O que são DHCP Snooping e DAI e como configurá-los em switches Omada quando adotados em um controlador Omada?
01-27-2026Conteúdo
Configuração para DHCP Snooping
Introdução
O DHCP Snooping e a Inspeção ARP Dinâmica (DAI) são recursos essenciais de segurança de Camada 2 projetados para aumentar a proteção da rede. Ambos os recursos fazem parte do IP-MAC-Port Binding (IMPB) nos switches Omada.
Para o DHCP Snooping, o recurso constrói e mantém dinamicamente uma tabela de vinculação IP-MAC-Porta ao monitorar as transações DHCP legítimas. Esta tabela registra associações válidas entre o endereço IP de um cliente, o endereço MAC, a porta conectada, a VLAN e a duração do aluguel (lease).
Na porta com o DHCP Snooping ativado, ele registrará as informações do cliente DHCP e descartará qualquer pacote de resposta do servidor DHCP enviado pelo cliente conectado nesta porta.
Para o DAI, ele protege contra o ARP spoofing (também conhecido como envenenamento ARP), um ataque comum de man-in-the-middle onde um invasor envia mensagens ARP falsificadas para associar seu endereço MAC ao IP de outro host. Na porta do switch com DAI ativado, a porta verificará cada pacote ARP e verá se os endereços MAC correspondem aos endereços IP corretos. A fonte de validação é o IMPB mencionado acima. Se a rede utilizar DHCP, o DHCP Snooping é frequentemente usado em conjunto para monitorar dinamicamente e formar a tabela de vinculação. Se a rede envolver apenas endereços IP estáticos, recomenda-se desativar o recurso onde as entradas do DHCP Snooping afetam a validação do DAI e adicionar manualmente as entradas de vinculação para que o DAI funcione. Se um pacote não corresponder a nenhuma entrada na porta com DAI ativado, ele será reconhecido como tráfego ilegal e descartado.
Requisitos
- Switches Omada Access, Access Plus, Access Pro, Access Max e Aggregation com o firmware mais recente
- Controladora Omada V6.1 e superior
Configuração
Na seção a seguir, forneceremos etapas simples que orientam a configuração do DHCP Snooping e DAI nos switches Omada quando adotados pela Controladora Omada.
Antes de configurar, certifique-se de que os switches tenham o firmware mais recente instalado e que a Controladora Omada esteja na versão 6.1 ou superior; adote o switch na controladora primeiro.
Configuração para DHCP Snooping
Passo 1. Vá para Network Config -> Security -> IMPB.
Vá para DHCP Snooping, marque para ativar o DHCP Snooping globalmente.
Passo 2. Após ativar o DHCP Snooping globalmente, clique no botão Add para escolher um switch no qual ativar o DHCP Snooping.
Na página Add DHCP Snooping Device, expanda a página de rolagem Select Device e selecione os switches nos quais deseja ativar o DHCP Snooping.
Escolha as portas nas quais deseja ativar o DHCP Snooping; ao escolher uma porta, os pacotes DHCP serão monitorados para formar as entradas IMPB, e os pacotes de resposta do servidor DHCP enviados pelo cliente conectado serão descartados. Para garantir que o próprio switch possa obter um endereço IP via DHCP, a porta de cascata (uplink) não deve ser selecionada. Clique em Confirm para finalizar a configuração.
Aqui finalizamos a configuração do DHCP Snooping; a configuração atual do DHCP Snooping pode ser verificada e editada no mesmo menu.
Configuração para DAI
Passo 1. Vá para Network Config -> Security -> IMPB.
Vá para DAI, marque para ativar o DAI globalmente.
Passo 2. Após ativar o DAI globalmente, clique no botão Add para escolher um switch no qual ativar o DAI.
Na página Add DAI Device & Port, expanda a página de rolagem Select Device e selecione os switches nos quais deseja ativar o DAI.
Escolha as portas nas quais deseja ativar o DAI; lembre-se de que, se você ativou o DHCP Snooping em algumas portas do mesmo switch, poderá selecionar a mesma faixa de portas para ativar o DAI clicando em Select All Snooping Port, já que o DHCP Snooping e o DAI são frequentemente usados juntos em redes DHCP. Clique em Confirm para finalizar a configuração.
Passo 3. Conforme introduzido anteriormente, a fonte de validação para o DAI vem de entradas criadas dinamicamente pelo DHCP Snooping ou entradas estáticas criadas manualmente. Por padrão, a opção Snooping items take effect está ativada, o que significa que as entradas criadas pelo DHCP Snooping serão usadas para a validação do DAI. Se a sua rede utiliza DHCP, tanto o DHCP Snooping quanto o DAI precisam estar ativados nas portas, mantendo a opção Snooping items take effect ativada para garantir que os clientes DHCP possam acessar a Internet. Se a rede não for DHCP, recomenda-se desativar esta opção para garantir que clientes com endereços IP dinâmicos ilegais não consigam acesso à rede.
Passo 4. Para criar entradas estáticas manualmente, clique no botão Edit no dispositivo.
Na página Edit DAI Port, clique em Add Item para inserir manualmente as entradas de vinculação ou clique em Import para importar entradas em lote através de uma planilha de modelo. Após terminar a edição, clique no botão Confirm para aplicar.
Conclusão
Aqui finalizamos a introdução sobre o que é DHCP Snooping e DAI, bem como sua configuração.
Para saber mais detalhes de cada função e configuração, visite o Centro de Downloads para baixar o manual do seu produto.
Perguntas e Respostas
P1: Existe uma maneira de apenas monitorar (snoop) pacotes DHCP na porta, mas sem descartar pacotes DHCP ilegais ao mesmo tempo?
R1: Não, uma vez que uma porta é selecionada na opção DHCP Snooping, ela irá monitorar para formar as entradas IMPB e descartar pacotes DHCP ilegais para prevenir um servidor DHCP falso ao mesmo tempo; esses dois recursos não podem operar separadamente.
