Обратная связь
Русский ru
Азербайджанский az Русский ru
Меню
  1. Главная
  2. Блог
  3. DHCP Snooping
Закрыть
Категории
Блог

DHCP Snooping

Категории
Elchin Jamal
29 05 2022, 21:00
0

Обычно в сети находится DHCP сервер который раздает IP адреса устройствам и устройства кроме самого IP адреса получают маску подсети, адрес шлюза для доступа к другой сети или же к интернету и адреса DNS серверов. Но бывают случаи когда злоумышленник проникший в вашу сеть создает поддельный DHCP сервер и раздает совершенно другие IP адреса устройствам в сети перенаправляя тем самым клиентов на свою сеть и ресурсы или же блокирует доступ к интернету раздавая недействительный адрес шлюза. Для предотвращения использования в сети мошеннического  DHCP сервера и используется DHCP Snooping.

Порт на коммутаторе к которому подключен реальный DHCP сервер становится доверенным портом а все остальные порты не доверенными. Тем самым при запросе каким то устройством IP адреса этому устройству присваивается адрес с DHCP сервера который подключен к доверенному порту коммутатора а сообщения с других DHCP серверов блокируются.

DHCP Snooping позволяет коммутационному устройству, которое может быть коммутатором или маршрутизатором, отслеживать сообщения DHCP, полученные от ненадежных устройств, подключенных к коммутационному устройству. Когда отслеживание DHCP включено в VLAN, система проверяет сообщения DHCP, отправленные с ненадежных хостов, связанных с VLAN, и извлекает их IP-адреса и информацию об аренде. Эта информация используется для создания и обслуживания базы данных отслеживания DHCP (DHCP snooping database). Только хосты, которые могут быть проверены с помощью этой базы данных, имеют доступ к сети.

DHCP динамически распределяет IP-адреса, сдавая их в аренду устройствам, чтобы адреса можно было повторно использовать, когда они больше не нужны устройствам, которым они были назначены. Хосты и конечные устройства, которым требуются IP-адреса, полученные через DHCP, должны обмениваться данными с DHCP-сервером по локальной сети.

Отслеживание DHCP действует как защитник сетевой безопасности, отслеживая действительные IP-адреса, назначенные нижестоящим сетевым устройствам доверенным DHCP-сервером (сервер подключен к доверенному сетевому порту).

По умолчанию все магистральные порты на коммутаторе являются доверенными, а все порты доступа не являются доверенными для отслеживания DHCP.

Когда отслеживание DHCP включено, информация об аренде с сервера используется для создания таблицы отслеживания DHCP (DHCP snooping table), также известной как таблица привязки DHCP (DHCP binding table). В таблице показаны текущие привязки IP-MAC-адресов, а также время аренды, тип привязки, имена связанных VLAN и интерфейсов.

Блог
Elchin Jamal
IT Manager
Комментарии
Пока нет комментариев
Написать комментарий
Имя*
Email
Введите комментарий*