Отслеживание DHCP-сообщений — это функция Cisco Catalyst, которая определяет, какие порты коммутатора могут отвечать на запросы DHCP. Порты определяются как надёжные и ненадёжные. Надёжные порты могут получать все сообщения DHCP, включая предложение DHCP и подтверждение DHCP, а ненадёжные порты могут получать только запросы. Надёжные порты могут выполнять роль DHCP-сервера или служить восходящим каналом к серверу DHCP. Если постороннее устройство, подключенное к ненадёжному порту, пытается отправить в сеть пакет предложения DHCP, порт выключается. Данную функцию можно использовать совместно с параметрами DHCP, в результате чего данные коммутатора, например идентификатор порта DHCP-запроса, можно вставить в пакет DHCP-запроса.
Как показано на рис. 1 и 2, ненадёжные порты — это порты, которые не были специально настроены как надёжные. Для ненадёжных портов создается таблица привязок DHCP. Каждая запись содержит MAC-адрес клиента, IP-адрес, срок аренды, тип привязки, номер VLAN и идентификатор порта, записанный при создании клиентами DHCP-запросов. В дальнейшем таблица используется для фильтрации последующего трафика DHCP. С точки зрения функции отслеживания DHCP, через ненадежные порты доступа не должны отправляться никакие сообщения DHCP-сервера.
Следующие шаги иллюстрируют, каким образом необходимо настраивать отслеживание DHCP на коммутаторе Catalyst 2960.
Шаг 1. Включите отслеживание DHCP с помощью команды режима глобальной конфигурации ip dhcp snooping.
Шаг 2. Включите отслеживание DHCP для определённых сетей VLAN с помощью команды ip dhcp snooping vlan номер сети.
Шаг 3. Определите порты в качестве надёжных на уровне интерфейса с помощью команды ip dhcp snooping trust.
Шаг 4. (Дополнительно) Ограничьте частоту, с которой злоумышленник может непрерывно рассылать ложные DHCP-запросы через ненадёжные порты на DHCP-сервер с помощью команды ip dhcp snooping limit rate значение частоты.