Просмотреть исходный

DHCP Snooping - позволяет защитить сеть от поддельных DHCP-серверов.

Есть два типа портов:

trusted (доверенные) - uplink к настоящему DHCP-серверу
untrusted (клиентские) - порты доступа подключенные к клиентам

Если DHCP snooping включен, каждый порт считается недоверенным (untrusted). Пакеты DHCP Offer и DHCP Ack на таком порту не принимаются.
Вектор Технологии > DHCP Snooping > image-2025-12-10_12-22-6.png

В данном примере сеть работает в vlan 33.

SW1(config)#vlan 33
SW1(config)#int ethernet 1/0/1;1/0/2;1/0/8
SW1(config-if-port-range)#switchport access vlan 33

Включение snooping и назначение vlan, в котором работает функция snooping:

SW1(config)#ip dhcp snooping enable
SW1(config)#ip dhcp snooping vlan 33

Настройка доверенного порта:

SW1(config)#interface ethernet 1/0/8
SW1(config-if-ethernet1/0/5)#ip dhcp snooping trust

Также можно указать как trust определённый vlan на порту:

SW1(config-if-ethernet1/0/8)#ip dhcp snooping trust vlan 33

Настройка действий при обнаружении DHCP-сервера
Настройка выключения порта после обнаружения за ним DHCP:

SW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown

Настройка восстановления порта через 1 час:

SW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 3600

Настройка максимального количества действий, которые необходимо выполнить в рамках защиты dhcp snooping. При превышении этого значения коммутатор устанавливает окончательное состояние порта.

SW1(config)#ip dhcp snooping action 5

Проверка

SW1(config)#sh ip dhcp snooping
DHCP Snooping is enabled
DHCP Snooping maxnum of action info:10
DHCP Snooping limit rate is 100 pps, SW1 ID 8c-1f-64-81-7a-f9
DHCP Snooping droped packets 0, discarded packets 0
DHCP Snooping alarm count 0, binding count 1,
static binding count 0, from shell 0, from server 0


expired binding 0, request binding 1
interface trust action recovery alarm num bind num
--------------- ---------- ---------- ---------- ---------- ----------
Ethernet1/0/1 untrust none 0 0 1
Ethernet1/0/2 untrust none 0 0 0
Ethernet1/0/3 untrust none 0 0 0
Ethernet1/0/4 untrust none 0 0 0
Ethernet1/0/5 trust none 0 0 0
Ethernet1/0/6 untrust none 0 0 0
Ethernet1/0/7 untrust none 0 0 0
Ethernet1/0/8 untrust none 0 0 0
Ethernet1/0/9 untrust none 0 0 0
Ethernet1/0/10 untrust none 0 0 0
SW1(config)#sh ip dhcp snooping blocked
all interface
SW1(config)#sh ip dhcp snooping blocked all
Interface Vlan ID MAC IP address Date
----------------------------------------------------------------------------------
ip dhcp snooping blocked record count:0
----------------------------------------------------------------------------------

DHCP snooping binding

Механизм DHCP snooping можно использовать для создания таблицы ассоциаций между MAC-адресами и IP-адресами. Она создается на основе пакетов DHCP, отправленных/полученных на untrusted портах.
Включение DHCP snooping binding.

SW1(config)#ip dhcp snooping binding enable

Проверка

SW1(config)#show ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:1
MAC IP address Interface Vlan ID Flag
----------------------------------------------------------------------------
28-d0-ea-8a-6e-06 10.33.1.106 Ethernet1/0/1 33 D
----------------------------------------------------------------------------

Данная таблице носит только информационный характер. Но механизм DHCP snooping binding позволяет использовать другие функции безопасности на устройстве, такие как IP Source Guard и Dynamic ARP Inspection (DAI).