Глава
24
Защита
от
подмены
IP-
адресов
Руководство
пользователя
GS-4012F/4024
220
24.1.1.1
Доверенные
и
не
заслуживающие
доверия
порты
Функция
отслеживания
DHCP
делит
все
порты
на
доверенные
и
не
заслуживающие
доверия
.
Данная
настройка
не
зависит
от
аналогичной
настройки
доверенных
/
не
заслуживающих
доверия
портов
для
функции
инспекции
ARP-
пакетов
.
Кроме
того
,
можно
определить
максимальное
количество
пакетов
DHCP,
которое
может
приниматься
через
каждый
из
портов
(
доверенных
или
не
заслуживающих
доверия
)
за
секунду
.
Доверенные
порты
подключаются
к
серверам
DHCP
или
другим
коммутаторам
.
Пакеты
DHCP,
поступающие
через
доверенные
порты
,
коммутатор
отбрасывает
лишь
в
том
случае
,
если
скорость
их
поступления
слишком
высока
.
По
информации
от
доверенных
портов
коммутатор
строит
динамическую
таблицу
привязок
.
"
Если
включить
отслеживание
DHCP
и
не
определить
ни
одного
доверенного
порта
,
коммутатор
будет
отбрасывать
все
запросы
DHCP.
Не
заслуживающие
доверия
порты
подключаются
к
абонентам
.
Пакеты
DHCP
от
не
заслуживающих
доверия
портов
отбрасываются
коммутатором
в
следующих
случаях
:
•
Пакет
представляет
собой
пакет
сервера
DHCP (
например
, OFFER, ACK
или
NACK).
• MAC-
адрес
источника
и
IP-
адрес
источника
в
пакете
не
соответствуют
ни
одной
из
существующих
привязок
.
•
Пакет
представляет
собой
пакет
типа
RELEASE
или
DECLINE,
и
MAC-
адрес
источника
и
порт
источника
не
соответствуют
ни
одной
из
существующих
привязок
.
•
Скорость
поступления
пакетов
DHCP
слишком
высока
.
24.1.1.2
База
данных
отслеживания
DHCP
Таблица
привязок
хранится
коммутатором
в
энергозависимой
памяти
.
В
случае
перезапуска
коммутатора
он
загружает
статические
привязки
из
постоянной
памяти
,
однако
динамические
привязки
при
этом
теряются
,
т
.
е
.
устройства
в
сети
должны
повторно
направлять
DHCP-
запросы
.
В
связи
с
этим
рекомендуется
настроить
базу
данных
отслеживания
DHCP.
База
данных
отслеживания
DHCP
позволяет
хранить
динамические
привязки
для
функций
отслеживания
DHCP
и
инспекции
ARP-
пакетов
в
файле
на
внешнем
сервере
TFTP.
Если
база
данных
отслеживания
DHCP
была
настроена
,
коммутатор
загружает
динамические
привязки
из
базы
данных
отслеживания
DHCP
после
перезапуска
коммутатора
.
Можно
настроить
имя
и
расположение
файла
на
внешнем
сервере
TFTP.
Файл
имеет
следующий
формат
: