Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:24] – [Warum ist DHCP Snooping wichtig?] lars
+++ it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:30] (aktuell) – [Zusammenfassung] lars
@@ Zeile 29: / Zeile 29: @@
 DHCP Snooping unterscheidet:
   * **Trusted Ports**
   * **Untrusted Ports**
 **Trusted Ports**
   * dürfen DHCP-Server-Antworten senden
   * typischerweise Uplinks, Router, Firewall
 **Untrusted Ports**
   * alle normalen Access-Ports
   * DHCP-Server-Antworten werden blockiert
   * nur DHCP-Client-Anfragen erlaubt
@@ Zeile 44: / Zeile 44: @@
 <code>
-[ Router/DHCP ] --(trusted)-- [ Switch ] --(untrusted)-- PCs
+ [ Router/DHCP ] --(trusted)-- [ Switch ] --(untrusted)-- PCs
 </code>
@@ Zeile 58: / Zeile 61: @@
 Diese Tabelle dient als Grundlage für weitere Security-Funktionen:
   * **IP Source Guard**
   * **Dynamic ARP Inspection (DAI)**
 ===== Vorteile von DHCP Snooping ======
   * Schutz vor Rogue DHCP-Servern
   * legt gültige MAC–IP–Port-Beziehungen fest
   * schützt ARP und IP-Zuordnungen
   * integriert sich mit NAC-Systemen
   * unverzichtbar in Unternehmensnetzwerken
 ===== Ablauf im Detail ======
@@ Zeile 81: / Zeile 84: @@
 <code>
-ip dhcp snooping
-ip dhcp snooping vlan 10,20,30
-interface Gi0/1
+ ip dhcp snooping
-   ip dhcp snooping trust     ← Uplink
+ ip dhcp snooping vlan 10,20,30
+ interface Gi0/1
+    ip dhcp snooping trust     ← Uplink
+ interface Gi0/10
+    ip dhcp snooping limit rate 20  ← Anti-Flood
-interface Gi0/10
-   ip dhcp snooping limit rate 20  ← Anti-Flood
 </code>
 ===== Konfiguration – allgemeiner Ablauf (herstellerneutral) ======
 . DHCP Snooping global aktivieren
 . VLANs definieren, in denen DHCP Snooping gilt
 . Uplink-Port(s) trusted setzen
 . Alle Access-Ports bleiben untrusted
 . Optional Rate-Limits setzen
 . Binding Table aktivieren
 ===== DHCP Snooping + ARP-Schutz ======
@@ Zeile 104: / Zeile 110: @@
 Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prüfen:
   * passt IP zu MAC?
   * passt Port zur MAC?
 Wenn nicht → blockiert.
@@ Zeile 111: / Zeile 117: @@
 ===== Typische Fehlerquellen ======
   * Uplink versehentlich untrusted → DHCP fällt komplett aus
   * nicht alle relevanten VLANs aktiviert
   * Binding Table nicht persistent gespeichert
   * Rate-Limits zu niedrig eingestellt
 ===== ASCII-Diagramm – DHCP Snooping Übersicht ======
 <code>
-             +-------------------+
-             |    DHCP-Server    |
+              +-------------------+
-             +---------+---------+
+              |    DHCP-Server    |
-                       |
+              +---------+---------+
-                 (trusted port)
+                        |
-                       |
+                  (trusted port)
-+----------------------+----------------------+
+                        |
-|                    Switch                   |
+ +----------------------+----------------------+
-|   untrusted ports   |    trusted ports      |
+ |                    Switch                   |
-|  PC1 PC2 PC3 PC4    |      Uplink           |
+ |   untrusted ports   |    trusted ports      |
-+----------+----------+-----------------------+
+ |  PC1 PC2 PC3 PC4    |      Uplink           |
+ +----------+----------+-----------------------+
 </code>
 ===== Sicherheitsgewinn auf einen Blick ======
   * verhindert DNS-Umlenkungen durch Rogue DHCP
   * verhindert Man-in-the-Middle
   * beschränkt DHCP-Verkehr auf vertrauenswürdige Ports
   * Grundlage für weitere Switch-Sicherheitsfunktionen
 ===== Zusammenfassung ======
   * DHCP Snooping schützt vor falschen DHCP-Servern
   * unterscheidet trusted vs untrusted Ports
   * speichert gültige MAC–IP–Port-Zuordnungen in Binding Tables
   * essenziell in Unternehmen und VLAN-Umgebungen
   * Grundlage für IP Source Guard & Dynamic ARP Inspection