el 05-06-2014 10:01 AM
Hola tengo la duda de como configurar correctamente para contener el ataque de que alguien levante un segundo servidor DHCP en nuestra red lan.
El panorama es el siguiente:
Se tienen las vlan´s de Datos (500), Voz (300), Video(400), Wireless (600).
el servidor para usuarios esta en la vlan 500 y esta en la LAN
Pero los dhcp_server para las otras vlan no viven fisicamente en el sitio,
Los puertos de comunicacion de LAN-WAN como deberian estar configurados entonces como Trust???
asi como los puertos de comunicacion entre switches dentro de la LAN tambien deberian ser trust???
y como seria la configuracion en los casos donde el servidor de DHCP es el mismo switch de la LAN
Saludos
el 05-08-2014 08:20 AM
Buenas,
Simplemente miraló de esta forma:
Los puertos que comuniquen o lleven a los dispositivos hacia el DHCP Server debe ser configurado como Trust. Incluyendo links entre Switches, etc.
Por supuesto esto para cada VLAN por lo que DHCP Snooping tiene q ser habilitado a nivel de VLAN también.
Saludos
el 05-21-2014 08:13 AM
haremos el ejemplo en un switch para hacerlo mas entendido, suponiendo que en un switch viven la vlan 300,400,500 y 600.
primer paso, habilitas globalmente
Router(config)# ip dhcp snooping
para validar Router(config)# do show ip dhcp snooping | include hwaddr
segundo paso, habilitas la o las vlans que estas utilizando
Router(config)# ip dhcp snooping vlan {{vlan_ID [vlan_ID]} | {vlan_range}
para validar, Router(config)# do show ip dhcp snooping
tercer paso, agregas el trust dentro de la interface uplink
Router(config-if)# ip dhcp snooping trust
para validar Router(config-if)# do show ip dhcp snooping | begin pps
esto lo haces en cada switch o router que quieras habilitar el snooping.
te dejo la liga donde viene un poco mas explicado, saludos!!
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/snoodhcp.html
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad