Найти в Дзене
Блокнот админа
12 подписчиков

Настройка DHCP Snooping на коммутаторе Cisco

2
1 мин
Добрый день! Появилась задача настроить DHCP Snooping. Вообще данная технология подразумевает, что запросы на получение адреса по DHCP отправляются только на доверенные порты. Аналогично ответы от DHCP сервера могут приходить только с доверенных портов. Т.е. если в сети где то за недоверенным клиентским access портом появляется DHCP сервер, то адреса он раздавать не сможет. Типичный пример - пользователь приносит на работу WiFi маршрутизатор, подключает в сеть и начинает раздавать "левые" адреса. В сети появляются проблемы. Или классический пример, раздать DHCP в провайдерскую сеть. Провайдер будет очень рад, если, конечно, у него не включен как раз DHCP Snooping. Итак, настраиваем: Сначала нужно настроить порт, за которым находится DHCP сервер, например gigabitethernet0/1. Switch(config)# interface gigabitethernet0/1 Switch(config-if)# ip dhcp snooping trust Затем в глобальной конфигурации включить саму технологию: Switch(config)# ip dhcp snooping Указать, для какого vlan-а будет испо

Добрый день!

Появилась задача настроить DHCP Snooping.

Вообще данная технология подразумевает, что запросы на получение адреса по DHCP отправляются только на доверенные порты. Аналогично ответы от DHCP сервера могут приходить только с доверенных портов. Т.е. если в сети где то за недоверенным клиентским access портом появляется DHCP сервер, то адреса он раздавать не сможет.

Типичный пример - пользователь приносит на работу WiFi маршрутизатор, подключает в сеть и начинает раздавать "левые" адреса. В сети появляются проблемы. Или классический пример, раздать DHCP в провайдерскую сеть. Провайдер будет очень рад, если, конечно, у него не включен как раз DHCP Snooping.

Итак, настраиваем:

Сначала нужно настроить порт, за которым находится DHCP сервер, например gigabitethernet0/1.

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip dhcp snooping trust

Затем в глобальной конфигурации включить саму технологию:

Switch(config)# ip dhcp snooping

Указать, для какого vlan-а будет использоваться технология:

Switch(config)# ip dhcp snooping vlan 10

Разрешить (запретить) использовать опцию 82 для DHCP. Опция позволяет привязать IP адрес или подсеть к конкретному порту на коммутаторе, а не к MAC.

Switch(config)# ip dhcp snooping information option

В базовом варианте настройки эта опция не нужна, поэтому я её отключил. Иначе ничего не взлетит.

Для access портов имеет смысл указать следующую команду:

Switch(config-if)# ip dhcp snooping limit rate 100

Команда ограничивает количество DHCP запросов на порту. По идее должна предохранять от атаки типа DHCP starvation/exauction, которая направлена на истощение пула DHCP.

Собственно на этом настройка завершена.

Проверить соответствие портов и MAC адресов можно командой:

show ip dhcp snooping binding

Почитать подробнее можно здесь:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swdhcp82.html#25604

https://www.cisco.com/c/en/us/td/docs/ios/12_2sb/12_2sba/feature/guide/sbcpopt.html

#dhcp snooping #cisco