DHCP snooping – функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.
# входим в режим конфигурирования conf t # включаем dhcp snooping и активируем его на пользовательских vlan ip dhcp snooping ip dhcp snooping vlan 1 # разрешаем коммутатору принимать пакеты с опцией 82 ip dhcp snooping information option allow-untrusted # Порт fa0/20 назначаем доверенным, так как к нему подключен DHCP-сервер int fa0/20 ip dhcp snooping trust
В принципе, если нам не нужна опция 821), можно её просто отключить на всех коммутаторах:
no ip dhcp snooping information option
Настройка SW2
# входим в режим конфигурирования conf t # включаем dhcp snooping и активируем его на пользовательских vlan ip dhcp snooping ip dhcp snooping vlan 1 # Порт gi1/1 назначаем доверенным, так как к нему подключен коммутатор с DHCP-сервером int gi1/1 ip dhcp snooping trust
IP Source Guard – функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2го уровня, фильтруя трафик на основании таблицы привязок DHCP snooping и статических соответствий.
В статье частично использовались материалы с сайта http://xgu.ru