DHCP Snoofing

DHCP 에서문제가 될 수 있는 것이 이 ip를 누가 받아 갔느냐와..또 하나는 하단에공유기를 달아서거기서 ip를 받아 가게 되어 인터넷이 안되는 증상입니다.

이러한 것을해결해 주는 것이 DHCP Snooping 입니다.

동작원리로는 멀티케스트의 IGMP Snooping과 동작이 유사합니다.

   

여기 24포트 workgroup 스위치에서 사용자들은 이 24포트에 PC가 물리게 되고 업링크를 통하여 백본을 통하여...그기 서버에 있는 DHCP Server로 부터 IP를 받아오겠지요?

관리자는 이 하단 24포트에 다른 DHCP Server에서 이상한 IP를 받아오는 것을 막고 싶어합니다.

 

! - dhcp snooping 활성화
Switch(config)# ip dhcp snooping

 

! - dhcp server offer 메시지 허용할 포트 설정 (신뢰된 포트)
Switch(config)# Interface fastethernet 0/1
Switch(config-if)# ip dhcp snooping trust

 

DHCP Snooping은 Trust 포트와 untrust포트로 구분을 합니다.  세팅은 간단합니다.

관리자가 정상이라고 생각하는 기가빗 업링크를 trust 포트로 지정하고 , 나머지 PC들이 물리는 포트를 untrust로 지정을 합니다.

이렇게 되면 스위치는 trust포트로만 DHCP 패킷을 Forwarding 하게 됩니다.

즉, untrust에 DHCP Server가 물리더라도 그 서버에서 ip를 받아올 수 없게 되는 것이죠..

   

그리고 또 한개 설명을 드릴려는 것이 option-82 입니다.

 

자신의 MAC이 아니고, 자신이 요청(offer)한 패킷이 아니니까 패기시키지만 불순한 유저가 PC#2와 PC#3에서 스니핑을

하고 있다면 보안적으로 위협이 될수가 있습니다.

   

   

Option-82를 적용하게 되면 일반적인 DHCP 통신과정과는 다르게 DHCP Information이라는 패킷이 들어갑니다.

이 DHCP Information안에는 PC가 보내는 에이전트 정보가 포함됩니다.  이 안에는 PC정보 및 암호화 그리고 스위치의 포트정보를 포함합니다.

 

! - dhcp snooping 활성화
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping information option
Switch(config)# ip dhcp snooping vlan 1

! - dhcp client가 위치한 포트에 dhcp 메시지 수 제한 설정
Switch(config)# interface range fastethernet 0/2 - 3
Switch(config-if)# ip dhcp snooping limit rate 20
!