Dhcp Snooping - WAGO 852-1305 Handbuch

8/4-port 100base-t/1000base-sx/lx industrial-managed-switch, 8 ports 100base-t, 4 slots 1000base-sx/lx

Vorschau ausblenden

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

Seite von 314

/ 314
Inhalt
Inhaltsverzeichnis
Lesezeichen

Funktionsbeschreibung

7.3.1.1

DHCP Snooping

„DHCP Snooping" ist eine DHCP-Sicherheitsfunktion, die durch Filterung

ungesicherter DHCP-Nachrichten und Erstellung und Nutzung einer „DHCP

Snooping"-Datenbankanbindung (auch als „DHCP Snooping"-Anbindungstabelle

bekannt) die Netzwerksicherheit erhöht.

„DHCP Snooping" agiert als Firewall zwischen ungesicherten Hosts und DHCP-

Servern. Es kann zur Unterscheidung zwischen ungesicherten Schnittstellen, die

mit Endbenutzern verbunden sind, und gesicherten Schnittstellen, die mit einem

DHCP-Server oder anderen Switch verbunden sind, eingesetzt werden.

Die „DHCP Snooping"-Anbindungstabelle enthält MAC-Adresse, IP-Adresse,

„Lease Time" (Leihdauer), Anbindungsart, VLAN-Nummer und Informationen

über die lokalen ungesicherten Schnittstellen eines Switches.

Wenn ein Switch ein Paket von einer ungesicherten Schnittstelle empfängt und

die Schnittstelle zu einem VLAN gehört, in dem „DHCP Snooping" aktiviert ist,

vergleicht der Switch die MAC-Quelladresse mit der Hardwareadresse des

DHCP-Clients. Stimmen die Adressen überein (der Normalfall), leitet der Switch

das Paket weiter. Wenn sie nicht übereinstimmen, verwirft er es.

Der Switch verwirft ein DHCP-Paket, wenn eine der folgenden Situationen

eintritt:

•

Ein Paket von einem DHCP-Server, wie etwa DHCPOFFER, DHCPACK,

DHCPNAK oder DHCPLEASEQUERY, wird über einen ungesicherten

Port empfangen.

•

Es wird ein Paket über eine ungesicherte Schnittstelle empfangen, und die

MAC-Quelladresse und die Hardwareadresse des DHCP-Clients stimmen

mit keiner der aktuellen Anbindungen überein.

Mit „DHCP Snooping" können nicht autorisierte DHCP-Pakete im Netzwerk

herausgefiltert und eine Anbindungstabelle dynamisch erstellt werden. Dadurch

wird verhindert, dass Clients IP-Adressen von nicht autorisierten DHCP-Servern

erhalten.

Trusted vs. Untrusted Ports

Für das „DHCP Snooping" ist jeder Port entweder ein „Trusted Port" (gesicherter

Port) oder ein „Untrusted Port (ungesicherter Port). Diese Einstellung ist

unabhängig von der „Trusted/Untrusted"-Einstellung für die ARP-Überprüfung.

Sie können auch die maximale Anzahl der DHCP-Pakete spezifizieren, die jeder

Port („trusted" oder „untrusted") pro Sekunde empfangen kann.

„Trusted Ports" sind mit DHCP-Servern oder Switches verbunden. Der Switch

wird DHCP-Pakete von „Trusted Ports" nur dann verwerfen, wenn die

Übertragungsrate der empfangenen DHCP-Pakete zu hoch ist. Der Switch erlernt

von den „Trusted Ports" die dynamischen Anbindungen.

WAGO-ETHERNET-Zubehör 852

852-1305 8/4-Port 100Base-T/1000Base-SX/LX

Handbuch

Version 1.1.1

Inhaltsverzeichnis

Dhcp Snooping - WAGO 852-1305 Handbuch

DHCP Snooping

Kapitel

Verwandte Anleitungen für WAGO 852-1305

Verwandte Inhalte für WAGO 852-1305