Layer 2 Security DHCP Snooping

REFERENCE

Configuring DHCP Features and IP Source Guard

MEMO

  • DHCP Snooping有効化で全てのポートがuntrustになる。任意でサーバが接続されるポートはtrustに変更する。
  • untrust = クライアントがいるはず。untrustポートからDHCP OFFERやACKなどのサーバが返すメッセージがくるはずないので、受信した場合には破棄する。
  • DHCP Snooping有効化とVLANの指定
(config)#ip dhcp snooping
(config)#ip dhcp snooping vlan 10

 

  • サーバ接続ポートはtrunst
(config)#int fa0/0
(config-if)#ip dhcp snooping trust

 

  • untrustポートで受信したSrc MACがパケット内のクライアントのMACと同じか確認する
(config)#ip dhcp snooping verify mac-address

コメント