...
Если DHCP snooping включен, каждый порт считается недоверенным (untrusted). Пакеты DHCP Offer и DHCP Ack на таком порту не принимаются.
В данном примере сеть работает в vlan 33.
| Блок кода |
|---|
SW1(config)#vlan 33
SW1(config)#int ethernet 1/0/1;1/0/2;1/0/8
SW1(config-if-port-range)#switchport access vlan 33 |
Включение snooping и назначение vlan, в котором работает функция snooping:
| Блок кода |
|---|
switchSW1(config)#ip dhcp snooping enable switchSW1(config)#ip dhcp snooping vlan 33333 |
Настройка доверенного порта:
| Блок кода |
|---|
switchSW1(config)#interface ethernet 1/0/58 switchSW1(config-if-ethernet1/0/5)#ip dhcp snooping trust |
Также можно указать как trust определённый vlan на порту:
| Блок кода |
|---|
switchSW1(config-if-ethernet1/0/58)#ip dhcp snooping trust vlan 33333 |
Настройка действий при обнаружении DHCP-сервера
Настройка выключения порта после обнаружения за ним DHCP:
| Блок кода |
|---|
switchSW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown |
Настройка восстановления порта через 1 час:
| Блок кода |
|---|
switchSW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 3600 |
Настройка максимального количества действий, которые необходимо выполнить в рамках защиты dhcp snooping. При превышении этого значения коммутатор устанавливает окончательное состояние порта.
| Блок кода |
|---|
switchSW1(config)#ip dhcp snooping action 5 |
Проверка
| Блок кода |
|---|
switchSW1(config)#sh ip dhcp snooping DHCP Snooping is enabled DHCP Snooping maxnum of action info:10 DHCP Snooping limit rate is 100 pps, switchSW1 ID 8c-1f-64-81-7a-f9 DHCP Snooping droped packets 0, discarded packets 0 DHCP Snooping alarm count 0, binding count 1, static binding count 0, from shell 0, from server 0 expired binding 0, request binding 1 interface trust action recovery alarm num bind num --------------- ---------- ---------- ---------- ---------- ---------- Ethernet1/0/1 untrust none 0 0 1 Ethernet1/0/2 untrust none 0 0 0 Ethernet1/0/3 untrust none 0 0 0 Ethernet1/0/4 untrust none 0 0 0 Ethernet1/0/5 trust none 0 0 0 Ethernet1/0/6 untrust none 0 0 0 Ethernet1/0/7 untrust none 0 0 0 Ethernet1/0/8 untrust none 0 0 0 Ethernet1/0/9 untrust none 0 0 0 Ethernet1/0/10 untrust none 0 0 0 switchSW1(config)#sh ip dhcp snooping blocked all interface switchSW1(config)#sh ip dhcp snooping blocked all Interface Vlan ID MAC IP address Date ---------------------------------------------------------------------------------- ip dhcp snooping blocked record count:0 ---------------------------------------------------------------------------------- |
...
Механизм DHCP snooping можно использовать для создания таблицы ассоциаций между MAC-адресами и IP-адресами. Она создается на основе пакетов DHCP, отправленных/полученных на untrusted портах.
Включение DHCP snooping binding.
| Блок кода |
|---|
switchSW1(config)#ip dhcp snooping binding enable |
Проверка
| Блок кода |
|---|
switchSW1(config)#show ip dhcp snooping binding all ip dhcp snooping static binding count:0, dynamic binding count:1 MAC IP address Interface Vlan ID Flag ---------------------------------------------------------------------------- 28-d0-ea-8a-6e-06 10.33.1.106 Ethernet1/0/1 33333 D ---------------------------------------------------------------------------- |
Данная таблице носит только информационный характер. Но механизм DHCP snooping binding позволяет использовать другие функции безопасности на устройстве, такие как IP Source Guard и Dynamic ARP Inspection (DAI).