Beschreibung:

Um zu verhindern, dass ein DHCP-Server eines Angreifers (Rogue DHCP) im Netzwerk eingesetzt wird und IP-Parameter verteilt, kann auf einem managed Switch die Funktion DHCP-Snooping aktiviert werden. Dadurch werden "DHCP Offer" Pakete nur noch auf dem Switch-Port übertragen, an dem der DHCP-Server angeschlossen ist. Auf allen anderen Ports werden die "DHCP Offer" Pakete verworfen. Zusätzlich werden "DHCP Discover" sowie "DHCP Request" Pakete von Netzwerk-Geräten nur an einen "Trusted" Port weitergeleitet, nicht aber an "Untrusted" Ports. Dadurch wird die Anzahl an Broadcast-Paketen deutlich reduziert, was besonders in großen Szenarien sehr sinnvoll ist.

In diesem Artikel wird beschrieben, wie DHCP-Snooping auf einem Switch der GGS-24xx / GS-3xxx / XS-3xxx Serie eingerichtet werden kann.

Durch die Verwendung von DHCP-Snooping muss der Switch alle DHCP-Pakete überprüfen. Dies führt zu einer erhöhten CPU-Auslastung des Gerätes.


Voraussetzungen:

  • LCOS SX ab Version 4.00 / 4.20 / 4.30 (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface
  • Bereits konfiguriertes und funktionsfähiges Netzwerk


Vorgehensweise:

1. Verbinden Sie sich per Web-Browser mit dem Switch und wechseln in das Menü DHCP → DHCPv4 → Snooping → Configuration.

In LCOS SX 4.00 finden Sie die Einstellungen zum DHCP-Snooping für IPv4 in dem Menü DHCP → Snooping → Configuration.

Screenshot einer technischen Benutzeroberfläche zur Netzwerkverwaltung mit Optionen für Port Management, Green Ethernet, VLAN Management, QoS, Spanning Tree, MAC Address Tables, Multicast, DHCP Einstellungen, Snooping, Konfigurationen und detaillierte Statistiken.

2. Setzen Sie den Snooping Mode auf Enabled und wählen bei dem Port * im Dropdownmenü die Option Untrusted aus, damit alle Ports auf Untrusted gesetzt werden.

Nur der Port, an dem der DHCP-Server angeschlossen ist, darf auf Trusted gesetzt werden. Die restlichen Ports müssen auf Untrusted gesetzt werden. Da im Werkszustand alle Ports Trusted sind, müssen zuerst alle Ports auf Untrusted gesetzt werden.

Screenshot einer technischen Benutzeroberfläche für die Konfiguration von DHCP-Snooping, einschließlich eines Menüs zur Einstellung des Portmodus, mit Optionen für vertrauenswürdige Ports.

3. Setzen Sie den Port, an dem der DHCP-Server angeschlossen ist, auf Trusted. Dadurch werden "DHCP Offer" Pakete an diesem Port übertragen. Klicken Sie anschließend auf Apply

Wenn der DHCP-Server per LACP angebunden ist, muss die Option Trusted auf allen LACP-Ports gesetzt werden.

Screenshot eines DHCP-Snooping-Konfigurationsmenüs mit aktiviertem Snooping-Modus und mehreren Ports eingestellt auf den Modus 'Untrusted'.

Der Text rrevee ist auf einem Bildschirm oder einem Display zu sehen.

4. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Detailansicht eines technischen Interfaces mit der undeutlichen Beschriftung GS wasser mMe.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH