Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo blog
70243
Visitas
47
ÚTIL
13
Comentarios

Configurando DHCP Snooping

Jose R. Torrico Gumucio
Level 1
Level 1
‎02-05-2016 03:57 PM

El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.

Un mensaje "no confiable" es un mensaje que es recibido desde fuera de la red o del Firewall y que puede ser parte de un ataque contra tu red.

La tabla de asociaciones DHCP Snooping contiene las direcciones MAC, direcciones IP, tiempo de arrendamiento, Tipo de asociación, número de VLAN e Interface que corresponde a las interfaces locales "no confiables" de un Switch, no contiene información de los hosts conectados a una interface "confiable".



En términos de seguridad una interface "no confiable" es una interface que está configurada para recibir mensajes desde fuera de la red local o actúa como un Firewall. Una interface "confiable" es una interface configurada para recibir solamente mensajes desde dentro de la red.

El DHCP Snooping actúa como un firewall entre los hosts "no confiables" y los servidores DHCP. 

También nos permite contar con una forma de diferenciar entre interfaces "no confiables" conectadas a usuarios finales e interfaces "confiables" conectadas a los servidores DHCP o a otro Switch.

Es posible configurar DHCP Snooping por Switch y por VLANs. Cuando se habilita el DHCP Snooping en un switch, una interface actúa como un bridge de capa 2 interceptando y salvaguardando los mensajes DHCP que se dirigen a una VLAN de capa 2. Cuando se habilita DHCP Snooping en una VLAN, el Switch actúa como un puente de capa 2 dentro del dominio de la VLAN.

El DHCP Snooping es necesario para prevenir los ataques de tipo "man-in-the-middle" en nuestras redes.  

Las redes modernas tienen el potencial para que un atacante intente instalar un DHCP Server falso y responder a los mensajes DHCPDISCOVER antes de que lo haga una servidor DHCP legítimo. El DHCP Snooping permite a los Switches en la red "confiar" en el puerto (la interface) al que está conectado el servidor DHCP legítimo (podría ser un puerto troncal) y "desconfiar" de los demás puertos.



También se mantiene una lista de asociaciones de direcciones DHCP que se logra inspeccionando el tráfico que fluye entre los clientes y el servidor DHCP, el cual provee certeza de quienes son los verdaderos hosts. La información de asociación recolectada por el DHCP Snooping es usada por otras características de seguridad como IPSG y DAI.


Los clientes se conectan a puertos "no confiables" (untrusted), todos los puertos son "no confiables" por defecto cuando se habilita el DHCP Snooping. Cuando la PC del cliente envía un mensaje DHCPDISCOVER y el DHCP Snooping está habilitado, el Switch solamente va a enviar el mensaje de broadcast DHCP a los puertos "confiables" (trusted).

En el ejemplo de la topología el Switch de distribución está actuando como DHCP Server. Un puerto "confiable" es el único puerto que tiene permitido enviar mensajes de repuesta DHCP como el DHCPOFFER.

Configurando DHCP Snooping en el Switch

Cuando se configura DHCP Snooping en el Switch, se está configurando el Switch para diferenciar entre interfaces "no confiables" e interfaces "confiables". Es necesario habilitar globalmente el DHCP Snooping antes de poder usarlo en una VLAN. Es necesario habilitar el DHCP Snooping independientemente de otras características de DHCP.
Una vez que está habilitado el DHCP Snooping, todos los comandos de configuración de opciones DHCP relay quedan deshabilitados, esto incluye a los siguientes comandos:
•ip dhcp relay information check
•ip dhcp relay information policy
•ip dhcp relay information trusted
•ip dhcp relay information trust-all


Para configurar DHCP Snooping puede usar estos comandos:


Comando
Propósito
 


Switch(config)# ip dhcp snooping

Habilita DHCP snooping globalmente. Puede usar la palabra clave no para deshabilitar el DHCP snooping.
 


Switch(config)# ip dhcp snooping vlan number 
[number] | vlan {vlan range}]

Habilita DHCP snooping en una VLAN o en un rango VLAN
 


Switch(config-if)# ip dhcp snooping trust

Configura la interface como "confiable".

Puede usar la palabra clave no para configurar una interface para recibir mensajes como cliente "no cofiable".
 


Switch(config-if)# ip dhcp snooping limit rate 
rate

Configura el numero de paquetes DHCP por segundo (pps) que una interface puede permitir.1 


Switch(config)# end

Sale del modo de configuración.
 


Switch# show ip dhcp snooping

Verifica la configuración de DHCP Snooping.

-----------------------


Post basado en el artículo: http://www.networksbaseline.in/search/label/DHCP Con aportes del editor del Blog y de las páginas:

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/prod_white_paper0900aecd802ca5d6.html

 http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/dhcp.html#wp1073418

 Traducido por José R. Torrico - Instructor Cisco Networking Academy

13 Comentarios
marcosf
Level 1
Level 1
‎08-16-2016 01:01 PM
‎08-16-2016 01:01 PM

buen artículo 

0 Útil
Jorge Aguilar
Level 1
Level 1
‎08-27-2016 11:31 AM
‎08-27-2016 11:31 AM

Muchas gracias, bastante interesante ahora que esta de moda man in the middle!

Saludos!

Jorge Aguilar

0 Útil
Alejandro Carlos
Level 1
Level 1
‎09-26-2016 05:08 PM
‎09-26-2016 05:08 PM

Exelente me quedo claro

gracias

0 Útil
aghernandez
Level 1
Level 1
‎12-01-2016 03:23 PM
‎12-01-2016 03:23 PM

Gracias por el aporte, excelente!

0 Útil
Luis Sampertegui
Level 1
Level 1
‎12-29-2016 08:44 AM
‎12-29-2016 08:44 AM

buena informacion no sabia del tema, saludos

0 Útil
jcastanos
Level 1
Level 1
‎04-25-2017 08:50 AM
‎04-25-2017 08:50 AM

gracias de antemano..

No indicas si es necesario nivel 3 o no.. Se puede hacer lo mismo en un 2960x si tienes varias vlan en un puerto?? yo creo que no.

El problema es que si tienes diferentes vlan en un puerto ( wifi) o similar puede no funcionar..

Aquí entiendo que solo te basas en VLAN unicas con puertos de acceso no el caso de que un puerto tenga varias vlan..

0 Útil
JRodriguezS1
Level 1
Level 1
‎05-19-2017 09:00 AM
‎05-19-2017 09:00 AM

he intentado replicar este ejercicio en el packet tracert  con 2 sw 3560  como distribucion  donde los coloco como ip dhcp relay information trust-all ,  adicionalmente tengo 2 sw 2960 como acceso donde realizo la configuracion con el ip dhcp snooping,  colocando los troncales como seguros  y los puertos de los hots con el ip dhcp snooping limite rate 20.  pero no entrega las direcciones desde el servidor.

quise replicarlo en la empresa donde trabajo y el mismo resultado.

en el packet-tracert me muestra el siguiente mensaje

DHCP Snooping: El conmutador recibe un mensaje DHCP DISCOVER en un puerto no confiable. El dispositivo no está configurado con un puerto funcional y de confianza. El dispositivo descarta el paquete.

estoy haciendo el ejercicio del ccnp 6, Chapter 6 Lab 6-1, Securing Layer 2 Switches

pero realmente no entiendo por que no me lo permite

0 Útil
Diana Karolina Rojas
Cisco Employee
Cisco Employee
‎05-22-2017 10:22 AM
‎05-22-2017 10:22 AM

¿Podrías adjuntar tu simulación para echarle un vistazo y ver si puedo colaborarte con algo? 

Saludos,

0 Útil
JRodriguezS1
Level 1
Level 1
‎05-26-2017 06:50 AM
‎05-26-2017 06:50 AM

si me puedes escribir a mi correo   rodriguezjorge75@gmail.com

imagino que tienes la practica del ccnp version 6 que es de donde estoy haciendo la simulación.

la clave de los switch en "class"

lab_6-1_securing_layer_2_switches.zip
0 Útil
JRodriguezS1
Level 1
Level 1
‎05-29-2017 06:44 AM
‎05-29-2017 06:44 AM

adjunto nuevamente el pt  

lab_6-1_securing_layer_2_switches_0.zip
0 Útil
Diana Karolina Rojas
Cisco Employee
Cisco Employee
‎05-30-2017 07:12 AM
‎05-30-2017 07:12 AM

Buenos días JRodriguez,

Te envío la configuración corregida, te comento que se solucionó excluyendo el comando "switchport port-security", realizando la configuración del DHCP snooping y solo cuando esta estuvo terminada volí a agregar el comando y funcionó sin inconvenientes, no sé si esto se deba a un bug o se deba al comportamiento intrínseco del port-security, en cualquier caso espero te ayude.

---No olvides marcar y/o calificar las respuestas útiles---

Saludos,

lab_6-1_securing_layer_2_switches_-_corregido.zip
JRodriguezS1
Level 1
Level 1
‎05-30-2017 10:45 AM
‎05-30-2017 10:45 AM

revisando la configuracion que me mandas,  observo que no esta habilitado el ip dhcp snooping  en los 2 switch ALS1  y ALS2,  al habilitarlo solo los puertos declarados como seguros reciben y pueden hacer solicitudes dhcp , que en este caso son los puertos troncales y presente el problema que he mencionado antes, la esencia del ejercicio es que los equiposs del ALS2  son equipos cambiantes digamos portatiles, en este switch no habilito el port-security y por eso requiero que no se conecte un dhcp server pirata en ese switch,  ese es el problema que veo,  ahora si habilito el port-security  en el puerto y aprende la mac dinamicamente al desconectar y conectar otro equipo deshabilita el puerto, claro si le declaro la violacion de esa manera.

gracias de todas formas,  no veo como aprovechar el dhcp snooping, este mismo error me lo dio en equipos reales 2950,2940,2960,4500

0 Útil
Pablo Foppiano
Level 1
Level 1
‎06-07-2017 08:45 AM
‎06-07-2017 08:45 AM

Estimado, te presento el siguiente escenario donde el dhcp snooping no hace nada... todos reciben IP. Alguna sugerencia?

Router 2921.
"Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(3)M5, RELEASE SOFTWARE"

ip dhcp relay information trust-all

ip dhcp excluded-address 192.168.5.1 192.168.5.5
ip dhcp excluded-address 192.168.6.1 192.168.6.5

ip dhcp pool 105

network 192.168.5.0 255.255.255.0
default-router 192.168.5.1
!

ip dhcp pool 106

network 192.168.6.0 255.255.255.0
default-router 192.168.6.1
!

interface GigabitEthernet0/1.10 #Administración

encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0
!

interface GigabitEthernet0/1.105

encapsulation dot1Q 105
ip address 192.168.5.1 255.255.255.0
!

interface GigabitEthernet0/1.106

encapsulation dot1Q 106
ip address 192.168.6.1 255.255.255.0
!

Switch 2960-XR
"Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E5, RELEASE SOFTWARE (fc2)"

ip dhcp snooping vlan 105
no ip dhcp snooping information option
ip dhcp snooping

interface GigabitEthernet0/1

switchport access vlan 105
switchport mode access
!

interface GigabitEthernet0/2

switchport access vlan 106
switchport mode access
!

interface GigabitEthernet0/24

switchport trunk allowed vlan 10,105-106
ip dhcp snooping trust
switchport mode trunk
!

interface Vlan10

ip address 192.168.1.2 255.255.255.0
!

El SW se conecta por un troncal con el Router. La notebook recibe IP estando en cualquier vlan de los primeros puertos..

Gracias. Saludos!

0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Artículos populares
Customers Also Viewed These Support Documents