DHCP Snooping на коммутаторах Cisco

DHCP snooping очень удобная штука, используется для предотвращения атак с использованием протокола DHCP. А в реальной жизни часто для удобства администратора, т.е. часто его использование носит информативный характер. Например очень удобно можно увидеть на каком порту в каком VLAN на каком маке какой выдан IP адрес. Ну и естественно мы получаем защиту от пользователя, который «лучше этих админов разбирается во всем»© и вдруг решил принести из дома свой роутер и воткнуть его в сеть (реально был такой случай в практике). Итак, смысл в том, что мы скажем коммутатору порты за которыми у него может быть DHCP сервер, а за какими нет, так называемые доверенные порты и не доверенные порты.

Естественно, порт к которому подключен пользователь это НЕ доверенный порт, а порт который смотрит на верх (UpLink) будет являться доверенным, как на рисунке.

Переходим к настройке DHCP snooping:

1.первым делом включаем глобально DHCP snoopig на коммутаторе:

2. Далее включаем DHCP snooping в нужном VLAN:

3. указываем доверенные порты, для этого переходим к конфигурации нужных нам портов и объявляем их доверенными:

Следует учесть, такой момент, если у вас в качестве UpLink выступает Etherchannel нужно сделать доверенным не только сам интерфейс Port-channel но и физические интерфейсы, которые являются его членами.

На данном этапе DHCP snooping работает в 100 VLAN и доверенным портом является порт GigabitEthernet1/0/1 дальнейшие настройки не являются обязательными в базовом случае.

Дальше уже можно «тюнить» DHCP snooping в соответствии с вашими требованиями

например отключить передачу 82 опции (по умолчанию она включена):

или настроить ограничение количества DHCP обращений на не доверенном интерфейсе

и т.д.

Команды просмотра:

посмотреть состояние DHCP snooping можно командой:

вывести таблицу соответствия мака — порта — IP — VLAN командой