SecureStack C2 Configuration Guide 17-1
17
DHCP Snooping and
Dynamic ARP Inspection
Thisî ±chapterî ±describesî ±twoî ±securityî ±features:
•DHCPî ±snooping,î ±whichî ±monitorsî ±DHCPî ±messagesî ±betweenî ±aî ±DHCPî ±clientî ±andî ±DHCPî ±serverî ±
toî ±filterî ±harmfulî ±DHCPî ±messagesî ±andî ±toî ±buildî ±aî ±databaseî ±ofî ±authorizedî ±addressî ±bindingsî ±
• Dynamicî ±ARPî ±inspection,î ±whichî ±usesî ±theî ±bindingsî ±databaseî ±createdî ±byî ±theî ±DHCPî ±snoopingî ±
featureî ±toî ±rejectî ±invalidî ±andî ±
maliciousî ±ARPî ±packets
DHCP Snooping Overview
DHCPî ±snoopingî ±monitorsî ±DHCPî ±messagesî ±betweenî ±DHCPî ±clientsî ±andî ±DHCPî ±serversî ±toî ±filterî ±
harmfulî ±DHCPî ±messagesî ±andî ±toî ±buildî ±aî ±bindingsî ±databaseî ±ofî ±{MACî ±address,î ±IPî ±address,î ±VLANî ±
ID,î ±port}î ±tuplesî ±thatî ±areî ±consideredî ±authorized.î ±
DHCPî ±snoopingî ±isî ±disabledî ±globallyî ±andî ±onî ±allî ±VLANsî ±byî ±default.î ±Portsî ±areî ±untrustedî ±byî ±default.
î ±
DHCPî ±snoopingî ±mustî ±beî ±enabledî ±globallyî ±andî ±onî ±specificî ±VLANs.î ±Portsî ±withinî ±theî ±VLANsî ±mustî ±
beî ±configuredî ±asî ±trustedî ±orî ±untrusted.î ±î ±DHCPî ±serversî ±mustî ±beî ±reachedî ±throughî ±trustedî ±ports.
DHCPî ±snoopingî ±enforcesî ±theî ±followingî ±securityî ±rules:
•DHCPî ±packetsî ±fromî ±aî ±DHCPî ±serverî ±(DHCPî ±OFFER,î ±DHCPî ±ACK,î ±DHCPî ±NAK)î ±areî ±droppedî ±ifî ±
receivedî ±onî ±anî ±untrustedî ±port.
•DHCPî ±RELEASEî ±andî ±DHCPî ±DECLINEî ±messagesî ±areî ±droppedî ±ifî ±theyî ±areî ±forî ±aî ±MACî ±addressî ±
inî ±theî ±snoopingî ±databaseî ±butî ±theî ±bindingʹsî ±interfaceî ±inî ±theî ±databaseî ±isî ±differentî ±fromî ±theî ±
interfaceî ±whereî ±theî ±messageî ±wasî ±received.
•Onî ±untrustedî ±interfaces,î ±theî ±switchî ±dropsî ±DHCPî ±packetsî ±whoseî ±source
î ±MACî ±addressî ±doesî ±notî ±
matchî ±theî ±clientî ±hardwareî ±address.î ±Thisî ±featureî ±isî ±aî ±configurableî ±option.
DHCP Message Processing
Theî ±hardwareî ±identifiesî ±allî ±incomingî ±DHCPî ±packetsî ±onî ±portsî ±whereî ±DHCPî ±snoopingî ±isî ±enabled.î ±
Onî ±untrustedî ±ports,î ±theî ±hardwareî ±trapsî ±allî ±incomingî ±DHCPî ±packetsî ±toî ±theî ±CPU.î ±Onî ±trustedî ±ports,î ±
For information about... Refer to page...
DHCP Snooping Overview 17-1
DHCP Snooping Commands 17-4
Dynamic ARP Inspection Overview 17-16
Dynamic ARP Inspection Commands 17-20
To Next Page
Loading...
Need help?
General