DHCP Snooping
Má zabránit připojení falešného DHCP serveru, který by mohl způsobit útok man in the middle, podstrčením IP adresy útočníka jako výchozí brány nebo DNS serveru. Porty switche jsou rozděleny na trusted a untrusted. Pravý DHCP server je připojen k trusted portu, uživatelé k untrusted portům. Switch zachtává všechny DHCP requesty z untrusted portů. Jakmile je na untrusted portu zachcena zpr. “DHCP reply”, je zahozena a port přejde do stavu Errdisable. DHCP snooping udržuje databázi přiřazení adres (MAC-IP-Lease time-atd.).
Je-li na untrusted portu zachycen DHCP request, switch k němu přiřadí svou MAC+id portu v option 82, pak je req. forwardován k DHCP serveru. Option 82 poskytuje více informací o původci DHCP požadavku.
Zapnutí DHCP Snoopingu na switchi + určení dotčených VLAN:
- Switch(config)# ip dhcp snooping
- Switch(config)# ip dhcp snooping vlan vlan-id [vlan-id]
Po zapnutí Snoopingu jsou všechny porty def. untrusted.
Nastavení trusted portu:
- Switch(config)# interface type mod/num
- Switch(config-if)# ip dhcp snooping trust
Nastavení limitu DHCP zpráv / sec na untrusted portu:
- Switch(config)# interface type mod/num
- Switch(config-if)# ip dhcp snooping limit rate 1-2048
Zap./Vyp. DHCP option-82 (def.zapnuto):
- Switch(config)# [no] ip dhcp snooping information option
- Switch# show ip dhcp snooping [binding]
Switch# show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 104 Insertion of option 82 is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- FastEthernet0/35 no 3 FastEthernet0/36 no 3 GigabitEthernet0/1 yes unlimited Switch#
