DHCP Snooping на коммутаторах Cisco
DHCP snooping очень удобная штука, используется для предотвращения атак с использованием протокола DHCP. А в реальной жизни часто для удобства администратора, т.е. часто его использование носит информативный характер. Например очень удобно можно увидеть на каком порту в каком VLAN на каком маке какой выдан IP адрес. Ну и естественно мы получаем защиту от пользователя, который «лучше этих админов разбирается во всем»© и вдруг решил принести из дома свой роутер и воткнуть его в сеть (реально был такой случай в практике). Итак, смысл в том, что мы скажем коммутатору порты за которыми у него может быть DHCP сервер, а за какими нет, так называемые доверенные порты и не доверенные порты.
Естественно, порт к которому подключен пользователь это НЕ доверенный порт, а порт который смотрит на верх (UpLink) будет являться доверенным, как на рисунке.

Переходим к настройке DHCP snooping:
1.первым делом включаем глобально DHCP snoopig на коммутаторе:
1
|
switch(config)#ip dhcp snooping
|
2. Далее включаем DHCP snooping в нужном VLAN:
1
|
switch(config)#ip dhcp snooping vlan 100
|
3. указываем доверенные порты, для этого переходим к конфигурации нужных нам портов и объявляем их доверенными:
1
2
|
switch(config)#interface GigabitEthernet 1/0/1
switch(config-if)#ip dhcp snooping trust
|
Следует учесть, такой момент, если у вас в качестве UpLink выступает Etherchannel нужно сделать доверенным не только сам интерфейс Port-channel но и физические интерфейсы, которые являются его членами.
На данном этапе DHCP snooping работает в 100 VLAN и доверенным портом является порт GigabitEthernet1/0/1 дальнейшие настройки не являются обязательными в базовом случае.
Дальше уже можно «тюнить» DHCP snooping в соответствии с вашими требованиями
например отключить передачу 82 опции (по умолчанию она включена):
1
|
switch(config)#no ip dhcp snooping information option
|
или настроить ограничение количества DHCP обращений на не доверенном интерфейсе
1
2
|
switch(config)#interface gigabitEthernet 1/0/1
switch(config-if)#ip dhcp snooping limit rate 50
|
и т.д.
Команды просмотра:
посмотреть состояние DHCP snooping можно командой:
1
|
switch#show ip dhcp snooping
|
вывести таблицу соответствия мака — порта — IP — VLAN командой
1
|
switch#show ip dhcp snooping binding
|