在較複雜的內網環境中,常會發生使用私自攜帶無線寬頻分享器之類的設備,且因為錯誤的安裝,並未關閉設備 DHCP Server 的 IP 分配功能,造成內網有非允許的 DHCP 在發出錯誤的 IP 分配,從而導致無法正常上網或連線。
藉由設定 ZyXEL 網管交換機的 DHCP Snooping 功能,則可以阻斷內網內不被允許的 DHCP 伺服器進行 IP 的分配,通常此功能開啟於接入層交換機,本次範例示範在 ZyXEL GS2210-24HP 交換機上啟用 DHCP Snooping 功能,此交換機韌體版本為:V4.50(AANE.3)20191115,請先登入交換機的網頁管理介面後,再開始本文操作。
1. 先點擊 "Advanced Application" ,然後點擊 "IP Source Guard" 。
2. 進入 "IP Source Guard" 頁面後,點擊 "IPv4" "Source Guard Setup" 右方的 "Click Here"。
3. 點擊上方的 "DHCP Snooping"。
4. 點擊上方的 "Configure"。
5. 進入 "DHCP Snooping Configure" 頁面後,先勾選 "Active" 以啟動功能,然後點擊下方的 "Apply"套用其設定。
6. 套用完成後,點擊右上方的 "Port"。
7. 將與上層或下層交換機連結的 up link port 由 "Untrusted" 改至 "Trusted" ,與用戶端設備連結的網路埠維持"Untrusted"不變,完成後點擊下方的 "Apply"套用其設定。
8. 點擊上方的 "Configure" 回到上一頁面。
9. 點擊右上方的 "VLAN"。
10. 先在"VLAN Search by VID"後的空格內輸入想要啟用的VLAN ID,完成後點擊"Search",之後會在下方出現其 VLAN 的 DHCP Snooping 啟用狀態,將 "Enabled" 欄位調整至 "Yes",完成後點擊下方的 "Apply"套用其設定。(重複此步驟直到所有需要啟用的 VLAN 都已經啟用)
11. 上一步完成後在"VLAN Search by VID"後的空格內保持空白,然後點擊"Search",之後會在下方出現目前所有已經啟用 DHCP Snooping 功能的 VLAN ID 清單,確認無誤後,點擊上方的 "Configure" 回到上一頁面。
12. 點擊上方的 "DHCP Snooping" 回到上一頁面。
13. 點擊上方的 "IPv4 SG" 回到上一頁面。
14. 此時如果此交換機的用戶端連結埠有使用者用 DHCP 取得 IP 的話,則會在列表中看到相對應的 IP、VLAN、MAC Address、Port、IP 剩餘時間等紀錄,這樣就完成全部設定了。
15. 記得將設定進行 SAVE 的作業。
以上。
沒有留言:
張貼留言