Thiết lập IP DHCP Snooping


7

Đã establsihed một phòng thí nghiệm để kiểm tra IP DHCP SNOOPING trước khi bắt chước. Cho đến nay mọi thứ hoạt động như quảng cáo. Cho rằng cổng Uplink của một công tắc phải được tin cậy, tại sao không cần thiết phải thêm tín nhiệm vào một điểm truy cập? nhập mô tả hình ảnh ở đây


Tôi không hiểu những gì bạn đang hỏi. Bạn có thể vui lòng giải thích?
Sander Steffann

ví dụ: cổng 24 thân của công tắc HP phải được áp dụng DHCP-SNOOPING TRUST, không có cổng nào khác trên công tắc có thể đáp ứng các gói DHCP Discover từ máy khách. Vì vậy, ngay cả thông qua kẻ tấn công đã thiết lập một máy chủ dhcp giả mạo, cổng trên công tắc mà kẻ tấn công đã kết nối sẽ không được phép trả lời các gói khám phá DHCP. Có thể không bật DHCP sau khi kết nối không dây mà không có sự tin tưởng ở đó không?
rsebastian

Rình mò phải theo con đường hướng tới máy chủ DHCP. Cổng 24 trên Cisco không cần tin tưởng nhưng cổng 24 trên HP cần vì đó là đường dẫn đến máy chủ DHCP.
Daniel Dib

Tôi đồng ý với @DanielDib rằng bạn không nên tin tưởng cổng 24 trên Cisco nói chung dựa trên sơ đồ này. Tuy nhiên, nếu bạn không có kế hoạch triển khai DAI hoặc một số tính năng khác yêu cầu các mục trong bảng ràng buộc, thì bạn có thể tin tưởng cổng 24 trên Cisco cũng như HP đang thực hiện DHCP snooping. Điều này ngăn Cisco không phải giữ các mục trong bảng ràng buộc trên cổng đó, đây có thể là một sự cân nhắc nếu bạn có nhiều máy khách truyền phát và chuyển đổi với nguồn lực hạn chế.
YLearn

Cổng 24 của Cisco không đáng tin cậy. Cổng 24 của HP là.
rsebastian

Câu trả lời:


11

DHCP snooping hoạt động bằng cách kiểm tra các gói DHCP và loại bỏ bất kỳ gói nào nhận được trên một cổng không tin cậy thuộc loại được gửi bởi máy chủ DHCP (thường là OFFER, ACK và NACK).

Lý do mà bạn không cần phải tin tưởng một cổng AP là bạn chỉ nên nhận các loại lưu lượng DHCP của máy khách trên cổng đó. Trong khi bạn nhận được các gói KHÁM PHÁ, YÊU CẦU và INFO, bạn không nên nhận bất kỳ gói OFFER, ACK hoặc NACK nào trên cổng AP.

Thông báo trước cho điều này là nếu bạn đang sử dụng AP làm cầu nối cho một đường dẫn dự phòng, thì bạn sẽ cần phải tin vào cổng. Nếu liên kết chính bị lỗi, thì bạn sẽ chuyển lưu lượng máy chủ DHCP trở lại máy khách thông qua AP.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.