DHCP snooping
Giao diện
Trong mạng máy tính, DHCP snooping là một loạt các kỹ thuật được áp dụng để cải thiện tính bảo mật của cơ sở hạ tầng DHCP.[1]
Khi máy chủ DHCP đang cấp phát địa chỉ IP cho máy khách trong mạng LAN, DHCP snooping có thể được định cấu hình trên các thiết bị chuyển mạch LAN để ngăn lưu lượng DHCP độc hại, sai định dạng hoặc từ máy chủ DHCP giả mạo. Ngoài ra, thông tin về các máy chủ đã hoàn thành giao dịch DHCP được tích lũy trong cơ sở dữ liệu "bindings" mà sau đó có thể được sử dụng các tính năng bảo mật hoặc tính toán khác.
Các tính năng khác có thể sử dụng thông tin cơ sở dữ liệu theo dõi DHCP để đảm bảo tính toàn vẹn của IP trên miền chuyển mạch Lớp 2. Thông tin này cho phép mạng:
- Theo dõi vị trí thực của địa chỉ IP khi kết hợp với tính toán AAA hoặc SNMP.
- Đảm bảo rằng máy chủ chỉ sử dụng địa chỉ IP được chỉ định khi được kết hợp với source-guar hay còn gọi là source-lockdown [2]
- Vệ sinh các yêu cầu ARP khi kết hợp với arp-inspection hay còn gọi là arp-protect
Tham khảo
[sửa | sửa mã nguồn]- ^ Banks, Ethan. “Five Things To Know About DHCP Snooping”. Packet Pushers. Truy cập ngày 29 tháng 2 năm 2016.
- ^ Cisco Systems, Inc. “Catalyst 3750-X and Catalyst 3560-X Switch Software Configuration Guide, Cisco IOS Release 15.0(2)SE and Later”. Cisco.com. Truy cập ngày 29 tháng 2 năm 2016.