Yerel ağlarda sahte (Rogue) DHCP sunucularının ip dağıtarak ağ düzenini bozmasını engellemek için Layer 2 switchler üzerinde DHCP Snooping özelliği aktifleştirilir. Aruba switchlerde DHCP Snooping etkinleştirildiğinde, tüm portlar otomatik olarak güvenilmeyen (untrusted) kabul edilir ve bu portlardan gelen DHCP sunucu paketleri bloke edilir. Sadece güvenilen (trusted) uplink veya sunucu portundan DHCP paketlerinin geçişine izin verilir.

Bu yazıda, Aruba switchlerde DHCP Snooping ve ARP koruması yapılandırma adımlarını inceleyeceğiz.

1. Global Seviyede DHCP Snooping Etkinleştirme

Öncelikle DHCP Snooping özelliğini global olarak aktif ediyoruz ve hangi VLAN’larda uygulanacağını belirtiyoruz:

Aruba-Switch> enable
Aruba-Switch# configure terminal

# DHCP Snooping özelliğini aktif edelim
Aruba-Switch(config)# dhcp-snooping

# Özelliğin uygulanacağı VLAN'ları tanımlayalım (Örn: VLAN 10 ve 20)
Aruba-Switch(config)# dhcp-snooping vlan 10 20

Gerçek DHCP sunucumuzun veya omurga switch yönlendirme hattımızın bağlı olduğu fiziksel portu (örn: port 24) Trusted olarak işaretlemeliyiz:

# Port 24'ü DHCP Snooping için güvenilir yapalım
Aruba-Switch(config)# dhcp-snooping trust 24

Not: Eğer switchler arasında LACP (Trunk grubu) kullanılıyorsa, güven ilişkisi mantıksal gruba uygulanmalıdır (dhcp-snooping trust trk1).

3. ARP Spoofing Engelleme (Dynamic ARP Protection)

İstemcilerin ağ geçidini (gateway) taklit ederek araya girme (Man-in-the-Middle) saldırısı düzenlemelerini önlemek için Dynamic ARP Protection (DAI) özelliğini aktif edebiliriz. DAI, DHCP Snooping binding tablosundaki IP-MAC eşleşmelerini kullanarak ARP paketlerini doğrular.

# Belirtilen VLAN'lar için ARP denetimini aktif edelim
Aruba-Switch(config)# arp-protect vlan 10 20

# Router veya firewall bağlantısının olduğu portu ARP denetiminden muaf (Trust) yapalım
Aruba-Switch(config)# arp-protect trust 24

4. Yapılandırma Doğrulama Komutları

DHCP Snooping ve ARP korumasının durumunu kontrol etmek için aşağıdaki izleme komutlarını kullanabilirsiniz:

  • DHCP Snooping Genel Durumu: 
    Aruba-Switch# show dhcp-snooping

    Etkin VLAN listesini ve güvenilen portları listeler.

  • Öğrenilen IP-MAC-Port Binding Veritabanı: 
    Aruba-Switch# show dhcp-snooping binding

    Hangi porttaki hangi MAC adresinin hangi IP’yi aldığını gösterir.

  • Dynamic ARP Protection Durumu: 
    Aruba-Switch# show arp-protect
  • Engellenen Geçersiz ARP Paket İstatistikleri: 
    Aruba-Switch# show arp-protect statistics

Ayarları kalıcı kılmak için kaydetmeyi unutmayın:

Aruba-Switch# write memory