ip dhcp snooping ,

Urządzenia cisco według mnie są strasznie nie doceniane oraz nie wykorzystywane w 100%. Często bywa że sprzęt jest kupowany za xxx tysiące złotych a i tak wykorzystywany jako zwykłe urządzenie z tańszej pułki. A przecież Cisco daje nam wspaniałe możliwości takie jak ochrona nas przed nie pożądanymi niespodziankami. Taka niespodzianką która może nas spotkać jest chociażby pojawienie się w naszej sieci obcego dhcp. Nie ważne jak czy to będzie wirus czy jakiś użytkownik który się bawił w domu komputerem z dhcp a nawet jakis administrator który postawił sobie testowo serwer z dhcp , a my administratorzy sieci jesteśmy zobligowani aby takie rzeczy się nie działy szczególnie jeśli mamy takie wspaniałe urządzenia jak Cisco :).
A wiec po kolej najpierw włączamy filtrowanie

Config)# ip dhcp snooping – to pierwsza komenda włączającą opcje filtracji reqestów dhcp na switchu

Później nową komenda musimy wpisać jakie vlany będą filtrowane

Config)# ip dhcp snooping vlan xx

Następnie bardzo ciekawa komenda !!! która wpisuje się jeśli używamy dhcp relay-agent komenda ta informuje switch żeby nie szukał w reqestach dhcp opcji 82 która służy do zaimplementowania pewnych reguł bezpieczeństwa przy przydzielaniu adresów ip oraz o dodaniu przez dhcp relay –agent informacji.

Config)# no ip dhcp snooping information option

Oczywiście możemy ustawić także opcje aby switch sam doklejał tą opcje

Config)# ip dhcp snooping information option

Gdzieś także wyczytałem że jeśli mamy na switchu ustawiony interfejs bramy dla danego vlana i na niej ip helper-address powinniśmy także dodać na tym interfejsie komendę:

Config-if)# ip helper-address 10.128.0.11
Config-if)# ip dhcp relay information trusted

Nie zapomnij także ustawić na tych portach gdzie są serwery dhcp komendę

Config-if)# ip dhcp snooping trust

Pamiętajmy tylko że w tym przypadku jeśli dajemy ta komendę na interfejsie trunkowym do innych switchy i tam też nie zrobimy ip dhcp snooping to z stamtąd mogą przyjść fałszywe reqesty dhcp. A wiec jak robimy ip dhcp snooping na jednym switchu powinnyśmy także zrobić to na innych podłączonych fizycznie do siebie nawzajem.

A także aby jakiś nie dobry host nagle nie zaspamował nas reqestami dhcp I nie zużył nam całej puli adresów. Ja używam standardowo wartości 5 ustawione na interfejsach do hostów i działa . Opcje te możemy ustawić także na interfejsie z dhcp ale ustawmy większy parametr( parametr określa nam ile reqestów na sekunde może przejść przez ten port).


Config-if)# ip dhcp snooping limit rate

Dzieki wpisaniu tych wszystkich komend powinno nam się pojawic po wpisaniu komendy

Switch# show ip dhcp snooping binding

MacAddress IP Address Lease (seconds) Type VLAN Interface
----------- ----------- ---------------- ----- ----- ------------
0000.0100.0201 10.0.0.1 1600 dynamic 100 FastEthernet2/1

Informacjie o tym jakie adresy mac dostały jaki adres ip mimo tego że dhcp nie jest ani na switchu ani na innym urządzeniu Cisco . Switch sam zbiera te informacje po pakietach które dostają się na portach z włączoną opcja ip dhcp snooping trust
Dzieki temu możemy wdrożyć
Conf)# ip arp inspection vlan xxx
Wtedy mac adressy bedą sprawdzane z adresami bindowanymi przez serwer dhcp

No i proszę właśnie zabezpieczyliśmy się przed następnym problemem który mógłby w najlepszym przypadku tylko zablokować cała naszą sieć w najgorszym umożliwić komuś podszycie się pod fałszywy dhcp i szpiegować nasza sieć. A zajęło nam to tylko 5 minut !!!
Co więcej dzięki temu możemy wdrożyć w naszą sieci ip arp inspection ale to opisze później

Wszystko ładnie jest opisane w linku:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html

http://www.thebryantadvantage.com/BCMSNCiscoCCNPExamTutorialDHCPSnooping.htm