O que são DHCP Snooping e DAI e como configurá-los em switches Omada quando adotados em um controlador Omada?

Knowledgebase

Configuration Guide

Bookmarks

01-27-2026

Conteúdo

Introdução

Requisitos

Configuração

Configuração para DHCP Snooping

Configuração para DAI

Conclusão

QA (Perguntas e Respostas)

Introdução

O DHCP Snooping e a Inspeção ARP Dinâmica (DAI) são recursos essenciais de segurança de Camada 2 projetados para aumentar a proteção da rede. Ambos os recursos fazem parte do IP-MAC-Port Binding (IMPB) nos switches Omada.

Para o DHCP Snooping, o recurso constrói e mantém dinamicamente uma tabela de vinculação IP-MAC-Porta monitorando transações DHCP legítimas. Esta tabela registra associações válidas entre o endereço IP de um cliente, o endereço MAC, a porta conectada, a VLAN e a duração do aluguel (lease).

Na porta com o DHCP Snooping habilitado, o switch registrará as informações do cliente DHCP e descartará qualquer pacote de resposta de servidor DHCP enviado por um cliente conectado nesta porta.

Para o DAI, ele protege contra o ARP spoofing (envenenamento de ARP), um ataque comum de "man-in-the-middle" onde um invasor envia mensagens ARP falsificadas para associar seu MAC ao IP de outro host. Na porta do switch com DAI habilitado, a porta verificará cada pacote ARP e verá se os endereços MAC correspondem aos endereços IP corretos. A fonte de validação é o IMPB mencionado acima. Se a rede utiliza DHCP, o DHCP Snooping é frequentemente usado em conjunto para formar a tabela de vinculação.

Requisitos

Switches Omada Access, Access Plus, Access Pro, Access Max e Aggregation com firmware mais recente.
Omada Controller V6.1 ou superior.

Configuração

Certifique-se de que os switches tenham o firmware mais recente e estejam adotados no controlador.

Configuração para DHCP Snooping

Passo 1. Vá para Network Config -> Security -> IMPB.

Caminho para configuração IMPB

Acesse DHCP Snooping e habilite a função globalmente.

Página de configuração DHCP Snooping

Passo 2. Clique no botão Add para escolher um switch.

Adicionar dispositivo DHCP Snooping

Selecione os switches na lista suspensa.

Selecionar dispositivo

Escolha as portas desejadas. Atenção: Não selecione a porta de cascata (uplink) para garantir que o switch obtenha IP. Clique em Confirm.

Selecionar portas

Você pode verificar o status atual no mesmo menu:

Status DHCP Snooping

Configuração para DAI

Passo 1. Em Network Config -> Security -> IMPB, vá até DAI e habilite globalmente.

Habilitar DAI globalmente

Passo 2. Clique em Add e selecione o switch.

Adicionar switch para DAI

Selecionar dispositivo DAI

Escolha as portas. Você pode usar Select All Snooping Port para alinhar com as portas DHCP Snooping. Clique em Confirm.

Selecionar portas DAI

Passo 3. A opção Snooping items take effect permite usar a tabela do DHCP Snooping para validar o DAI. Mantenha ativado para redes DHCP.

Vigência dos itens de Snooping

Passo 4. Para entradas estáticas, clique em Edit no dispositivo.

Editar entradas DAI

Na página Edit DAI Port, adicione manualmente ou importe via modelo.

Adicionar item estático

Página de entrada manual

Upload em lote

Conclusão

Agora você compreende o funcionamento e a configuração do DHCP Snooping e DAI no sistema Omada.

QA

Q1: Posso apenas monitorar o DHCP sem bloquear pacotes ilegais?
A1: Não. Uma vez habilitado na porta, o recurso monitora e bloqueia servidores DHCP não autorizados simultaneamente.

Por favor, avalie este documento