A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.
Uma negociação simples de solicitação DHCP ocorre com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack.
O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).
Para o funcionamento do Servidor DHCP válido deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.
No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/0/8 conectada ao servidor DHCP válido como trust.
Configuração
[4800G]dhcp-snooping DHCP Snooping is enabled. [4800G]int g1/0/8 [4800G-GigabitEthernet1/0/8]dhcp-snooping trust
Comandos Display
Para visualização das portas em trust digite display dhcp-snooping trust
[4800G]disp dhcp-snooping trust DHCP Snooping is enabled. DHCP Snooping trust becomes active. Interface Trusted ========================= GigabitEthernet1/0/8 Trusted
O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.
[4800G]display dhcp-snooping DHCP Snooping is enabled. The client binding table for all untrusted ports. Type : D--Dynamic , S--Static Type IP Address MAC Address Lease VLAN Interface ==== =============== ============== ============ ==== ================= D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4 D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12 --- 2 dhcp-snooping item(s) found ---
Não esqueça de habilitar as portas de Uplink como trust caso a rede possua diversos Switches. 😉
Até o proximo post!