Kao dobavljač proizvoda Hirschmann MACH100, često se susrećem s kupcima koji su zainteresirani za konfiguriranje DHCP -a na tim prekidačima. DHCP Snooping ključna je sigurnosna značajka koja pomaže spriječiti neovlaštene DHCP poslužitelje u pružanju pogrešnih IP adresa i ostalih podataka o konfiguraciji mreže klijentima. U ovom postu na blogu vodit ću vas kroz postupak konfiguriranja DHCP -a za njuškanje na Hirschmann Mach100 korak po korak.
Razumijevanje DHCP njuškanje
Prije nego što zaronimo u postupak konfiguracije, ukratko shvatimo što je DHCP njuškanje i zašto je to važno. DHCP Snoing je sigurnosna značajka koja djeluje kao vatrozid između nepouzdanih domaćina i pouzdanih DHCP poslužitelja. Filtrira DHCP poruke i gradi i održava DHCP bazu podataka za njuškanje, koja sadrži informacije o IP i MAC adresama klijenata, vremenu zakupa i sučelju putem koje je primljen zahtjev DHCP -a.
Omogućavanjem DHCP Snoping -a, možete spriječiti distribuciju netočnih IP adresa i drugih podataka o konfiguraciji, što može dovesti do nestabilnosti mreže i sigurnosnih ranjivosti.
Preduvjeti
Prije nego što počnete konfigurirati DHCP njuškanje na Hirschmann Mach100, obavezno imate sljedeće:
- Hirschmann Mach100 prekidač (poputHirschmann Mach104 - 20tx - FR)
- Pristup naredbi prekidača - linijsko sučelje (CLI) pomoću kabela za konzolu ili Telnet/SSH
- Osnovno razumijevanje DHCP i koncepata mrežnih sigurnosti
Korak 1: Omogućite DHCP njuškanje na globalnoj razini
Prvi korak u konfiguriranju DHCP snoopinga je omogućiti ga globalno na prekidaču Hirschmann Mach100. Da biste to učinili, slijedite ove korake:
- Prijavite se na prekidač CLI pomoću preferirane metode (konzola, telnet ili ssh).
- Unesite način globalne konfiguracije tipkanjem sljedeće naredbe:
Konfiguriranje terminala- Omogućite DHCP njuškajući globalno pomoću sljedeće naredbe:
IP DHCP njuškanjeOva naredba omogućuje DHCP njuškanje na svim VLAN -ovima na prekidaču. Također možete odrediti pojedinačne VLAN -ove ako ga ne želite omogućiti na svim VLAN -ovima. Na primjer, kako biste omogućili DHCP njuškajući samo na VLAN 10 i 20, možete koristiti sljedeću naredbu:
IP DHCP Snoing VLAN 10,20Korak 2: Konfigurirajte pouzdana sučelja
Jednom kada je DHCP njuškanje omogućeno na globalnoj razini, morate konfigurirati koja sučelja se vjeruje. Pouzdana sučelja su sučelja koja su povezana s legitimnim DHCP poslužiteljima. Sva ostala sučelja smatraju se nepouzdanim prema zadanim postavkama.
Da biste konfigurirali pouzdano sučelje, upotrijebite sljedeće korake:
- Unesite način konfiguracije sučelja za sučelje spojeno na DHCP poslužitelj. Na primjer, ako je DHCP poslužitelj povezan s sučeljem gigabiteThernet 1/0/1, koristite sljedeću naredbu:
sučelje gigabiteThernet 1/0/1- Označite sučelje kao pouzdano pomoću sljedeće naredbe:
IP DHCP Snoing TrustPonovite ove korake za sva sučelja povezana s legitimnim DHCP poslužiteljima.
Korak 3: Konfiguriranje ograničavanja brzine (neobavezno)
Možete konfigurirati ograničavanje brzine na nepouzdanim sučeljima kako biste spriječili napade gladovanja DHCP -a. Napadi gladovanja DHCP -a nastaju kada napadač preplavi mrežu DHCP zahtjevima, iscrpljujući dostupne IP adrese u DHCP bazenu.
Da biste konfigurirali ograničavanje brzine na nepouzdanom sučelju, slijedite ove korake:
- Unesite način konfiguracije sučelja za nepouzdano sučelje. Na primjer, ako želite konfigurirati ograničavanje brzine na sučelju gigabiteThernet 1/0/2, koristite sljedeću naredbu:
sučelje gigabiteThernet 1/0/2- Postavite maksimalni broj DHCP zahtjeva u sekundi koji sučelje može primiti. Na primjer, da biste ograničili stopu na 10 zahtjeva u sekundi, upotrijebite sljedeću naredbu:
IP DHCP Snoing Ogranična stopa 10Korak 4: Provjerite konfiguraciju
Nakon konfiguriranja DHCP njuškanja, važno je provjeriti je li konfiguracija točna. Možete koristiti sljedeće naredbe za provjeru konfiguracije DHCP Snoing:
- Za prikaz globalne konfiguracije DHCP Snoing, koristite sljedeću naredbu:
Pokažite IP DHCP njuškanje- Za prikaz DHCP baze podataka za njuškanje, upotrijebite sljedeću naredbu:
Pokažite IP DHCP Snoing vezivanje- Za prikaz DHCP konfiguracije njuha za određeno sučelje, koristite sljedeću naredbu:
Prikaži IP DHCP Snoing Interface GigabiteThernet 1/0/1Korak 5: Rješavanje problema
Ako naiđete na bilo kakve probleme s konfiguracijom DHCP Snoing, evo nekoliko uobičajenih koraka za rješavanje problema:
- Provjerite pouzdana sučelja: Provjerite jesu li sva sučelja povezana s legitimnim DHCP poslužiteljima označena kao pouzdano.
- Provjerite konfiguraciju VLAN -a: Osigurajte da je DHCP njuškanje omogućeno na ispravnim VLAN -ovima.
- Provjerite veznu bazu podataka: Provjerite da li DHCP baza podataka za njuškanje sadrži ispravne podatke o klijentima.
Dodatna razmatranja
- Kompatibilnost s drugim značajkama: DHCP njuškanje može komunicirati s drugim značajkama na Hirschmann MACH100, poput sigurnosti luka i čuvara IP izvora. Obavezno konfigurirajte ove značajke na način koji je kompatibilan s DHCP snoopingom.
- Ažuriranja softvera: Držite svoj Hirschmann Mach100 Switch Up - do - datum s najnovijim softverskim izdanjima kako biste osigurali da imate najnovije sigurnosne zakrpe i ispravke pogrešaka u vezi s DHCP njuškanjem.
Preporuke proizvoda
Uz Hirschmann Mach104 - 20Tx - FR, nudimo i druge kvalitetne proizvode Hirschmann koji mogu nadopuniti vašu mrežnu infrastrukturu. Na primjer,Hirschmann M - SFP - MX/LC EECje mali oblik - faktor primopredajnik (SFP) primopredajni modul koji omogućuje prijenos podataka visoke brzine preko optičkih kabela. AHirschmann RSPM20 - 4T14T1SZ9HHS9je modul za napajanje koji osigurava pouzdanu isporuku napajanja vašim Hirschmannovim prekidačima.
Kontaktirajte nas za nabavu
Ako ste zainteresirani za kupnju Hirschmann Mach100 prekidača ili bilo kojeg drugog našeg proizvoda ili ako imate bilo kakvih pitanja o konfiguraciji DHCP -a za njuškanje ili mrežnoj sigurnosti općenito, rado bismo vam pomogli. Slobodno nam se obratite da započnemo raspravu o nabavi. Naš tim stručnjaka spreman je pružiti vam najbolja rješenja za vaše mrežne potrebe.
Reference
- Korisnički priručnik serije Hirschmann Mach100
- Cisco DHCP vodič za konfiguraciju za njuškanje