...
Um zu verhindern, dass ein DHCP-Server eines Angreifers (Rogue DHCP) im Netzwerk eingesetzt wird und IP-Parameter verteilt, kann auf einem managed Switch die Funktion DHCP-Snooping aktiviert werden. Dadurch werden "DHCP Offer" Pakete nur noch auf dem Switch-Port übertragen, an dem der DHCP-Server angeschlossen ist. Auf allen anderen Ports werden die "DHCP Offer" Pakete verworfen. Zusätzlich werden "DHCP Discover" sowie "DHCP Request" Pakete von Netzwerk-Geräten nur an einen "Trusted" Port weitergeleitet, nicht aber an "Untrusted" Ports. Dadurch wird die Anzahl an Broadcast-Paketen deutlich reduziert, was besonders in großen Szenarien sehr sinnvoll ist.
In diesem Artikel wird beschrieben, wie DHCP-Snooping auf einem Switch der GS-23xx Serie eingerichtet werden kann.
Hinweis |
---|
Durch die Verwendung von DHCP-Snooping muss der Switch alle DHCP-Pakete überprüfen. DIes Dies führt zu einer erhöhten CPU-Auslastung des Gerätes. |
...
- LCOS SX ab Version 3.32 Rel (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface
- Bereits konfiguriertes und funktionsfähiges Netzwerk
Vorgehensweise:
1. Verbinden Sie sich per Web-Browser mit dem Switch und wechseln in das Menü Security → DHCP Snooping → Configuration.
2. Wählen Sie bei Snooping Mode die Option Enabled aus und setzen den Port, an dem der DHCP-Server angeschlossen ist, auf Trusted. Dadurch werden "DHCP Offer" Pakete an diesem Port übertragen. Klicken Sie anschließend auf Apply.
Info |
---|
Alle anderen Ports müssen auf der Einstellung Untrusted belassen werden. Wenn der DHCP-Server per LACP angebunden ist, muss die Option Trusted auf allen LACP-Ports gesetzt werden. |
3. Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.
Info |
---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |