Haben ein Labor eingerichtet, um IP DHCP SNOOPING vor der Implementierung zu testen. Bisher funktioniert alles wie angekündigt. Warum ist es nicht erforderlich, einem Zugriffspunkt die Vertrauenswürdigkeit hinzuzufügen, da dem Uplink-Port eines Switches vertraut werden muss?
Ich verstehe nicht, was Sie fragen. Können Sie bitte näher darauf eingehen?
—
Sander Steffann
Beispielsweise muss für Port 24-Trunk des HP Switches DHCP-SNOOPING TRUST angewendet werden. Keine anderen Ports auf dem Switch können auf DHCP Discover-Pakete von den Clients antworten. Selbst wenn der Angreifer einen nicht autorisierten DHCP-Server eingerichtet hat, kann der Port des Switches, mit dem der Angreifer eine Verbindung hergestellt hat, nicht auf DHCP-Erkennungspakete antworten. Könnte man DHCP nicht nach einer drahtlosen Verbindung aufrufen, ohne das dort vorhandene Vertrauen zu haben?
—
Rsebastian
Snooping muss dem Pfad zum DHCP-Server folgen. Port 24 auf dem Cisco sollte kein Vertrauen benötigen, Port 24 auf dem HP jedoch, da dies der Pfad zum DHCP-Server ist.
—
Daniel Dib
Ich stimme @DanielDib zu, dass Sie Port 24 auf dem Cisco im Allgemeinen nicht anhand dieses Diagramms vertrauen sollten. Wenn Sie jedoch nicht vorhaben, DAI oder eine andere Funktion zu implementieren, für die die Einträge in der Bindungstabelle erforderlich sind, können Sie Port 24 auf dem Cisco vertrauen, solange HP DHCP-Snooping ausführt. Dies verhindert, dass Cisco Einträge in der Bindungstabelle an diesem Port behalten muss. Dies kann eine Überlegung sein, wenn Sie über viele nachgeschaltete Clients und einen Switch mit begrenzten Ressourcen verfügen.
—
YLearn
Port 24 des Cisco ist nicht vertrauenswürdig. Port 24 der HP ist.
—
Rsebastian