목차
소개
DHCP 스누핑 및 동적 ARP 검사(DAI)는 네트워크 보호를 강화하기 위해 설계된 필수적인 레이어 2 보안 기능입니다. 두 기능 모두 Omada 스위치의 IP-MAC-포트 바인딩(IMPB)의 일부입니다.
DHCP 스누핑 기능은 합법적인 DHCP 트랜잭션을 스누핑하여 IP-MAC-포트 바인딩 테이블을 동적으로 구축하고 유지합니다. 이 테이블은 클라이언트의 IP 주소, MAC 주소, 연결된 포트, VLAN 및 임대 기간 간의 유효한 연관 관계를 기록합니다.
DHCP 스누핑이 활성화된 포트에서는 DHCP 클라이언트 정보를 기록하고, 해당 포트에 연결된 클라이언트가 전송한 모든 DHCP 서버 응답 패킷을 삭제합니다.
DAI(동적 주소 할당)의 경우, 공격자가 위조된 ARP 메시지를 전송하여 자신의 MAC 주소를 다른 호스트의 IP와 연결하는 일반적인 중간자 공격인 ARP 스푸핑(ARP 포이즌)으로부터 보호합니다. DAI가 활성화된 스위치 포트에서는 각 ARP 패킷을 검사하여 MAC 주소가 올바른 IP 주소와 일치하는지 확인합니다. 검증의 출처는 앞서 언급한 IMPB입니다. 네트워크가 DHCP를 사용하는 경우, DHCP 스누핑을 함께 사용하여 동적으로 스누핑하고 바인딩 테이블을 형성하는 경우가 많습니다. 네트워크가 고정 IP 주소만 사용하는 경우, DHCP 스누핑 항목이 DAI 검증에 영향을 미치므로 해당 기능을 비활성화하고 바인딩 항목을 수동으로 추가하여 DAI를 작동시키는 것이 좋습니다. DAI가 활성화된 포트에서 패킷이 어떤 항목과도 일치하지 않으면 불법 트래픽으로 인식되어 삭제됩니다.
요구 사항
- 최신 펌웨어가 설치된 Omada Access, Access Plus, Access Pro, Access Max 및 애그리게이션 스위치
- Omada Controller V6.1 이상
설정
다음 섹션에서는 Omada 컨트롤러와 연동할 때 Omada 스위치에서 DHCP 스누핑 및 DAI 설정을 안내하는 간단한 가이드를 제공합니다.
설정하기 전에 스위치에 최신 펌웨어가 설치되어 있는지, Omada 컨트롤러가 버전 6.1 이상인지 확인하고, 먼저 컨트롤러에 스위치를 연동하십시오.
DHCP 스누핑설정
1단계. 네트워크 구성 -> 보안 -> IMPB로 이동합니다.
DHCP 스누핑으로 이동하여 DHCP 스누핑을 전역적으로 활성화하도록 체크합니다.
단계 2. DHCP 스누핑을 전역적으로 활성화한 후, 추가 버튼을 클릭하여 DHCP 스누핑을 활성화할 스위치를 선택합니다.
DHCP 스누핑 장치 추가 페이지에서 장치 선택 스크롤 다운 페이지를 확장하고 DHCP 스누핑을 활성화할 스위치를 선택합니다.
DHCP 스누핑을 활성화할 포트를 선택합니다. 포트를 선택하면 DHCP 패킷이 스누핑되어 IMPB 항목이 생성되며, 연결된 클라이언트에서 전송된 DHCP 서버 응답 패킷은 삭제됩니다. 스위치 자체도 DHCP를 통해 IP 주소를 획득할 수 있도록 캐스케이드 포트는 선택할 수 없습니다. 확인을 클릭하여 설정을 완료합니다.
이로써 DHCP 스누핑 설정을 완료했습니다. 현재 DHCP 스누핑 설정은 동일한 메뉴에서 확인 및 편집할 수 있습니다.
DAI 설정
1단계. 네트워크 구성 -> 보안 -> IMPB로 이동합니다.
DAI로 이동하여 DAI를 전역적으로 활성화하도록 체크합니다.
2단계. DAI를 전역적으로 활성화한 후, 추가 버튼을 클릭하여 DAI를 활성화할 스위치를 선택합니다.
[ DAI 장치 및 포트 추가 ] 페이지에서 [ 장치 선택 ] 스크롤 다운 페이지를 확장하고 DAI를 활성화할 스위치를 선택합니다.
DAI를 활성화할 포트를 선택하세요. 동일한 스위치의 일부 포트에 DHCP 스누핑이 활성화된 경우, DHCP 스누핑과 DAI가 DHCP 네트워크에서 함께 사용되는 경우가 많으므로 '모든 스누핑 포트 선택'을 클릭하여 동일한 포트 범위를 선택할 수 있습니다. '확인'을 클릭하여 설정을 완료하세요.
3단계. 앞서 소개한 바와 같이, DAI 검증의 출처는 DHCP 스누핑에 의해 동적으로 생성된 항목 또는 수동으로 생성된 정적 항목 중 하나입니다. 기본적으로 '스누핑 항목 적용' 옵션이 활성화되어 있으므로, DHCP 스누핑에 의해 생성된 항목이 DAI 검증에 사용됩니다. 네트워크가 DHCP를 사용하는 경우, DHCP 클라이언트가 인터넷에 접근할 수 있도록 포트에서 DHCP 스누핑과 DAI를 모두 활성화하고 '스누핑 항목 적용' 옵션을 활성화 상태로 유지해야 합니다. 네트워크가 비-DHCP인 경우, 불법적인 동적 IP 주소를 가진 클라이언트가 네트워크에 접근하지 못하도록 이 옵션을 비활성화하는 것이 좋습니다.
4단계. 수동으로 정적 항목을 생성하려면 장치의 '편집' 버튼을 클릭하십시오.
[ DAI 포트 편집 ] 페이지에서 [ 항목 추가 ]를 클릭하여 바인딩 항목을 수동 입력하거나 [ 가져오기 ]를 클릭하여 템플릿 시트를 통해 항목을 일괄 가져옵니다. 편집 완료 후 [ 확인 ] 버튼을 클릭하여 적용합니다.
결론
지금까지 DHCP 스누핑과 DAI의 개념 및 설정 방법에 대해 설명해 드렸습니다.
각 기능 및 설정에 대한 자세한 내용은 다운로드 센터에서 해당 제품 설명서를 다운로드하여 확인하십시오.
QA
Q1: 포트에서 DHCP 패킷만 스누핑하고 동시에 불법 DHCP 패킷을 드롭하지 않는 방법이 있습니까?
A1: 아니요, DHCP 스누핑 옵션에서 포트를 선택하면 IMPB 항목을 형성하기 위해 스누핑을 수행하고 동시에 불법 DHCP 패킷을 드롭하여 비인가 DHCP 서버를 방지합니다. 이 두 기능은 별도로 작동할 수 없습니다.
이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.
