Beschreibung:
Um zu verhindern, dass ein DHCP-Server eines Angreifers (Rogue DHCP) im Netzwerk eingesetzt wird und IP-Parameter verteilt, kann auf einem managed Switch die Funktion DHCP-Snooping aktiviert werden. Dadurch werden "DHCP Offer" Pakete nur noch auf dem Switch-Port übertragen, an dem der DHCP-Server angeschlossen ist. Auf allen anderen Ports werden die "DHCP Offer" Pakete verworfen. Zusätzlich werden "DHCP Discover" sowie "DHCP Request" Pakete von Netzwerk-Geräten nur an einen "Trusted" Port weitergeleitet, nicht aber an "Untrusted" Ports. Dadurch wird die Anzahl an Broadcast-Paketen deutlich reduziert, was besonders in großen Szenarien sehr sinnvoll ist.
In diesem Artikel wird beschrieben, wie DHCP-Snooping auf einem Switch der GS-23xx Serie eingerichtet werden kann.
Durch die Verwendung von DHCP-Snooping muss der Switch alle DHCP-Pakete überprüfen. Dies führt zu einer erhöhten CPU-Auslastung des Gerätes. |
Voraussetzungen:
Vorgehensweise:
1. Verbinden Sie sich per Web-Browser mit dem Switch und wechseln in das Menü Security → DHCP Snooping → Configuration.
2. Wählen Sie bei Snooping Mode die Option Enabled aus und setzen den Port, an dem der DHCP-Server angeschlossen ist, auf Trusted. Dadurch werden "DHCP Offer" Pakete an diesem Port übertragen. Klicken Sie anschließend auf Apply.
Alle anderen Ports müssen auf der Einstellung Untrusted belassen werden. Wenn der DHCP-Server per LACP angebunden ist, muss die Option Trusted auf allen LACP-Ports gesetzt werden. |
3. Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
