đŸ–„ïž Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:dhcp-snooping

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
NĂ€chste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:25] – [Wie funktioniert DHCP Snooping?] larsit-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:30] (aktuell) – [Zusammenfassung] lars
Zeile 61: Zeile 61:
 Diese Tabelle dient als Grundlage fĂŒr weitere Security-Funktionen: Diese Tabelle dient als Grundlage fĂŒr weitere Security-Funktionen:
  
-  * **IP Source Guard**  Â +  * **IP Source Guard** 
-  * **Dynamic ARP Inspection (DAI)**  +  * **Dynamic ARP Inspection (DAI)**
  
 ===== Vorteile von DHCP Snooping ====== ===== Vorteile von DHCP Snooping ======
  
-  * Schutz vor Rogue DHCP-Servern  Â +  * Schutz vor Rogue DHCP-Servern 
-  * legt gĂŒltige MAC–IP–Port-Beziehungen fest  Â +  * legt gĂŒltige MAC–IP–Port-Beziehungen fest 
-  * schĂŒtzt ARP und IP-Zuordnungen  Â +  * schĂŒtzt ARP und IP-Zuordnungen 
-  * integriert sich mit NAC-Systemen  Â +  * integriert sich mit NAC-Systemen 
-  * unverzichtbar in Unternehmensnetzwerken  +  * unverzichtbar in Unternehmensnetzwerken
  
 ===== Ablauf im Detail ====== ===== Ablauf im Detail ======
Zeile 84: Zeile 84:
  
 <code> <code>
-ip dhcp snooping 
-ip dhcp snooping vlan 10,20,30 
  
-interface Gi0/1 + ip dhcp snooping 
-   ip dhcp snooping trust     â† Uplink+ ip dhcp snooping vlan 10,20,30 
 + 
 + interface Gi0/1 
 +    ip dhcp snooping trust     â† Uplink 
 + 
 + interface Gi0/10 
 +    ip dhcp snooping limit rate 20  ← Anti-Flood 
  
-interface Gi0/10 
-   ip dhcp snooping limit rate 20  ← Anti-Flood 
 </code> </code>
  
 ===== Konfiguration – allgemeiner Ablauf (herstellerneutral) ====== ===== Konfiguration – allgemeiner Ablauf (herstellerneutral) ======
  
-1. DHCP Snooping global aktivieren  Â +1. DHCP Snooping global aktivieren 
-2. VLANs definieren, in denen DHCP Snooping gilt  Â +2. VLANs definieren, in denen DHCP Snooping gilt 
-3. Uplink-Port(s) trusted setzen  Â +3. Uplink-Port(s) trusted setzen 
-4. Alle Access-Ports bleiben untrusted  Â +4. Alle Access-Ports bleiben untrusted 
-5. Optional Rate-Limits setzen  Â +5. Optional Rate-Limits setzen 
-6. Binding Table aktivieren  +6. Binding Table aktivieren
  
 ===== DHCP Snooping + ARP-Schutz ====== ===== DHCP Snooping + ARP-Schutz ======
Zeile 107: Zeile 110:
 Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prĂŒfen: Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prĂŒfen:
  
-  * passt IP zu MAC?  Â +  * passt IP zu MAC? 
-  * passt Port zur MAC?  +  * passt Port zur MAC?
  
 Wenn nicht → blockiert. Wenn nicht → blockiert.
Zeile 114: Zeile 117:
 ===== Typische Fehlerquellen ====== ===== Typische Fehlerquellen ======
  
-  * Uplink versehentlich untrusted → DHCP fĂ€llt komplett aus  Â +  * Uplink versehentlich untrusted → DHCP fĂ€llt komplett aus 
-  * nicht alle relevanten VLANs aktiviert  Â +  * nicht alle relevanten VLANs aktiviert 
-  * Binding Table nicht persistent gespeichert  Â +  * Binding Table nicht persistent gespeichert 
-  * Rate-Limits zu niedrig eingestellt  +  * Rate-Limits zu niedrig eingestellt
  
 ===== ASCII-Diagramm – DHCP Snooping Übersicht ====== ===== ASCII-Diagramm – DHCP Snooping Übersicht ======
  
 <code> <code>
-             +-------------------+ + 
-             |    DHCP-Server    | +              +-------------------+ 
-             +---------+---------+ +              |    DHCP-Server    | 
-                       | +              +---------+---------+ 
-                 (trusted port) +                        | 
-                       | +                  (trusted port) 
-+----------------------+----------------------+ +                        | 
-|                    Switch                   | + +----------------------+----------------------+ 
-|   untrusted ports      trusted ports      | +                    Switch                   | 
-|  PC1 PC2 PC3 PC4    |      Uplink           | +   untrusted ports      trusted ports      | 
-+----------+----------+-----------------------++  PC1 PC2 PC3 PC4    |      Uplink           | 
 + +----------+----------+-----------------------+ 
 + 
 </code> </code>
  
 ===== Sicherheitsgewinn auf einen Blick ====== ===== Sicherheitsgewinn auf einen Blick ======
  
-  * verhindert DNS-Umlenkungen durch Rogue DHCP  Â +  * verhindert DNS-Umlenkungen durch Rogue DHCP 
-  * verhindert Man-in-the-Middle  Â +  * verhindert Man-in-the-Middle 
-  * beschrĂ€nkt DHCP-Verkehr auf vertrauenswĂŒrdige Ports  Â +  * beschrĂ€nkt DHCP-Verkehr auf vertrauenswĂŒrdige Ports 
-  * Grundlage fĂŒr weitere Switch-Sicherheitsfunktionen  +  * Grundlage fĂŒr weitere Switch-Sicherheitsfunktionen
  
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * DHCP Snooping schĂŒtzt vor falschen DHCP-Servern  Â +  * DHCP Snooping schĂŒtzt vor falschen DHCP-Servern 
-  * unterscheidet trusted vs untrusted Ports  Â +  * unterscheidet trusted vs untrusted Ports 
-  * speichert gĂŒltige MAC–IP–Port-Zuordnungen in Binding Tables  Â +  * speichert gĂŒltige MAC–IP–Port-Zuordnungen in Binding Tables 
-  * essenziell in Unternehmen und VLAN-Umgebungen  Â +  * essenziell in Unternehmen und VLAN-Umgebungen 
-  * Grundlage fĂŒr IP Source Guard & Dynamic ARP Inspection  +  * Grundlage fĂŒr IP Source Guard & Dynamic ARP Inspection
  
it-themen/grundlagen/netzwerkdienste/dhcp-snooping.1764588314.txt.gz · Zuletzt geÀndert: von lars