На тесте настрою DHCP Snooping на Cisco Catalyst 6509-E, чтобы блокировать сторонние DHCP сервера, на других коммутаторах Cisco по сути настройка аналогична.
После подключения к устройству сразу перейдём в режим конфигурации:
enable configure
Включим DHCP Snooping в нужных VLAN:
ip dhcp snooping vlan 226-228,300-302
Можно отключить передачу 82 опции (стандартно она включена):
no ip dhcp snooping information option
Теперь укажем с каких интерфейсов разрешено пропускать DHCP пакеты от серверов:
interface TenGigabitEthernet3/3 ip dhcp snooping trust exit interface GigabitEthernet1/4 ip dhcp snooping trust exit
Отменить команду можно так:
no ip dhcp snooping trust
Можно указать адреса доверенных DHCP серверов:
ip dhcp-server 10.0.0.1 ip dhcp-server 10.0.0.2
Теперь включим DHCP Snooping:
ip dhcp snooping
Готово, на остальных интерфейсах, DHCP сервера автоматически будут блокироваться.
Рекомендую обратить на загрузку CPU после выполнения последней команды, так как в больших L3 сетях процессор может сильно грузится.
Можно установить лимит DHCP пакетов которое может получить интерфейс (по умолчанию не указано):
ip dhcp snooping limit rate
Просмотрим настройки, и прочую информацию (выйдя из режима конфигурации набрав exit):
show ip dhcp snooping show ip dhcp snooping detect spurious show ip dhcp snooping binding show ip dhcp snooping database show ip dhcp snooping statistics clear ip dhcp snooping statistics
Чтобы просмотреть информацию в режиме конфигурации нужно набрать перед командами do, например:
do show ip dhcp snooping
Можно также воспользоваться режимом отладки для DHCP Snooping и посмотреть записанную информацию в логах:
debug ip dhcp snooping packet no debug ip dhcp snooping packet debug ip dhcp snooping event no debug ip dhcp snooping event show logging
Замечу что в больших сетях режим отладки может также сильно нагрузить коммутатор.
Для коммутаторов серии Cisco Catalyst 6500 можно найти официальную документацию здесь — https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/snoodhcp.html
Смотрите также прочие мои статьи с тегом DHCP Snooping.