Хочу рассказать, как настроить DHCP snooping и Dai (dynamic ARP inspection). Материал будет полезен начинающим сетевым администраторам. DHCP snooping и dynamic ARP inspection настройка на Cisco Коротко о технологии DHCP snooping и Dai Данные функции защищают вашу сеть от подмены DHCP сервера...

Добрый день! Появилась задача настроить DHCP Snooping. Вообще данная технология подразумевает, что запросы на получение адреса по DHCP отправляются только на доверенные порты. Аналогично ответы от DHCP сервера могут приходить только с доверенных портов. Т.е. если в сети где то за недоверенным клиентским access портом появляется DHCP сервер, то адреса он раздавать не сможет. Типичный пример - пользователь приносит на работу WiFi маршрутизатор, подключает в сеть и начинает раздавать "левые" адреса. В сети появляются проблемы. Или классический пример, раздать DHCP в провайдерскую сеть. Провайдер будет очень рад, если, конечно, у него не включен как раз DHCP Snooping...

Что такое DHCP Snooping? Это функционал коммутатора, отбрасывающий DHCP сообщения, пришедших с недоверенных портов. Проще говоря, предотвращает получение динамических IP-адресов с недоверенных DHCP серверов. Цель: Защитить пользовательскую ЛВС от получения динамических IP адресов с чужого (недоверенного) DHCP сервера, воткнутого в любой интерфейс коммутатора «Switch 2», кроме магистрального интерфейса (аплинк) te1/0/4. Недоверенным DHCP сервером может выступить небольшой домашний роутер или неправильно настроенная ОС...