Глава 31 конфигурация dhcp snooping, 1 введение в dhcp snooping, Ведение в – Инструкция по эксплуатации QTECH QSW-8300 Руководство администратора
Страница 260: Dhcp, Nooping
+7(495) 797-3311 www.qtech.ru
Москва, Новозаводская ул., 18, стр. 1
260
Глава 31 Конфигурация DHCP Snooping
31.1
Введение в DHCP Snooping
DHCP Snooping
означает, что коммутатор наблюдает за процессом присвоения IP
адресов по протоколу DHCP. Это предотвращает появление нелегальных DHCP
серверов и DHCP атаки путем настройки доверенных и недоверенных портов. DHCP
сообщение с доверенных портов передается без проверки. При типичной конфигурации
доверенные порты используются для подключения DHCP сервера или DHCP
ретранслятора, а к недоверенным портам подключаются клиенты. С недоверенных
портов коммутатор будет пересылать только DHCP запросы, но не ответы. Если с
недоверенного порта получено сообщение DHCP ответа, коммутатор поднимет тревогу и
предпримет определенные действия с портом, согласно настройкам, например
выключение или создание «черной дыры».
Если включена привязка DHCP Snooping, коммутатор сохранит в соответствующей
таблице связующую информацию о каждом DHCP клиенте с недоверенного порта
(включая MAC адрес, IP адрес, аренду IP, номера VLAN и порта). Имея такую
информацию DHCP Snooping можно комбинировать с другими модулями, такими, как
dot1x
и ARP, или самостоятельно реализовать контроль доступа пользователей.
Защита от поддельного DHCP сервера: если коммутатор перехватывает ответ DHCP
сервера (включая DHCPOFFER, DHCPACK и DHCPNAK), он поднимет тревогу и
предпримет определенные действия, согласно настройкам (выключение порта или
создание «черной дыры»).
Защита от перегрузки DHCP: Чтобы избежать большого количества сообщений DHCP,
атакующих процессор, пользователь может ограничить скорость получения DHCP
пакетов на доверенных и недоверенных портах.
Запись связующих данных DHCP: DHCP snooping при пересылке DHCP пакетов будет
записывать связующие данные, выделенные DHCP сервером. Можно так же загрузить
эти данные на сервер в целях восстановления утерянной информации. Связующие
данные, в основном, используются для настройки динамических пользовательских
портов dot1x. За подробной информацией о dot1x обратитесь, пожалуйста, к главе
«Настройка dot1x».
Добавление связующего ARP: можно добавить статическую связку ARP в соответствии
с динамическими данными, чтобы предотвратить ARP мошенничество.
Добавление доверенных пользователей: можно добавить записи в список
доверенных пользователей в соответствии с параметрами связующих данных; эти
пользователи получат доступ ко всем ресурсам без dot1x аутентификации.