Establecí un laboratorio para probar el IP DHCP SNOOPING antes de la implementación. Hasta ahora todo funciona como se anuncia. Dado que el puerto Uplink de un conmutador debe ser confiable, ¿por qué no es necesario agregar la confianza a un punto de acceso?
No entiendo lo que preguntas. ¿Puedes por favor elaborar?
—
Sander Steffann
por ejemplo, el enlace troncal del puerto 24 del conmutador HP debe tener DHCP-SNOOPING TRUST aplicado. Ningún otro puerto en el conmutador podrá responder a los paquetes DHCP Discover de los clientes. Por lo tanto, incluso a través del atacante ha configurado un servidor dhcp falso, el puerto en el conmutador al que se ha conectado el atacante no podría responder a los paquetes de descubrimiento de DHCP. ¿No se puede abrir DHCP después de conectarse de forma inalámbrica sin la confianza allí?
—
rsebastian
Snooping tiene que seguir el camino hacia el servidor DHCP. El puerto 24 en Cisco no debería necesitar confianza, pero el puerto 24 en HP sí, porque esa es la ruta hacia el servidor DHCP.
—
Daniel Dib el
Estoy de acuerdo con @DanielDib en que no debe confiar en el puerto 24 en Cisco en general, según este diagrama. Sin embargo, si no planea implementar DAI o alguna otra característica que requiera las entradas en la tabla de enlace, puede confiar en el puerto 24 en Cisco, siempre y cuando HP esté haciendo una inspección DHCP. Esto evita que Cisco tenga que mantener entradas en la tabla de enlace en ese puerto, lo que puede ser una consideración si tiene muchos clientes de baja y un conmutador con recursos limitados.
—
YLearn
El puerto 24 de Cisco no es Trusted. El puerto 24 del HP es.
—
rsebastian