Сетевые решения — DHCP Snooping

DHCP snooping – защитная функция, позволяющая предотвратить несанкционированное подключение к сети стороннего DHCP сервера с целью перехвата клиентских DHCP запросов. Сущность DHCP snooping заключается в том, чтобы закрыть возможность обработки DHCP запросов на недоверенных портах. Администратор сети должен вручную настроить доверенные порты, — порты за которыми находится настоящий DHCP сервер. Подробнее о настройке DHCP можно прочитать здесь.

Для того чтобы включить DHCP snooping на коммутаторе необходимо набрать команду ip dhcp snooping, а затем указать VLAN(ы), на которые будет распространяться данное действие, командой ip dhcp snooping vlan 100, где 100 – номер VLAN. Теперь командой ip dhcp snooping trust остается указать те интерфейсы, которые смотрят в сторону DHCP сервера (команда прописывается на интерфейсе). Чаще всего это магистральные каналы связи, транки и соответственно сам интерфейс, к которому подключен DHCP сервер.

По непроверенной информации, но которая присутствует в мануале Cisco, если в сети используется один DHCP сервер, который обслуживает несколько VLAN-ов и если на интерфейсах этих VLAN-ов прописана команда ip helper-address 192.168.1.50, где 192.168.1.50 – DHCP сервер, то при настройке DHCP snooping необходимо на тех же интерфейсах VLAN, на каждом интерфейсе VLAN, прописать команду ip dhcp relay information trusted или объявить ее в режиме глобальной конфигурации для всех интерфейсов командой ip dhcp relay information trust-all.

Команду ip dhcp relay information trusted необходимо прописать до того, как вы прописали команду ip dhcp snooping в режиме глобальной конфигурации.

Также по непроверенной информации, добытой из простор Интернета, вместо команд ip dhcp relay information trusted и ip dhcp relay information trust-all люди просто отключали опцию 82 командой no ip dhcp snooping information option, которая, кстати, включается по умолчанию на коммутаторах Cisco после введения команды ip dhcp snooping.

Опция 82 – это особое поле, которое добавляется коммутатором в DHCP пакет, идущий от DHCP клиента через коммутатор к DHCP серверу. Опция 82 содержит информацию об устройстве (например, MAC адрес коммутатора) и информацию о номере порта с которого идет запрос для того, чтобы сервер, опираясь на полученную информацию, смог выдать IP адрес DHCP клиенту из нужной подсети.

Пример:

DHCP server---VLAN30---(Fa0/22)Switch2(Gi0/26)---VLAN20---
-----(Gi0/26)Switch1(Fa0/10)---VLAN100----DHCP client

Switch1 – runs DHCP snooping
Switch2 – no DHCP snooping, just a normal switch

Switch1(config)#ip dhcp snooping vlan 100
Switch1(config)#interface vlan100
Switch1(config-if)#ip helper-address 192.168.1.50
Switch1(config-if)#ip dhcp relay information trusted
Switch1(config-if)#exit
Switch1(config)#interface gigabitethernet0/26
Switch1(config-if)#ip dhcp snooping trust
Switch1(config-if)#exit
Switch1(config)#ip dhcp snooping

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика