A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.
Uma negociação simples de solicitação DHCP ocorre com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack.
O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).
Para o funcionamento do Servidor DHCP válido deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.
No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/0/8 conectada ao servidor DHCP válido como trust.
Configuração
[4800G]dhcp-snooping DHCP Snooping is enabled. [4800G]int g1/0/8 [4800G-GigabitEthernet1/0/8]dhcp-snooping trust
Comandos Display
Para visualização das portas em trust digite display dhcp-snooping trust
[4800G]disp dhcp-snooping trust DHCP Snooping is enabled. DHCP Snooping trust becomes active. Interface Trusted ========================= GigabitEthernet1/0/8 Trusted
O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.
[4800G]display dhcp-snooping DHCP Snooping is enabled. The client binding table for all untrusted ports. Type : D--Dynamic , S--Static Type IP Address MAC Address Lease VLAN Interface ==== =============== ============== ============ ==== ================= D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4 D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12 --- 2 dhcp-snooping item(s) found ---
Não esqueça de habilitar as portas de Uplink como trust caso a rede possua diversos Switches. 😉
Até o proximo post!
Parabéns, muito boa sua dica.
Sensacional !!
Me ajudou muito !!
Obrigado pelo tutorial !!
Muito boa dica mas tenho uma dúvida. Tenho uma rede com vários switches e minha é, o trust deve ser habilitado nas duas pontas?
O comando “trust” deve ser habilitado na porta do servidor nos uplinks dos Switches.
Diego, deixa ver se entendi..
digamos que eu configure o dhcp-snooping na interface interface GigabitEthernet 1/0/32
se eu ligar qualquer outro equipamento fora dessa porta ele vai bloquear a entrega do IP??
Abs…
Obrigado
Olá Marcos,
ativando o processo DHCP-Snooping globalmente todas as portas do Switch serão negadas a gerar entrega de IP via DHCP a não ser que você configure a porta como ‘dhcp-snooping trust’
Então, para fazer testes o que acontece, eu peguei um 4800G de backup que tenho no serviço com as configs de fabrica, esse eh um de 24 portas sfp e tem 8 portas UTP, deve saber qual é, e fiz o seguinte lab abaixo:
1 modem da GVT com dhcp habilitado entregando de 192.168.25.3 até 192.168.25.100
1 Core 4800 com IP 192.168.25.2 – Apenas com a VLAN1 como default
O modem da GVT está ligado na porta 32
Peguei um notebook e liguei na porta 25 do mesmo switch, então vamos aos comandos:
Habilitar o dhcp snooping
dhcp-snooping
Entrei na interface 32 que é onde está ligado o modem da GVT
interface GigabitEthernet 1/0/32
Setei ela como trust = é onde o dhcp esta chegando
dhcp-snooping trust
depois verifiquei a saida do comando
disp dhcp-snooping trust
DHCP Snooping is enabled.
DHCP Snooping trust becomes active.
Interface Trusted
=========================
GigabitEthernet1/0/32 Trusted
Bl, se fiz da maneira correta pela logica se eu pegar o cabo que entrega o dhcp e colocar exemplo na porta 31 ele não deveria entregar o IP correto?? Só que ele continua entregando o IP
Tah faltando alguma coisa?? Obrigado pelo HELP
Show, funcionou nos testes que fiz, infelizmente ainda tenho 8 baseline 2250 na rede que não faz o dhcp-snooping, agora os 1910 funcionaram FINOS
Valeu a dica..
Abs
Olá, após seguir as dicas acima, meu ambiente funcionou perfeitamente.
Agora estou tendo um problema pontual relacionado a um Access Point Cisco.
O Access Point Cisco não está recebendo endereço IP quando eu ativo o dhcp-snooping.
Assim que eu desativo o dhcp-snooping, o Access Point volta a receber endereçamento IP.
Alguém sabe como posso resolver esse problema?
Abaixo seguem as configurações da interface do switch:
interface Ethernet1/0/24
stp edged-port enable
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 6
broadcast-suppression pps 3000
packet-filter inbound link-group 4999 rule 0
description AP cisco
Complementando minha dúvida, o Access Point Cisco funciona em modo lightweight, o DHCP Server é um servidor windows conectado no mesmo switch que o Access Point Cisco eu configurei o dhcp-snooping trust na interface do switch onde o Access Point Cisco está conectado e mesmo assim, não funcionou.
Bom Dia
meu nome é Eumiro
tenho um roteador TPLINK TD-W8968 gostaria de saber o que devo fazer para bloquear as portas WAN do meu roteador?
para que nenhu intruso plug o cabo de rede e use