DHCP snooping – защитная функция, позволяющая предотвратить несанкционированное подключение к сети стороннего DHCP сервера с целью перехвата клиентских DHCP запросов. Сущность DHCP snooping заключается в том, чтобы закрыть возможность обработки DHCP запросов на недоверенных портах. Администратор сети должен вручную настроить доверенные порты, — порты за которыми находится настоящий DHCP сервер. Подробнее о настройке DHCP можно прочитать здесь.
Для того чтобы включить DHCP snooping на коммутаторе необходимо набрать команду ip dhcp snooping, а затем указать VLAN(ы), на которые будет распространяться данное действие, командой ip dhcp snooping vlan 100, где 100 – номер VLAN. Теперь командой ip dhcp snooping trust остается указать те интерфейсы, которые смотрят в сторону DHCP сервера (команда прописывается на интерфейсе). Чаще всего это магистральные каналы связи, транки и соответственно сам интерфейс, к которому подключен DHCP сервер.
По непроверенной информации, но которая присутствует в мануале Cisco, если в сети используется один DHCP сервер, который обслуживает несколько VLAN-ов и если на интерфейсах этих VLAN-ов прописана команда ip helper-address 192.168.1.50, где 192.168.1.50 – DHCP сервер, то при настройке DHCP snooping необходимо на тех же интерфейсах VLAN, на каждом интерфейсе VLAN, прописать команду ip dhcp relay information trusted или объявить ее в режиме глобальной конфигурации для всех интерфейсов командой ip dhcp relay information trust-all.
Команду ip dhcp relay information trusted необходимо прописать до того, как вы прописали команду ip dhcp snooping в режиме глобальной конфигурации.
Также по непроверенной информации, добытой из простор Интернета, вместо команд ip dhcp relay information trusted и ip dhcp relay information trust-all люди просто отключали опцию 82 командой no ip dhcp snooping information option, которая, кстати, включается по умолчанию на коммутаторах Cisco после введения команды ip dhcp snooping.
Опция 82 – это особое поле, которое добавляется коммутатором в DHCP пакет, идущий от DHCP клиента через коммутатор к DHCP серверу. Опция 82 содержит информацию об устройстве (например, MAC адрес коммутатора) и информацию о номере порта с которого идет запрос для того, чтобы сервер, опираясь на полученную информацию, смог выдать IP адрес DHCP клиенту из нужной подсети.
Пример:
DHCP server---VLAN30---(Fa0/22)Switch2(Gi0/26)---VLAN20--- -----(Gi0/26)Switch1(Fa0/10)---VLAN100----DHCP client Switch1 – runs DHCP snooping Switch2 – no DHCP snooping, just a normal switch Switch1(config)#ip dhcp snooping vlan 100 Switch1(config)#interface vlan100 Switch1(config-if)#ip helper-address 192.168.1.50 Switch1(config-if)#ip dhcp relay information trusted Switch1(config-if)#exit Switch1(config)#interface gigabitethernet0/26 Switch1(config-if)#ip dhcp snooping trust Switch1(config-if)#exit Switch1(config)#ip dhcp snooping
