Switches 3Com 4800G – DHCP Snooping – Como proteger a rede de falsos servidores DHCP?

Diego Dias

A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.

Uma negociação simples de solicitação DHCP ocorre com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack.


O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do Servidor DHCP válido deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.

No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/0/8 conectada ao servidor DHCP válido como trust.

Configuração

[4800G]dhcp-snooping
DHCP Snooping is enabled.

[4800G]int g1/0/8
[4800G-GigabitEthernet1/0/8]dhcp-snooping trust

Comandos Display

Para visualização das portas em trust digite display dhcp-snooping trust

[4800G]disp dhcp-snooping trust
DHCP Snooping is enabled.
DHCP Snooping trust becomes active.
Interface Trusted
=========================
GigabitEthernet1/0/8 Trusted

O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.

[4800G]display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Não esqueça de habilitar as portas de Uplink como trust caso a rede possua diversos Switches. 😉

Até o proximo post!

 

 

11 thoughts on “Switches 3Com 4800G – DHCP Snooping – Como proteger a rede de falsos servidores DHCP?

  2. Roberto 10 de fevereiro de 2015 / 13:36

    Sensacional !!

    Me ajudou muito !!

    Responder
  3. Roberto 10 de fevereiro de 2015 / 15:23

    Obrigado pelo tutorial !!

    Responder
  4. Rafael Machado 24 de março de 2015 / 21:41

    Muito boa dica mas tenho uma dúvida. Tenho uma rede com vários switches e minha é, o trust deve ser habilitado nas duas pontas?

    Responder
    • Diego Dias 28 de março de 2015 / 12:49

      O comando “trust” deve ser habilitado na porta do servidor nos uplinks dos Switches.

      Responder
  5. marcos 14 de outubro de 2015 / 17:28

    Diego, deixa ver se entendi..
    digamos que eu configure o dhcp-snooping na interface interface GigabitEthernet 1/0/32

    se eu ligar qualquer outro equipamento fora dessa porta ele vai bloquear a entrega do IP??

    Abs…
    Obrigado

    Responder
    • Diego Dias 15 de outubro de 2015 / 10:59

      Olá Marcos,

      ativando o processo DHCP-Snooping globalmente todas as portas do Switch serão negadas a gerar entrega de IP via DHCP a não ser que você configure a porta como ‘dhcp-snooping trust’

      Responder
      • Marcos 15 de outubro de 2015 / 14:00

        Então, para fazer testes o que acontece, eu peguei um 4800G de backup que tenho no serviço com as configs de fabrica, esse eh um de 24 portas sfp e tem 8 portas UTP, deve saber qual é, e fiz o seguinte lab abaixo:

        1 modem da GVT com dhcp habilitado entregando de 192.168.25.3 até 192.168.25.100
        1 Core 4800 com IP 192.168.25.2 – Apenas com a VLAN1 como default

        O modem da GVT está ligado na porta 32

        Peguei um notebook e liguei na porta 25 do mesmo switch, então vamos aos comandos:

        Habilitar o dhcp snooping
        dhcp-snooping

        Entrei na interface 32 que é onde está ligado o modem da GVT
        interface GigabitEthernet 1/0/32

        Setei ela como trust = é onde o dhcp esta chegando
        dhcp-snooping trust

        depois verifiquei a saida do comando
        disp dhcp-snooping trust
        DHCP Snooping is enabled.
        DHCP Snooping trust becomes active.
        Interface Trusted
        =========================
        GigabitEthernet1/0/32 Trusted

        Bl, se fiz da maneira correta pela logica se eu pegar o cabo que entrega o dhcp e colocar exemplo na porta 31 ele não deveria entregar o IP correto?? Só que ele continua entregando o IP

        Tah faltando alguma coisa?? Obrigado pelo HELP

        Responder
  6. marcos 28 de outubro de 2015 / 19:33

    Show, funcionou nos testes que fiz, infelizmente ainda tenho 8 baseline 2250 na rede que não faz o dhcp-snooping, agora os 1910 funcionaram FINOS

    Valeu a dica..
    Abs

    Responder
  7. Fabio Mamede 6 de março de 2018 / 14:51

    Olá, após seguir as dicas acima, meu ambiente funcionou perfeitamente.

    Agora estou tendo um problema pontual relacionado a um Access Point Cisco.

    O Access Point Cisco não está recebendo endereço IP quando eu ativo o dhcp-snooping.

    Assim que eu desativo o dhcp-snooping, o Access Point volta a receber endereçamento IP.

    Alguém sabe como posso resolver esse problema?

    Abaixo seguem as configurações da interface do switch:

    interface Ethernet1/0/24
    stp edged-port enable
    port link-type trunk
    port trunk permit vlan all
    port trunk pvid vlan 6
    broadcast-suppression pps 3000
    packet-filter inbound link-group 4999 rule 0
    description AP cisco

    Responder
  8. Fabio Mamede 6 de março de 2018 / 14:56

    Complementando minha dúvida, o Access Point Cisco funciona em modo lightweight, o DHCP Server é um servidor windows conectado no mesmo switch que o Access Point Cisco eu configurei o dhcp-snooping trust na interface do switch onde o Access Point Cisco está conectado e mesmo assim, não funcionou.

    Responder

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *