Zum Inhalt
Klicken Sie hier, um die Dokumentation der lokal verwalteten Switches einschließlich der CLI- und API-Handbücher zu öffnen.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=switch-management-L3

L3-Protokolle

Sie können den Tab L3-Protokolle verwenden, um Funktionen wie DHCP-Relay, DHCP-Snooping, MLD-Snooping und IGMP-Snooping zu konfigurieren.

DHCP-Relay

Ein DHCP-Relay ist ein Host oder Router, der DHCP-Pakete zwischen DHCP-Clients und DHCP-Servern in unterschiedlichen Subnetzen weiterleitet. Sie können Sophos Switch so konfigurieren, dass diese Pakete weitergeleitet werden, indem Sie die IP-Adressen Ihrer DHCP-Server und Relays hinzufügen. Sie können die folgenden DHCP-Relay-Einstellungen konfigurieren:

  • Status: Wählen Sie aus den folgenden DHCP-Relay-Statusoptionen aus:

    • Nicht festgelegt: Verwenden Sie den DHCP-Relay-Status, der lokal auf dem Switch konfiguriert wurde.
    • Aktiviert: DHCP-Relay aktivieren.
    • Deaktiviert: DHCP-Relay deaktivieren.

    Nachdem Sie eine Option ausgewählt haben, müssen Sie festlegen, ob die Einstellungen sofort mit den Switches synchronisiert werden sollen. Klicken Sie anschließend auf Speichern.

  • Server-IP-Adressen: Geben Sie bis zu fünf IP-Adressen ein, an die der Switch DHCP-Pakete weiterleiten kann.

    Geben Sie eine Adresse in das Feld Server-IP-Adressen ein und drücken Sie die Eingabetaste. Wählen Sie dann aus, ob die Einstellungen sofort mit den Switches synchronisiert werden sollen, und klicken Sie anschließend auf Speichern.

Um eine IP-Adresse zu löschen, klicken Sie auf „Löschen“ Löschen. auf der IP-Adresse, die Sie entfernen möchten. Wählen Sie dann aus, ob Sie die Einstellungen sofort mit den Switches synchronisieren möchten, und klicken Sie anschließend auf Speichern.

DHCP-Snooping

DHCP-Snooping ist eine Layer-2-Sicherheitstechnologie, die nicht autorisierte DHCP-Server daran hindert, DHCP-Clients IP-Adressen anzubieten. Böswillige Angreifer nutzen Rogue-DHCP-Server häufig bei Man-in-the-Middle- oder Denial-of-Service-Angriffen (DoS).

Sie können DHCP-Snooping global auf Ihrem Switch oder auf einzelnen VLANs konfigurieren, vertrauenswürdige Ports festlegen, von denen Sie wissen, dass DHCP-Server mit ihnen verbunden sind, und den Switch veranlassen, den gesamten DHCP-Verkehr auf nicht vertrauenswürdigen Ports zu überprüfen.

Einstellungen

Im Tab Einstellungen können Sie die folgenden DHCP-Spoofing-Einstellungen konfigurieren:

  • Status: Wählen Sie aus den folgenden DHCP-Snooping-Status aus:

    • Nicht festgelegt: Verwendet den DHCP-Snooping-Status, der lokal auf dem Switch konfiguriert wurde.
    • Aktiviert: Aktivieren Sie DHCP-Snooping.
    • Deaktiviert: Deaktivieren Sie DHCP-Snooping.

    Nachdem Sie eine Option ausgewählt haben, müssen Sie festlegen, ob die Einstellungen sofort mit den Switches synchronisiert werden sollen. Klicken Sie anschließend auf Speichern.

  • MAC-Adressen-Verifizierung: Wählen Sie aus den folgenden MAC-Adressüberprüfungsstatus aus:

    • Nicht festgelegt: Verwendet den MAC-Adressüberprüfungsstatus, der lokal auf dem Switch konfiguriert ist.
    • Aktiviert: Schaltet die MAC-Adressüberprüfung ein. Der Switch überprüft die DHCP-Pakete auf nicht vertrauenswürdigen Ports, um sicherzustellen, dass die Quell-MAC-Adresse und die Endpoint-Hardware-Adresse übereinstimmen. Siehe Einstellungen für Vertrauensports.
    • Deaktiviert: Schaltet die MAC-Adressüberprüfung aus.

    Nachdem Sie eine Option ausgewählt haben, müssen Sie festlegen, ob die Einstellungen sofort mit den Switches synchronisiert werden sollen. Klicken Sie anschließend auf Speichern.

VLAN-Einstellungen

Auf der Tabelle VLAN-Einstellungen können Sie DHCP-Snooping für jedes VLAN auf dem Switch ein- oder ausschalten.

Wählen Sie Aktiviert oder Deaktiviert, um DHCP-Snooping für das angegebene VLAN zu aktivieren oder zu deaktivieren, oder wählen Sie Nicht festgelegt, um den lokal auf dem Switch konfigurierten DHCP-Snooping-Status zu verwenden. Nachdem Sie eine Option ausgewählt haben, müssen Sie festlegen, ob die Einstellungen sofort mit den Switches synchronisiert werden sollen. Klicken Sie anschließend auf Speichern.

Konfigurationsquelle zeigt den Ursprung der DHCP-Snooping-Einstellungen für dieses VLAN an.

Einstellungen für Vertrauensports

Auf der Tabelle Einstellungen für Vertrauensports können Sie jeden Port Ihres Switch als vertrauenswürdig oder nicht vertrauenswürdig konfigurieren. Vertrauenswürdige Ports sind Ports, die mit DHCP-Servern verbunden sind. Der Switch ermöglicht DHCP-Datenverkehr durch vertrauenswürdige Ports und leitet automatisch DHCP-Nachrichten auf diesen weiter.

Hinweis

Wenn Sie DHCP-Snooping deaktivieren, behandelt der Switch alle Ports als vertrauenswürdig.

Wählen Sie Vertrauenswürdig oder Nicht vertrauenswürdig, um den Status des angegebenen Ports festzulegen, oder wählen Sie Nicht festgelegt, um den Vertrauens-Portstatus zu verwenden, der lokal am Switch konfiguriert ist. Nachdem Sie eine Option ausgewählt haben, müssen Sie festlegen, ob die Einstellungen sofort mit den Switches synchronisiert werden sollen. Klicken Sie anschließend auf Speichern.

Konfigurationsquelle zeigt den Ursprung des Port-Vertrauens-Status an.

Bindungsliste

Die Bindungsliste zeigt die MAC-Adresse zu IP-Bindungen, einschließlich des VLAN und des Ports, an dem das Gerät angeschlossen ist.

MLD-Snooping

Das Multicast Listener Discovery (MLD) Snooping führt für IPv6 eine ähnliche Funktion aus wie IGMP-Snooping für IPv4. Wenn Sie MLD-Snooping aktivieren, erstellt der Switch eine Liste der Ports, die Multicast-Daten empfangen. Der Switch leitet diese Daten dann nur an diese Ports weiter, wodurch eine Überflutung aller Ports auf dem Switch vermieden wird.

Einstellungen

Auf dem Tab MLD-Snooping können Sie folgende Einstellungen vornehmen:

  • Status: Wählen Sie aus den folgenden MLD-Snooping-Status aus:

    • Nicht festgelegt: Verwendet den MLD-Snooping-Status, der lokal auf dem Switch konfiguriert wurde.
    • Aktiviert: Aktivieren Sie MLD-Snooping.
    • Deaktiviert: Deaktivieren Sie MLD-Snooping.

  • Berichtunterdrückung: Begrenzt die Anzahl der Mitgliedschaftsberichte, die das Mitglied an Multicast-fähige Router sendet. Geben Sie einen Wert von 1 bis 25 ein.

Klicken Sie auf Speichern, um Ihre Einstellungen zu aktualisieren.

Konfigurationsquelle zeigt den Ursprung der MLD-Snooping-Einstellungen an.

Sie können auch die MLD-Snooping-Einstellungen für jedes VLAN auf dem Switch sehen. Klicken Sie auf „Bearbeiten“ Bearbeiten., um die folgenden Einstellungen für das angegebene VLAN zu ändern.

  • Status: Schaltet MLD-Snooping für das ausgewählte VLAN ein oder aus. Wählen Sie eine der folgenden Status-Optionen:

    • Aktiviert: Aktivieren Sie MLD-Snooping.
    • Deaktiviert: Deaktivieren Sie MLD-Snooping.
    • Nicht festgelegt: Verwendet den MLD-Snooping-Status, der lokal auf dem Switch konfiguriert wurde.

  • Abfrager-Status: Der MLD-Snooping-Abfrager sendet MLD-Abfragen, die MLD-Berichtsnachrichten von verbundenen Geräten auslösen, die IP-Multicast-Datenverkehr empfangen möchten. MLD-Snooping verwendet diese Berichte, um die korrekte Weiterleitung zu gewährleisten. Wählen Sie aus den folgenden Optionen:

    • Aktiviert: Aktiviert den MLD-Snooping-Abfrager.
    • Deaktiviert: Deaktiviert den MLD-Snooping-Abfrager.
    • Nicht festgelegt: MLD-Snooping-Abfrager-Status verwenden, der lokal auf dem Switch konfiguriert ist.

  • Abfrager-Intervall (Sekunden): Legt die Zeit zwischen allgemeinen Abfrage-Übertragungen fest. Geben Sie einen Wert von 60 bis 600 ein.

  • Version: Wählen Sie die MLD-Version aus den folgenden Optionen aus:

    • v1: MLDv1. Dies entspricht IGMPv2 für IPv4.
    • v2: MLDv2. Dies entspricht IGMPv3 für IPv4.
    • Nicht festgelegt: Verwendet die MLD-Version, die lokal auf dem Switch konfiguriert wurde.

  • Fast-Leave: Wenn der Switch aktiviert ist, wird dem Port nur ein Endpoint zugeordnet. Dies kann die Bandbreitennutzung für ein Netzwerk verbessern, bei dem häufig viele Anfragen zum Hinzufügen und Verlassen von MLD-Hosts auftreten.

    • Aktiviert: Schaltet Fast Leave ein.
    • Deaktiviert: Schaltet Fast Leave aus.
    • Nicht festgelegt: Verwendet den Status Fast-Leave, der lokal auf dem Switch konfiguriert wurde.

  • Statische Ports: Wählt die Ports aus, die mit Multicast-fähigen Routern verbunden sind.

Klicken Sie auf Speichern, um die VLAN-Einstellungen zu speichern.

Gruppenliste

Die Registerkarte Gruppenliste zeigt die Liste der erkannten Multicast-Gruppen an. Diese Computergruppen oder Geräte empfangen denselben Netzwerkverkehr.

IGMP-Snooping

IGMP-Snooping (Internet Group Management Protocol) ist eine Methode, mit der Netzwerk-Switches IPv4-Multicast-Gruppen identifizieren. Wenn IGMP-Snooping aktiviert ist, erstellt der Switch eine Liste der Ports, die Multicast-Daten empfangen. Der Switch leitet nur Multicast-Daten an diese Ports weiter.

Einstellungen

Gehen Sie zu Meine Produkte > Switches > Switches, wählen Sie den Switch oder Standort aus, an dem Sie IGMP-Snooping konfigurieren möchten, und gehen Sie zu L3-Protokolle > IGMP-Snooping > Einstellungen, um das IGMP-Snooping zu konfigurieren.

  • Status: Schaltet IGMP-Snooping für das ausgewählte VLAN ein oder aus. Wählen Sie eine der folgenden Status-Optionen:

    • Aktiviert: Aktiviert IGMP-Snooping.
    • Deaktiviert: Deaktiviert IGMP-Snooping.
    • Nicht festgelegt: Verwendet den IGMP-Snooping-Status, der lokal auf dem Switch konfiguriert wurde.

  • Berichtunterdrückung: Begrenzt die Anzahl der Mitgliedschaftsberichte, die das Mitglied an Multicast-fähige Router sendet. Geben Sie einen Wert von 1 bis 25 ein.

Klicken Sie auf Speichern, um Ihre Einstellungen zu aktualisieren.

Konfigurationsquelle zeigt den Ursprung der IGMP-Snooping-Einstellungen an.

Sie können auch die IGMP-Snooping-Einstellungen für jedes VLAN auf dem Switch sehen. Klicken Sie auf Bearbeiten Bearbeiten., um die Einstellungen für das ausgewählte VLAN zu ändern. Sie können die folgenden Einstellungen ändern:

  • Status: Schaltet IGMP-Snooping für das ausgewählte VLAN ein oder aus. Wählen Sie eine der folgenden Status-Optionen:

    • Aktiviert: Aktivieren Sie IGMP-Snooping.
    • Deaktiviert: Deaktivieren Sie IGMP-Snooping.
    • Nicht festgelegt: Verwendet den IGMP-Snooping-Status, der lokal auf dem Switch konfiguriert wurde.

  • Version: Wählen Sie die IGMP-Version aus den folgenden Optionen aus:

    • v1: IGMPv1
    • v2: IGMPv2
    • v3: IGMPv3
    • Nicht festgelegt: Verwendet die IGMP-Version, die lokal auf dem Switch konfiguriert wurde.

  • Abfrager-Status: Der IGMP-Snooping-Abfrager sendet IGMP-Abfragen, die IGMP-Berichtsnachrichten von verbundenen Geräten auslösen, die IP-Multicast-Datenverkehr empfangen möchten. IGMP-Snooping verwendet diese Berichte, um die korrekte Weiterleitung zu gewährleisten. Wählen Sie aus den folgenden Optionen:

    • Aktiviert: Aktiviert den IGMP-Snooping-Abfrager.
    • Deaktiviert: Deaktiviert den IGMP-Snooping-Abfrager.
    • Nicht festgelegt: Verwendet den IGMP-Snooping-Abfrager-Status, der lokal auf dem Switch konfiguriert ist.

  • Fast-Leave: Wenn der Switch aktiviert ist, wird dem Port nur ein Endpoint zugeordnet. Dies kann die Bandbreitennutzung für ein Netzwerk verbessern, bei dem häufig viele Anfragen zum Hinzufügen und Verlassen von IGMP-Hosts auftreten.

    • Aktiviert: Schaltet Fast Leave ein.
    • Deaktiviert: Schaltet Fast Leave aus.
    • Nicht festgelegt: Verwendet den Status Fast-Leave, der lokal auf dem Switch konfiguriert wurde.

  • Abfrager-Intervall (Sekunden): Legt die Zeit zwischen allgemeinen Abfrage-Übertragungen fest. Geben Sie einen Wert von 60 bis 600 ein.

  • Antwort-Intervall (Sekunden): Legt die Zeit fest, in der sich die Gastgeber auf IGMP-Abfragen einstellen müssen. Geben Sie einen Wert von 0 bis 25 ein.
  • Startup-Abfragen-Zähler: Legt die Anzahl der IGMP-Abfragen fest, die der Switch in der durch das Startup-Abfragen-Intervall festgelegten Geschwindigkeit sendet. Geben Sie einen Wert von 2 bis 5 ein.
  • Startup-Abfragen-Intervall (Sekunden): Legt die Rate fest, mit der der Switch nach dem Start IGMP-Mitgliedschaftsabfragen sendet. Geben Sie einen Wert von 15 bis 150 ein.
  • Statische Ports: Wählt die Ports aus, die mit Multicast-fähigen Routern verbunden sind.

Klicken Sie auf Speichern, um die VLAN-Einstellungen zu speichern.

Gruppenliste

Die Registerkarte Gruppenliste zeigt die Liste der erkannten Multicast-Gruppen an. Diese Computergruppen oder Geräte empfangen denselben Netzwerkverkehr.