Содержание

Введение

Требования

Настройка

Настройка DHCP Snooping

Настройка DAI

Заключение

Вопросы и ответы

Введение

DHCP Snooping и Dynamic ARP Inspection (DAI) — это важные функции безопасности уровня 2, предназначенные для усиления защиты сети. Обе функции являются частью привязки IP-MAC-Port (IMPB) на коммутаторах Omada.

Функция DHCP Snooping динамически создает и поддерживает таблицу привязки IP-MAC-Port, отслеживая легитимные DHCP-транзакции. Эта таблица записывает допустимые соответствия между IP-адресом клиента, MAC-адресом, подключенным портом, VLAN и сроком аренды адреса.

На порту с включенным DHCP Snooping функция будет записывать информацию о DHCP-клиенте и отбрасывать любые пакеты ответов DHCP-сервера, отправленные клиентом, подключенным к этому порту.

Функция DAI защищает от спуфинга ARP (также известного как ARP-отравление) — распространенной атаки «человек посередине», при которой злоумышленник отправляет фальсифицированные ARP-сообщения, чтобы связать свой MAC-адрес с IP-адресом другого хоста. На порту коммутатора с включенным DAI порт будет проверять каждый ARP-пакет и сверять, соответствуют ли MAC-адреса правильным IP-адресам. Источником проверки является упомянутая выше таблица IMPB. Если в сети используется DHCP, DHCP Snooping часто используется совместно для динамического отслеживания и формирования таблицы привязки. Если сеть использует только статические IP-адреса, рекомендуется отключить функцию, согласно которой записи DHCP Snooping влияют на проверку DAI, и вручную добавлять записи привязки, чтобы DAI работала. Если пакет не соответствует ни одной записи на порту с включенным DAI, он будет распознан как нелегитимный трафик и отброшен.

Требования

• Коммутаторы Omada серий Access, Access Plus, Access Pro, Access Max и Aggregation с последней версией прошивки
• Контроллер Omada версии V6.1 и выше

Настройка

В следующем разделе представлены простые шаги по настройке DHCP Snooping и DAI на коммутаторах Omada при управлении через контроллер Omada.

Перед настройкой убедитесь, что на коммутаторах установлена последняя версия прошивки, а контроллер Omada имеет версию 6.1 или выше, и сначала добавьте коммутатор в контроллер.

Настройка DHCP Snooping

Шаг 1. Перейдите в Конфигурация сети -> Безопасность -> IMPB.

Перейдите в раздел DHCP Snooping, установите флажок для глобального включения DHCP Snooping.

Шаг 2. После глобального включения DHCP Snooping нажмите кнопку Добавить, чтобы выбрать коммутатор для включения функции.

На странице Добавить устройство DHCP Snooping разверните список Выбрать устройство и выберите коммутаторы, на которых вы хотите включить DHCP Snooping.

Выберите порты, на которых вы хотите включить DHCP Snooping. При выборе порта DHCP-пакеты будут отслеживаться для формирования записей IMPB, и пакеты ответов DHCP-сервера, отправленные подключенным клиентом, будут отбрасываться. Чтобы гарантировать, что сам коммутатор сможет получить IP-адрес через DHCP, каскадный порт не может быть выбран. Нажмите Подтвердить, чтобы завершить настройку.

На этом настройка DHCP Snooping завершена. Текущую конфигурацию DHCP Snooping можно проверить и отредактировать в том же меню.

Настройка DAI

Шаг 1. Перейдите в Конфигурация сети -> Безопасность -> IMPB.

Перейдите в раздел DAI, установите флажок для глобального включения DAI.

Шаг 2. После глобального включения DAI нажмите кнопку Добавить, чтобы выбрать коммутатор для включения функции.

На странице Добавить устройство и порт DAI разверните список Выбрать устройство и выберите коммутаторы, на которых вы хотите включить DAI.

Выберите порты, на которых вы хотите включить DAI. Обратите внимание: если вы уже включили DHCP Snooping на некоторых портах того же коммутатора, вы можете выбрать тот же диапазон портов для включения DAI, нажав Выбрать все порты Snooping, так как DHCP Snooping и DAI часто используются вместе в сети с DHCP. Нажмите Подтвердить, чтобы завершить настройку.

Шаг 3. Как упоминалось ранее, источником проверки для DAI являются либо записи, созданные динамически DHCP Snooping, либо статические записи, созданные вручную. По умолчанию включена опция Записи Snooping учитываются. Это означает, что для проверки DAI будут использоваться записи, созданные DHCP Snooping. Если в вашей сети используется DHCP, необходимо включить и DHCP Snooping, и DAI на портах и оставить опцию Записи Snooping учитываются включенной, чтобы гарантировать доступ DHCP-клиентов в Интернет. Если сеть не использует DHCP, рекомендуется отключить эту опцию, чтобы клиенты с нелегитимными динамическими IP-адресами не могли получить доступ к сети.

Шаг 4. Чтобы вручную создать статические записи, нажмите кнопку Редактировать на устройстве.

На странице Редактировать порт DAI нажмите Добавить запись, чтобы вручную ввести записи привязки, или нажмите Импорт для пакетного импорта записей через шаблонную таблицу. После завершения редактирования нажмите кнопку Подтвердить для применения изменений.

Заключение

Мы завершили описание того, что такое DHCP Snooping и DAI, а также их настройку.

Чтобы узнать больше подробностей о каждой функции и настройке, перейдите в Центр загрузок, чтобы скачать руководство для вашего продукта.

Вопросы и ответы

В1: Можно ли только отслеживать DHCP-пакеты на порту, но при этом не отбрасывать какие-либо нелегитимные DHCP-пакеты?

О1: Нет. Как только порт выбран в настройке DHCP Snooping, он будет отслеживать пакеты для формирования записей IMPB и одновременно отбрасывать нелегитимные DHCP-пакеты для предотвращения работы неавторизованного DHCP-сервера. Эти две функции не могут работать раздельно.