Jak skonfigurować DHCP Snooping

Zasada działania DHCP snooping

Funkcjonalność DHCP snooping ma na celu przypisanie do konkretnego portu na routerze zaufanego serwera DHCP, dzięki temu podłączenie ,,feralnego” serwera na jakimś innym porcie będzie utrudnione. Warto również wspomnieć o jeszcze jednej ważnej funkcji, która umożliwi ograniczenie liczby możliwych do wysłania z innych portów komunikatów, chodzi o żądania DHCP Discover, wykonanie ataku będzie niemożliwie. Funkcjonalność DHCP Snooping jest oferowana przez producenta CISCO.

Topologia wykorzystana w konfiguracji DHCP Snooping

Powyższa topologia składa się z:

  • routera R1
  • dwóch stacji roboczych PC2, PC3
  • serwera DHCP Server1

Zadania do wykonania:

  • Skonfigurowanie adresacji IP na wszystkich urządzeniach
  • Ustawienie zakresu puli na serwerze DHCP Server1
  • Ustawienie dynamicznego przydzielania adresu na stacjach roboczych PC2, PC3
  • Dodanie do topologii kolejnego serwera DHCP – posłuży do weryfikacji funkcjonalności DHCP Snooping

Konfiguracja:

R1

 Router>en
 Router#conf t
 Router(config)#interface fastEthernet 0/0
 Router(config-if)#ip address 10.0.0.1 255.0.0.0
 Router(config-if)#no shutdown 
  
 Router(config-if)#
 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
  
 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
  
 Router(config-if)#exit
 Router(config)#interface fastEthernet 0/1
 Router(config-if)#ip address 20.0.0.1 255.0.0.0
 Router(config-if)#no shutdown 
  
 Router(config-if)#
 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
  
 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
  
 Router(config-if)#exit        
 Router(config)#interface fastEthernet 0/0
 Router(config-if)#ip helper-address 20.0.0.10
 Router(config-if)#exit 

Server1

Topologia po dodaniu serwera DHCP ,,atakującego”

Konfiguracja Server2 ,,atakującego”:

PC3:

SW1:

 Switch>en
 Switch#configure terminal
 Switch(config)#ip dhcp snooping 
 Switch(config)#interface fastEthernet 0/1
 Switch(config-if)#ip dhcp snooping trust 
 Switch(config-if)#exit 

PC3

SW1:

 Switch>en
 Switch#conf t
 Switch(config)#interface range fastEthernet 0/2-4
 Switch(config-if-range)#ip dhcp snooping limit rate 10