DHCP Snooping на коммутаторах Cisco

DHCP snooping очень удобная штука, используется для предотвращения атак с использованием протокола DHCP. А в реальной жизни часто для удобства администратора, т.е. часто его использование носит информативный характер. Например очень удобно можно увидеть на каком порту в каком VLAN на каком маке какой выдан IP адрес. Ну и естественно мы получаем защиту от пользователя, который «лучше этих админов разбирается во всем»© и вдруг решил принести из дома свой роутер и воткнуть его в сеть (реально был такой случай в практике). Итак, смысл в том, что мы скажем коммутатору порты за которыми у него может быть DHCP сервер, а за какими нет, так называемые доверенные порты и не доверенные порты. Естественно, порт к которому подключен пользователь это НЕ доверенный порт, а порт который смотрит на верх (UpLink) будет являться доверенным, как на рисунке.

2015-12-21 14.47.56

Переходим к настройке DHCP snooping:

1.первым делом включаем глобально DHCP snoopig на коммутаторе:

switch(config)#ip dhcp snooping

 

2. Далее включаем DHCP snooping в нужном VLAN:

switch(config)#ip dhcp snooping vlan 100

 

3. указываем доверенные порты, для этого переходим к конфигурации нужных нам портов и объявляем их доверенными:

switch(config)#interface GigabitEthernet 1/0/1
switch(config-if)#ip dhcp snooping trust

Следует учесть, такой момент, если у вас в качестве UpLink выступает Etherchannel нужно сделать доверенным не только сам интерфейс Port-channel но и физические интерфейсы, которые являются его членами.

На данном этапе DHCP snooping работает в 100 VLAN и доверенным портом является порт GigabitEthernet1/0/1 дальнейшие настройки не являются обязательными в базовом случае.

Дальше уже можно «тюнить» DHCP snooping в соответствии с вашими требованиями

например отключить передачу 82 опции (по умолчанию она включена):

switch(config)#no ip dhcp snooping information option

или настроить ограничение количества DHCP обращений на не доверенном интерфейсе

switch(config)#interface gigabitEthernet 1/0/1
switch(config-if)#ip dhcp snooping limit rate 50

и т.д.

Команды просмотра:

посмотреть состояние DHCP snooping можно командой:

switch#show ip dhcp snooping

вывести таблицу соответствия мака — порта — IP — VLAN командой

switch#show ip dhcp snooping binding

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *