DHCP Snooping

Обзор

DHCP snooping – функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.

Базовое конфигурирование коммутаторов

Настройка SW1

# входим в режим конфигурирования
conf t
# включаем dhcp snooping и активируем его на пользовательских vlan
ip dhcp snooping
ip dhcp snooping vlan 1
# разрешаем коммутатору принимать пакеты с опцией 82
ip dhcp snooping information option allow-untrusted
# Порт fa0/20 назначаем доверенным, так как к нему подключен DHCP-сервер
int fa0/20
ip dhcp snooping trust

В принципе, если нам не нужна опция 82¹⁾, можно её просто отключить на всех коммутаторах:

no ip dhcp snooping information option

Настройка SW2

# входим в режим конфигурирования
conf t
# включаем dhcp snooping и активируем его на пользовательских vlan
ip dhcp snooping
ip dhcp snooping vlan 1
# Порт gi1/1 назначаем доверенным, так как к нему подключен коммутатор с DHCP-сервером
int gi1/1
ip dhcp snooping trust

Настройка защиты портов

IP Source Guard – функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2го уровня, фильтруя трафик на основании таблицы привязок DHCP snooping и статических соответствий.

В статье частично использовались материалы с сайта http://xgu.ru

dhcp snooping, cisco, conf

¹⁾

Опция 82 DHCP (DHCP option 82) — опция протокола DHCP, использующаяся для того чтобы проинформировать DHCP-сервер о том, от какого DHCP-ретранслятора и через какой его порт был получен запрос. Применяется при решении задачи привязки IP-адреса к порту коммутатора и для защиты от атак с использованием протокола DHCP (DHCP snooping).

Только авторизованные участники могут оставлять комментарии.