Estabelecendo a espionagem DHCP do IP

7

Estabeleceu um laboratório para testar o IP DHCP SNOOPING antes da implementação. Até agora, tudo funciona como anunciado. Dado que a porta Uplink de um switch deve ser confiável, por que não é necessário adicionar a confiança a um ponto de acesso? insira a descrição da imagem aqui

rsebastian
fonte
Eu não entendo o que você está perguntando. Você pode elaborar?
Sander Steffann
por exemplo, o tronco da porta 24 do switch HP deve ter o DHCP-SNOOPING TRUST aplicado. Nenhuma outra porta do switch seria capaz de responder aos pacotes DHCP Discover dos clientes. Portanto, mesmo através do invasor configurou um servidor DHCP desonesto, a porta no comutador ao qual o invasor se conectou não teria permissão para responder aos pacotes de descoberta DHCP. Não é possível ativar o DHCP após a conexão sem fio sem a confiança no local?
precisa saber é o seguinte
A espionagem deve seguir o caminho em direção ao servidor DHCP. A porta 24 da Cisco não deve precisar de confiança, mas a porta 24 da HP precisa, porque esse é o caminho para o servidor DHCP.
Daniel Dib
Concordo com o @DanielDib que você não deve confiar na porta 24 na Cisco em geral, com base neste diagrama. No entanto, se você não planeja implementar o DAI ou algum outro recurso que exija as entradas na tabela de ligação, você poderá confiar na porta 24 na Cisco, desde que a HP esteja espionando o DHCP. Isso evita que a Cisco precise manter entradas na tabela de ligação nessa porta, o que pode ser considerado se você tiver muitos clientes de downstream e um switch com recursos limitados.
YLearn
A porta 24 da Cisco não é confiável. A porta 24 da HP é.
precisa saber é o seguinte

Respostas:

11

A espionagem DHCP funciona inspecionando pacotes DHCP e descartando qualquer pacote recebido em uma porta não confiável que seja de um tipo enviado por um servidor DHCP (geralmente OFERTA, ACK e NACK).

O motivo pelo qual você não precisa confiar em uma porta AP é que você deve receber apenas tipos de clientes de tráfego DHCP nessa porta. Enquanto você recebe pacotes DISCOVERY, REQUEST e INFO, não deve receber nenhum pacote OFERTA, ACK ou NACK na porta AP.

A ressalva é que, se você estiver usando o AP como uma ponte para um caminho redundante, precisará confiar na porta. Se o link principal falhar, você passará novamente o tráfego do servidor DHCP para os clientes através do ponto de acesso.

YLearn
fonte