it-themen:grundlagen:netzwerkdienste:dhcp-snooping
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:27] – [Konfiguration – Cisco-Beispiel] lars | it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:30] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 99: | Zeile 99: | ||
| ===== Konfiguration – allgemeiner Ablauf (herstellerneutral) ====== | ===== Konfiguration – allgemeiner Ablauf (herstellerneutral) ====== | ||
| - | 1. DHCP Snooping global aktivieren | + | 1. DHCP Snooping global aktivieren |
| - | 2. VLANs definieren, in denen DHCP Snooping gilt  | + | 2. VLANs definieren, in denen DHCP Snooping gilt |
| - | 3. Uplink-Port(s) trusted setzen | + | 3. Uplink-Port(s) trusted setzen |
| - | 4. Alle Access-Ports bleiben untrusted | + | 4. Alle Access-Ports bleiben untrusted |
| - | 5. Optional Rate-Limits setzen | + | 5. Optional Rate-Limits setzen |
| - | 6. Binding Table aktivieren | + | 6. Binding Table aktivieren |
| ===== DHCP Snooping + ARP-Schutz ====== | ===== DHCP Snooping + ARP-Schutz ====== | ||
| Zeile 110: | Zeile 110: | ||
| Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prĂĽfen: | Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prĂĽfen: | ||
| - | * passt IP zu MAC?  | + | * passt IP zu MAC? |
| - | * passt Port zur MAC? | + | * passt Port zur MAC? |
| Wenn nicht → blockiert. | Wenn nicht → blockiert. | ||
| Zeile 117: | Zeile 117: | ||
| ===== Typische Fehlerquellen ====== | ===== Typische Fehlerquellen ====== | ||
| - | * Uplink versehentlich untrusted → DHCP fällt komplett aus  | + | * Uplink versehentlich untrusted → DHCP fällt komplett aus |
| - | * nicht alle relevanten VLANs aktiviert | + | * nicht alle relevanten VLANs aktiviert |
| - | * Binding Table nicht persistent gespeichert | + | * Binding Table nicht persistent gespeichert |
| - | * Rate-Limits zu niedrig eingestellt | + | * Rate-Limits zu niedrig eingestellt |
| ===== ASCII-Diagramm – DHCP Snooping Übersicht ====== | ===== ASCII-Diagramm – DHCP Snooping Übersicht ====== | ||
| < | < | ||
| - | | + | Â |
| - | | + | |
| - | | + | | DHCP-Server |
| - | | + | +---------+---------+Â |
| - | | + | |Â |
| - | | + | (trusted port)Â |
| - | +----------------------+----------------------+Â | + | |Â |
| - | | Switch | + | |
| - | | | + | |
| - | | PC1 PC2 PC3 PC4 | Uplink | + | |
| - | +----------+----------+-----------------------+ | + | |
| + | | ||
| + | Â | ||
| </ | </ | ||
| ===== Sicherheitsgewinn auf einen Blick ====== | ===== Sicherheitsgewinn auf einen Blick ====== | ||
| - | * verhindert DNS-Umlenkungen durch Rogue DHCP Â | + | * verhindert DNS-Umlenkungen durch Rogue DHCPÂ |
| - | * verhindert Man-in-the-Middle | + | * verhindert Man-in-the-Middle |
| - | * beschränkt DHCP-Verkehr auf vertrauenswürdige Ports  | + | * beschränkt DHCP-Verkehr auf vertrauenswürdige Ports |
| - | * Grundlage fĂĽr weitere Switch-Sicherheitsfunktionen | + | * Grundlage fĂĽr weitere Switch-Sicherheitsfunktionen |
| ===== Zusammenfassung ====== | ===== Zusammenfassung ====== | ||
| - | * DHCP Snooping schützt vor falschen DHCP-Servern | + | * DHCP Snooping schützt vor falschen DHCP-Servern |
| - | * unterscheidet trusted vs untrusted Ports  | + | * unterscheidet trusted vs untrusted Ports |
| - | * speichert gültige MAC–IP–Port-Zuordnungen in Binding Tables | + | * speichert gültige MAC–IP–Port-Zuordnungen in Binding Tables |
| - | * essenziell in Unternehmen und VLAN-Umgebungen | + | * essenziell in Unternehmen und VLAN-Umgebungen |
| - | * Grundlage fĂĽr IP Source Guard & Dynamic ARP Inspection | + | * Grundlage fĂĽr IP Source Guard & Dynamic ARP Inspection |
it-themen/grundlagen/netzwerkdienste/dhcp-snooping.1764588449.txt.gz · Zuletzt geändert: von lars