Establecer IP DHCP Snooping

7

Establecí un laboratorio para probar el IP DHCP SNOOPING antes de la implementación. Hasta ahora todo funciona como se anuncia. Dado que el puerto Uplink de un conmutador debe ser confiable, ¿por qué no es necesario agregar la confianza a un punto de acceso? ingrese la descripción de la imagen aquí

ipv4 dhcp-snooping rsebastian
fuente
No entiendo lo que preguntas. ¿Puedes por favor elaborar?
Sander Steffann
por ejemplo, el enlace troncal del puerto 24 del conmutador HP debe tener DHCP-SNOOPING TRUST aplicado. Ningún otro puerto en el conmutador podrá responder a los paquetes DHCP Discover de los clientes. Por lo tanto, incluso a través del atacante ha configurado un servidor dhcp falso, el puerto en el conmutador al que se ha conectado el atacante no podría responder a los paquetes de descubrimiento de DHCP. ¿No se puede abrir DHCP después de conectarse de forma inalámbrica sin la confianza allí?
rsebastian
Snooping tiene que seguir el camino hacia el servidor DHCP. El puerto 24 en Cisco no debería necesitar confianza, pero el puerto 24 en HP sí, porque esa es la ruta hacia el servidor DHCP.
Daniel Dib el
Estoy de acuerdo con @DanielDib en que no debe confiar en el puerto 24 en Cisco en general, según este diagrama. Sin embargo, si no planea implementar DAI o alguna otra característica que requiera las entradas en la tabla de enlace, puede confiar en el puerto 24 en Cisco, siempre y cuando HP esté haciendo una inspección DHCP. Esto evita que Cisco tenga que mantener entradas en la tabla de enlace en ese puerto, lo que puede ser una consideración si tiene muchos clientes de baja y un conmutador con recursos limitados.
YLearn
El puerto 24 de Cisco no es Trusted. El puerto 24 del HP es.
rsebastian

Respuestas:

11

La inspección DHCP funciona inspeccionando los paquetes DHCP y descartando cualquier paquete recibido en un puerto no confiable que sea de un tipo enviado por un servidor DHCP (a menudo OFERTA, ACK y NACK).

La razón por la que no necesita confiar en un puerto AP es que solo debe recibir tipos de clientes de tráfico DHCP en ese puerto. Mientras reciba paquetes de DESCUBRIMIENTO, SOLICITUD e INFORMACIÓN, no debería recibir ningún paquete de OFERTA, ACK o NACK en el puerto AP.

La advertencia a esto es que si está utilizando el AP como puente para una ruta redundante, entonces deberá confiar en el puerto. Si el enlace primario fallara, entonces pasaría el tráfico del servidor DHCP a los clientes a través del AP.

YLearn
fuente