Просмотреть исходный

DHCP Snooping - позволяет защитить сеть от поддельных DHCP-серверов.

Есть два типа портов:

trusted (доверенные) - uplink к настоящему DHCP-серверу
untrusted (клиентские) - порты доступа подключенные к клиентам

Если DHCP snooping включен, каждый порт считается недоверенным (untrusted). Пакеты DHCP Offer и DHCP Ack на таком порту не принимаются.

Включение snooping и назначение vlan, в котором работает функция snooping:

switch(config)#ip dhcp snooping enable
switch(config)#ip dhcp snooping vlan 333

Настройка доверенного порта:

switch(config)#interface ethernet 1/0/5
switch(config-if-ethernet1/0/5)#ip dhcp snooping trust

Также можно указать как trust определённый vlan на порту:

switch(config-if-ethernet1/0/5)#ip dhcp snooping trust vlan 333

Настройка действий при обнаружении DHCP-сервера
Настройка выключения порта после обнаружения за ним DHCP:

switch(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown

Настройка восстановления порта через 1 час:

switch(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 3600

Настройка максимального количества действий, которые необходимо выполнить в рамках защиты dhcp snooping. При превышении этого значения коммутатор устанавливает окончательное состояние порта.

switch(config)#ip dhcp snooping action 5

Проверка

switch(config)#sh ip dhcp snooping
DHCP Snooping is enabled
DHCP Snooping maxnum of action info:10
DHCP Snooping limit rate is 100 pps, switch ID 8c-1f-64-81-7a-f9
DHCP Snooping droped packets 0, discarded packets 0
DHCP Snooping alarm count 0, binding count 1,
static binding count 0, from shell 0, from server 0


expired binding 0, request binding 1
interface trust action recovery alarm num bind num
--------------- ---------- ---------- ---------- ---------- ----------
Ethernet1/0/1 untrust none 0 0 1
Ethernet1/0/2 untrust none 0 0 0
Ethernet1/0/3 untrust none 0 0 0
Ethernet1/0/4 untrust none 0 0 0
Ethernet1/0/5 trust none 0 0 0
Ethernet1/0/6 untrust none 0 0 0
Ethernet1/0/7 untrust none 0 0 0
Ethernet1/0/8 untrust none 0 0 0
Ethernet1/0/9 untrust none 0 0 0
Ethernet1/0/10 untrust none 0 0 0
switch(config)#sh ip dhcp snooping blocked
all interface
switch(config)#sh ip dhcp snooping blocked all
Interface Vlan ID MAC IP address Date
----------------------------------------------------------------------------------
ip dhcp snooping blocked record count:0
----------------------------------------------------------------------------------

DHCP snooping binding

Механизм DHCP snooping можно использовать для создания таблицы ассоциаций между MAC-адресами и IP-адресами. Она создается с использованием пакетов DHCP, отправленных/полученных на trust порту.
Включение DHCP snooping binding.

switch(config)#ip dhcp snooping binding enable

Проверка

switch(config)#show ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:1
MAC IP address Interface Vlan ID Flag
----------------------------------------------------------------------------
28-d0-ea-8a-6e-06 10.33.1.106 Ethernet1/0/1 333 D
----------------------------------------------------------------------------

DHCP snooping binding позволяет использовать другие функции безопасности на устройстве, такие как IP Source Guard и Dynamic ARP Inspection.