Перейти к содержанию

DHCP Snooping

DHCP Snooping - функция безопасности на коммутаторах, которая защищает сеть от подмены DHCP сервера.

Для настройки порты коммутатора делятся на два вида:

  • Trusted - доверенные порты, которые ведут к настоящему DHCP серверу;
  • Untrusted - недоверенные порты, к которым подключены пользователи.

DHCP Snooping формирует базу данных привязок, запоминая MAC-адрес клиента, выданный ему IP-адрес, VLAN и номер порта коммутатора.

Необходимые условия и предварительные требования

  • Настроенный DHCP-сервер.

Назначение применяемой команды/конфигурации

Команды в режиме глобальной конфигурации

1
2
3
ip dhcp snooping

no ip dhcp snooping

Команды в режиме настройки интерфейса

1
2
3
ip dhcp snooping trust

no ip dhcp snooping trust

Команды отображения информации

1
2
3
4
5
6
7
8
9
show ip dhcp detailed statistics { client | combined | normal-forward | relay | server | snooping }
show ip dhcp excluded-address
show ip dhcp pool <pool_name>
show ip dhcp relay statistics
show ip dhcp server binding [<ipv4_ucast> | state | type]
show ip dhcp server declined-ip [<ipv4_addr>]
show ip dhcp server statistics
show ip dhcp snooping interface { * | GigabitEthernet | 25GigabitEthernet }
show ip dhcp snooping table

Пример конфигурирования

Схема соединений

Схема соединений для примера настройки DHCP Snooping

Настройка

Шаг 1. Включение DHCP Snooping на коммутаторе 

1
2
# configure terminal
(config)# ip dhcp snooping

Шаг 2. Настройка интерфейса GigabitEthernet 1/21-22 для подключения пользователя 

1
2
3
4
5
(config)# interface GigabitEthernet 1/21
(config-if)# description TO-DHCP-CLIENT
(config-if)# switchport access vlan 2500
(config-if)# no spanning-tree
(config-if)# spanning-tree edge

Шаг 3. Настройка портов как untrusted 

1
(config-if)# no ip dhcp snooping trust

Шаг 4. Настройка интерфейса GigabitEthernet 1/23 для подключения DHCP сервера 

1
2
3
4
5
6
(config)# interface GigabitEthernet 1/23
(config-if)# description TO-DHCP-SERVER
(config-if)# switchport access vlan 2500
(config-if)# ip dhcp snooping trust
(config-if)# no spanning-tree
(config-if)# spanning-tree edge

Полный вывод выполненных конфигураций

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
configure terminal
!
interface GigabitEthernet 1/21
 description TO-DHCP-CLIENT
 switchport access vlan 2500
 no ip dhcp snooping trust
 no spanning-tree
 spanning-tree edge
!
interface GigabitEthernet 1/22
 description TO-DHCP-CLIENT
 switchport access vlan 2500
 no ip dhcp snooping trust
 no spanning-tree
 spanning-tree edge
!
interface GigabitEthernet 1/23
 description TO-DHCP-SERVER
 switchport access vlan 2500
 ip dhcp snooping trust
 no spanning-tree
 spanning-tree edge

Изучение состояния устройства

Просмотр конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# show ip dhcp snooping interface GigabitEthernet 1/21-23

GigabitEthernet 1/21 untrusted
GigabitEthernet 1/22 untrusted
GigabitEthernet 1/23 trusted


# show ip dhcp snooping table
Entry ID            : 1
MAC Address         : 00-07-32-78-47-fa
VLAN ID             : 2501
Source Port         : GigabitEthernet 1/21
IP Address          : 10.50.101.101
IP Subnet Mask      : 255.255.255.0
DHCP Server Address : 10.50.101.10 (Remote)

Entry ID            : 2
MAC Address         : a0-36-9f-f2-6d-d5
VLAN ID             : 2501
Source Port         : GigabitEthernet 1/22
IP Address          : 10.50.101.100
IP Subnet Mask      : 255.255.255.0
DHCP Server Address : 10.50.101.10 (Remote)

Total Entries Number : 2