW2, atunci când vi se solicită pentru lipsa de fiabilitate a interfeței, efectuează testul din nou și de a vedea opțiunea 82 în cerere, picături ea

Există trei moduri de a rezolva această problemă:

  • Asigurați-port de pe a5 SW2 comutator de încredere
    • Deși apoi cere de la gazde și nu vor fi verificate mai des, nu este teribil, ca toate cererile clienților au fost deja testate pentru SW1
  • opțiuni privind posibilitatea de prelucrare 82 SW2 Configurare:
    • Salvați opțiunea 82 în pachetul primit
    • Înlocuiți opțiunea 82 din pachetul primit
  • Dezactivați opțiunea de inserție 82 pe SW1 (nu poate fi pe toate echipamentele)

[Edit] DHCP spioneze ProCurve întrerupătoare Setare

Activare DHCP Snooping:

Activează DHCP IGMP într-un VLAN, care trebuie să fie protejate cu ajutorul:

[Edit] Configurarea unui porturi de încredere și nu sunt de încredere

În mod implicit, porturile de comutare sunt fiabile, astfel încât porturile de încredere ar trebui să fie indicate în mod expres.

Specificați porturile de încredere:

Numărul maxim de DHCP-server din lista - 20.

Dacă este necesar, puteți dezactiva această verificare:

[Edit] Opțiuni de setare 82

Cu opțiunea 82 este asociată cu două setări:

  • Setarea valorilor ID la distanță;
  • Configurarea opțiunii de politică de pachete de prelucrare 82.

Setarea ID-ul de la distanță:

Valori ID la distanță:

Configurarea de pachete de opțiuni de politică de procesare 82:

  • picătură - aruncați pachetul;
  • păstrează - comutatorul trimite pachetul la opțiunea de valoare stocată 82;
  • înlocuiți - comutatorul trimite pachetul, dar înlocuiește valoarea opțiunii 82.

caseta Dezactivează opțiunea 82:

[Regula] DHCP Snooping și DHCP-releu

Opțiuni Setări 82 DHCP Snooping suprascrie orice setare globală specificată atunci când configurați comutatorul pentru DHCP-releu.

Descriere Ajustare ProCurve comută pentru procedura DHCP-releu pot fi găsite la pagina 82 Opțiunea DHCP.

Dacă DHCP Snooping nu este configurat în VLAN, setările globale sunt aplicate acestuia.

[Edit] Depanarea

În K.15 firmware mai vechi


Dacă doriți să se afișeze mesaje de depanare în sesiunea curentă:

[Edit] DHCP spioneze setarea Cisco

Activare DHCP Snooping:

Activează DHCP IGMP într-un VLAN, care trebuie să fie protejate cu ajutorul:

[Edit] Configurarea unui porturi de încredere și nu sunt de încredere

În mod implicit, porturile de comutare sunt fiabile, astfel încât porturile de încredere ar trebui să fie indicate în mod expres.

Specificați porturile de încredere:

Dacă este necesar, puteți dezactiva această verificare:

[Edit] Adăugarea de intrări statice în baza de date de legare DHCP

Adăugarea o intrare statică în baza de date de legare DHCP:

[Edit] Opțiuni de setare 82

Cu opțiunea 82 este asociată cu două setări:

  • Setarea valorilor ID la distanță;
  • Configurarea opțiunii de politică de pachete de prelucrare 82.

Configurarea opțiunii de politică de pachete de prelucrare 82. Comutatorul nu va scadea pachete, care au opțiunea de 82:

caseta Dezactivează opțiunea 82:

[Edit] Fișiere de configurare

[Edit] DHCP-server

articole similare

Pagina anterioară

Pagina următoare