DHCP-Snooping (Dynamic Host Configuration Protocol) auf einem Switch über die Kommandozeile konfigurieren

Ziel

Dynamic Host Configuration Protocol (DHCP) ist ein Dienst, der auf der Anwendungsebene des TCP/IP-Protokoll-Stacks ausgeführt wird, um IP-Adressen dynamisch zuzuweisen und TCP/IP-Konfigurationsdaten DHCP-Clients zuzuweisen.

DHCP-Snooping ist eine Sicherheitsfunktion, die als Firewall zwischen nicht vertrauenswürdigen Hosts und vertrauenswürdigen DHCP-Servern fungiert. Snooping verhindert falsche DHCP-Antworten und überwacht Clients. Sie kann Man-in-the-Middle-Angriffe verhindern und Host-Geräte authentifizieren. DHCP-Snooping klassifiziert Schnittstellen auf dem Switch in zwei Kategorien: vertrauenswürdig und nicht vertrauenswürdig. Außerdem können Sie so zwischen nicht vertrauenswürdigen Schnittstellen, die mit dem Endbenutzer verbunden sind, und vertrauenswürdigen Schnittstellen, die mit dem DHCP-Server oder einem anderen Switch verbunden sind, unterscheiden.

Hinweis: Standardmäßig betrachtet der Switch alle Schnittstellen als nicht vertrauenswürdige Schnittstellen. Daher ist es wichtig, den Switch so zu konfigurieren, dass vertrauenswürdige Ports oder Schnittstellen angegeben werden, wenn DHCP-Snooping aktiviert ist.

Sie können DHCP-Snooping über das webbasierte Dienstprogramm des Switches oder die Befehlszeilenschnittstelle (CLI) konfigurieren.

Dieser Artikel soll zeigen, wie DHCP-Snooping auf Ihrem Switch über die CLI konfiguriert wird.

Unterstützte Geräte

• Sx300-Serie
• SG350X-Serie
• Sx500-Serie
• SG500X

Software-Version

• 1.4.7.06 — Sx300, Sx500, SG500X
• 2.2.8.04 — SG350X

Konfigurieren von DHCP-Snooping über die CLI

Schritt 1: Verbinden Sie Ihren Computer über ein Konsolenkabel mit dem Switch, und starten Sie eine Terminal-Emulator-Anwendung, um auf die Switch-CLI zuzugreifen.

Hinweis: In diesem Beispiel wird PuTTY als Terminal-Emulator-Anwendung verwendet.

Schritt 2: Wählen Sie im PuTTY-Konfigurationsfenster die Option Serial (Seriell) als Verbindungstyp aus, und geben Sie die Standardgeschwindigkeit für die serielle Leitung ein: 115200. Klicken Sie dann auf Open (Öffnen).

Schritt 3: Geben Sie in der CLI den folgenden Befehl in den globalen Konfigurationsbefehlsmodus ein:

Hinweis: In diesem Beispiel ist der verwendete Switch SG350X-48MP.

Schritt 4: Aktivieren Sie im globalen Konfigurationsmodus Global DHCP Snooping, indem Sie Folgendes eingeben:

Schritt 5: Geben Sie Folgendes ein, um das Virtual Local Area Network (VLAN) für das DHCP-Snooping zu aktivieren:

Hinweis: In diesem Beispiel wird VLAN 1 verwendet.

Schritt 6: Geben Sie den Port oder die Schnittstelle an, für den bzw. die Sie DHCP-Snooping aktivieren möchten, indem Sie Folgendes eingeben:

Hinweis: In diesem Beispiel wird die Schnittstelle "ge1/0/1" verwendet. Dies steht für Gigabit Ethernet-Portnummer/Stack-Nummer (wenn Ihr Switch zu einem Stack/einer Switch-Nummer gehört).

Schritt 7. Geben Sie Folgendes ein, um anzugeben, dass es sich bei dem Port um einen vertrauenswürdigen Port oder eine vertrauenswürdige Schnittstelle handelt:

Hinweis: Die Eingabeaufforderung wurde von (config) in (config-if) geändert, was darauf hinweist, dass die Konfiguration für den im vorherigen Befehl erwähnten spezifischen Port gilt.

Schritt 8: Beenden Sie die spezifische Schnittstelle und den globalen Konfigurationsbefehlsmodus, um in den privilegierten EXEC-Modus zurückzukehren. Geben Sie dazu Folgendes ein:

Schritt 9: Überprüfen Sie im privilegierten EXEC-Modus, ob die neuen Einstellungen in der aktuellen Konfigurationsdatei gespeichert wurden. Geben Sie dazu Folgendes ein:

Die neu konfigurierten Einstellungen werden jetzt angezeigt:

Schritt 10. (Optional) Geben Sie Folgendes ein, um die Einstellungen dauerhaft zu speichern:

Schritt 11. Geben Sie in der Eingabeaufforderung für die Überschreibdatei Y ein, um auf Ja hinzuweisen und die Einstellungen in der Startkonfigurationsdatei zu speichern.

Sie sollten nun DHCP-Snooping erfolgreich über die Kommandozeile auf Ihrem Switch konfiguriert haben.