Beschreibung:

Um zu verhindern, dass ein DHCP-Server eines Angreifers (Rogue DHCP) im Netzwerk eingesetzt wird und IP-Parameter verteilt, kann auf einem managed Switch die Funktion DHCP-Snooping aktiviert werden. Dadurch werden "DHCP Offer" Pakete nur noch auf dem Switch-Port übertragen, an dem der DHCP-Server angeschlossen ist. Auf allen anderen Ports werden die "DHCP Offer" Pakete verworfen. 

In diesem Artikel wird beschrieben, wie DHCP-Snooping auf einem Switch der GS-3xxx Serie eingerichtet werden kann.

Durch die Verwendung von DHCP-Snooping muss der Switch alle DHCP-Pakete überprüfen. Dies führt zu einer erhöhten CPU-Auslastung des Gerätes.


Voraussetzungen:

  • LCOS SX ab Version 4.00 Rel (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface
  • Bereits konfiguriertes und funktionsfähiges Netzwerk


Vorgehensweise:

1. Verbinden Sie sich per Web-Browser mit dem Switch und wechseln in das Menü DHCP → Snooping → Configuration

2. Aktivieren Sie den Snooping Mode über den Schieberegler und wählen bei dem Port * im Dropdownmenü die Option Untrusted aus, damit alle Ports auf Untrusted gesetzt werden.

Nur der Port, an dem der DHCP-Server angeschlossen ist, darf auf Trusted gesetzt werden. Die restlichen Ports müssen auf Untrusted gesetzt werden. Da im Werkszustand alle Ports Trusted sind, müssen zuerst alle Ports auf Untrusted gesetzt werden.

3. Setzen Sie den Port, an dem der DHCP-Server angeschlossen ist, auf Trusted. Dadurch werden "DHCP Offer" Pakete an diesem Port übertragen. Klicken Sie anschließend auf Apply

Wenn der DHCP-Server per LACP angebunden ist, muss die Option Trusted auf allen LACP-Ports gesetzt werden.

4. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.