Что такое DHCP Snooping? Это функционал коммутатора, отбрасывающий DHCP сообщения, пришедших с недоверенных портов. Проще говоря, предотвращает получение динамических IP-адресов с недоверенных DHCP серверов.
Цель:
Защитить пользовательскую ЛВС от получения динамических IP адресов с чужого (недоверенного) DHCP сервера, воткнутого в любой интерфейс коммутатора «Switch 2», кроме магистрального интерфейса (аплинк) te1/0/4. Недоверенным DHCP сервером может выступить небольшой домашний роутер или неправильно настроенная ОС.
Необходимо настроить DHCP Snooping на коммутаторе Eltex MES2324 для предотвращения получения динамических IP-адресов с недоверенных DHCP серверов.
Ход работы:
Допустим, недоверенный DHCP сервер может оказаться на интерфейсах (портах) с 1-го по 24-й у коммутатора «Switch 2» на рисунке 1. Доверенный DHCP сервер находится на 4-м оптическом интерфейсе (te1/0/4) коммутатора «Switch 2».
Настройки выглядят так (версия ПО 4.0.17):
console# configure
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan X*
console(config)# ip dhcp information option
console(config)# interface te1/0/4
console(config-if)# ip dhcp snooping trust
Не забываем сохранить настройки:
console(config-if)# end
console# write
* где X – номер VLAN, в котором необходимо предотвратить получение динамических IP адресов с недоверенных DHCP серверов.
Таким образом, пользовательские ПК, подключённые к коммутаторам «Switch 1» и «Switch 2» будут защищены от получения динамических IP адресов c недоверенных DHCP серверов.
