Escenario: con este escenario simulamos la conexión indebida o accidental de varios DHCP servers mal
configurados en nuestra red, generando entrega de direcciones fuera de rango o sin parámetros como ser
el default gateway o el DNS server.
En el escenario, el direccionamiento real es 192.168.10.X /24, los DHCP servers agregados entregarán direcciones
en los rangos 172.16.0X , 192.168.2.X y 192.168.20.X/24
Por consiguiente, para mitigar esta situación configuramos el filtro DHCP snooping en el switch, denegando las
respuestas DHCP OFFER en los
ports no marcados como confiables.
Con esta configuración los hosts que generan
peticiones DHCP DISCOVER no se ven afectados.
Este escenario NO puede reproducirse en Packet Tracer, la imagen es sólo representativa.
Configuración:
switch#show runn
---abreviado----
!
ip dhcp snooping habilita el servicio
ip dhcp snooping vlan 10 aplicamos el servicio a una VLAN (obligartorio)
no ip dhcp snooping
information option no realiza marcado de paquetes
para el helper-address en
! caso de trabajar con varias VLAN y un solo DHCP server
!
interface FastEthernet0/1
switchport
access vlan 10
switchport
mode access
spanning-tree
portfast
ip
dhcp snooping trust configuramos el port como
confiable para el tráfico DHCP OFFER
!
---abreviado--—
Conectamos varios
DHCP server a un port no confiable ( Fa0/2-23 ) y desde varias generamos
una petición DHCP,
los servers
reciben las peticiones pero al responderlas el tráfico se filtra, obtenemos el
siguiente resultado:
Luego con el server
conectado a un puerto trust (confiable) en este caso Fa0/1, renovamos la
dirección IP en el host, obteniendo
una dirección de IP válida:
Comandos de verificación en el
switch:
Switch#sh ip dhcp snoop
bind nos devuelve quienes son los host que
obtuvieron servicio DHCP
MacAddress
IpAddress Lease(sec) Type VLAN Interface
------------------
--------------- ---------- ------------- ---- --------------------
00:1B:38:7E:F1:71 192.168.10.4 86296 dhcp-snooping 10 FastEthernet0/5
00:19:66:11:61:DF
192.168.10.5 86395 dhcp-snooping 10 FastEthernet0/9
Total number of bindings: 2
Switch#sh ip dhcp snoop
nos devuelve los puertos TRUST ( confiables )
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is configured on the following
Interfaces:
Insertion of option 82 is disabled
circuit-id
format: vlan-mod-port
remote-id
format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted
Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 yes unlimited también
podemos limitar el ancho de banda
para el tráfico DHCP
( no implementado ya
que no impacta en la seguridad )
(2010) Tales to share
with boring girls
.