DHCP Snooping - позволяет защитить сеть от поддельных DHCP-серверов.
Есть два типа портов:
- trusted (доверенные) - uplink к настоящему DHCP-серверу
- untrusted (клиентские) - порты доступа подключенные к клиентам
Если DHCP snooping включен, каждый порт считается недоверенным (untrusted). Пакеты DHCP Offer и DHCP Ack на таком порту не принимаются.
Включение snooping и назначение vlan, в котором работает функция snooping:
switch(config)#ip dhcp snooping enable switch(config)#ip dhcp snooping vlan 333
Настройка доверенного порта:
switch(config)#interface ethernet 1/0/5 switch(config-if-ethernet1/0/5)#ip dhcp snooping trust
Также можно указать как trust определённый vlan на порту:
switch(config-if-ethernet1/0/5)#ip dhcp snooping trust vlan 333
Настройка действий при обнаружении DHCP-сервера
Настройка выключения порта после обнаружения за ним DHCP:
switch(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown
Настройка восстановления порта через 1 час:
switch(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 3600
Настройка максимального количества действий, которые необходимо выполнить в рамках защиты dhcp snooping. При превышении этого значения коммутатор устанавливает окончательное состояние порта.
switch(config)#ip dhcp snooping action 5
Проверка
switch(config)#sh ip dhcp snooping DHCP Snooping is enabled DHCP Snooping maxnum of action info:10 DHCP Snooping limit rate is 100 pps, switch ID 8c-1f-64-81-7a-f9 DHCP Snooping droped packets 0, discarded packets 0 DHCP Snooping alarm count 0, binding count 1, static binding count 0, from shell 0, from server 0 expired binding 0, request binding 1 interface trust action recovery alarm num bind num --------------- ---------- ---------- ---------- ---------- ---------- Ethernet1/0/1 untrust none 0 0 1 Ethernet1/0/2 untrust none 0 0 0 Ethernet1/0/3 untrust none 0 0 0 Ethernet1/0/4 untrust none 0 0 0 Ethernet1/0/5 trust none 0 0 0 Ethernet1/0/6 untrust none 0 0 0 Ethernet1/0/7 untrust none 0 0 0 Ethernet1/0/8 untrust none 0 0 0 Ethernet1/0/9 untrust none 0 0 0 Ethernet1/0/10 untrust none 0 0 0 switch(config)#sh ip dhcp snooping blocked all interface switch(config)#sh ip dhcp snooping blocked all Interface Vlan ID MAC IP address Date ---------------------------------------------------------------------------------- ip dhcp snooping blocked record count:0 ----------------------------------------------------------------------------------
DHCP snooping binding
Механизм DHCP snooping можно использовать для создания таблицы ассоциаций между MAC-адресами и IP-адресами. Она создается на основе пакетов DHCP, отправленных/полученных на untrusted портах.
Включение DHCP snooping binding.
switch(config)#ip dhcp snooping binding enable
Проверка
switch(config)#show ip dhcp snooping binding all ip dhcp snooping static binding count:0, dynamic binding count:1 MAC IP address Interface Vlan ID Flag ---------------------------------------------------------------------------- 28-d0-ea-8a-6e-06 10.33.1.106 Ethernet1/0/1 333 D ----------------------------------------------------------------------------
Данная таблице носит только информационный характер. Но механизм DHCP snooping binding позволяет использовать другие функции безопасности на устройстве, такие как IP Source Guard и Dynamic ARP Inspection.
