DHCP snooping очень удобная штука, используется для предотвращения атак с использованием протокола DHCP. А в реальной жизни часто для удобства администратора, т.е. часто его использование носит информативный характер. Например очень удобно можно увидеть на каком порту в каком VLAN на каком маке какой выдан IP адрес. Ну и естественно мы получаем защиту от пользователя, который «лучше этих админов разбирается во всем»© и вдруг решил принести из дома свой роутер и воткнуть его в сеть (реально был такой случай в практике). Итак, смысл в том, что мы скажем коммутатору порты за которыми у него может быть DHCP сервер, а за какими нет, так называемые доверенные порты и не доверенные порты. Естественно, порт к которому подключен пользователь это НЕ доверенный порт, а порт который смотрит на верх (UpLink) будет являться доверенным, как на рисунке.
Переходим к настройке DHCP snooping:
1.первым делом включаем глобально DHCP snoopig на коммутаторе:
switch(config)#ip dhcp snooping
2. Далее включаем DHCP snooping в нужном VLAN:
switch(config)#ip dhcp snooping vlan 100
3. указываем доверенные порты, для этого переходим к конфигурации нужных нам портов и объявляем их доверенными:
switch(config)#interface GigabitEthernet 1/0/1 switch(config-if)#ip dhcp snooping trust
Следует учесть, такой момент, если у вас в качестве UpLink выступает Etherchannel нужно сделать доверенным не только сам интерфейс Port-channel но и физические интерфейсы, которые являются его членами.
На данном этапе DHCP snooping работает в 100 VLAN и доверенным портом является порт GigabitEthernet1/0/1 дальнейшие настройки не являются обязательными в базовом случае.
Дальше уже можно «тюнить» DHCP snooping в соответствии с вашими требованиями
например отключить передачу 82 опции (по умолчанию она включена):
switch(config)#no ip dhcp snooping information option
или настроить ограничение количества DHCP обращений на не доверенном интерфейсе
switch(config)#interface gigabitEthernet 1/0/1 switch(config-if)#ip dhcp snooping limit rate 50
и т.д.
Команды просмотра:
посмотреть состояние DHCP snooping можно командой:
switch#show ip dhcp snooping
вывести таблицу соответствия мака — порта — IP — VLAN командой
switch#show ip dhcp snooping binding
Почему не работает, если клиенты подключены через wifi точку?
Не работает DHCP snooping или клиенты не подключаются?
добрый день.
есть несколько вопросов
по вкл разной защиты на Cisco
и можно сменить уровень привилегий
не нашел
с уважением.