Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1846
Visitas
0
ÚTIL
2
Respuestas

Configuracion de DHCP Snooping

davidalcantaramontoya
Level 1
Level 1

el ‎05-06-2014 10:01 AM

Hola tengo la duda de como configurar correctamente para contener el ataque de que alguien levante un segundo servidor DHCP en nuestra red lan.

El panorama es el siguiente:

Se tienen las vlan´s de Datos (500), Voz (300), Video(400), Wireless (600).

el servidor para usuarios esta en la vlan 500 y esta en la LAN

Pero los dhcp_server para las otras vlan no viven fisicamente en el sitio,

Los puertos de comunicacion de LAN-WAN como deberian estar configurados entonces como Trust???

asi como los puertos de comunicacion entre switches dentro de la LAN tambien deberian ser trust???

y como seria la configuracion en los casos donde el servidor de DHCP es el mismo switch de la LAN

 

Saludos

Etiquetas:
0 Útil
2 RESPUESTAS 2

Julio Carvajal
VIP Alumni
VIP Alumni

el ‎05-08-2014 08:20 AM

Buenas,

 

Simplemente miraló de esta forma:

 

Los puertos que comuniquen o lleven a los dispositivos hacia el DHCP Server debe ser configurado como Trust. Incluyendo links entre Switches, etc.

Por supuesto esto para cada VLAN por lo que DHCP Snooping tiene q ser habilitado a nivel de VLAN también.

Saludos

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC
0 Útil

Dan Isai Cortez Castro
Level 1
Level 1

el ‎05-21-2014 08:13 AM

haremos el ejemplo en un switch para hacerlo mas entendido, suponiendo que en un switch viven la vlan 300,400,500 y 600.

primer paso, habilitas globalmente

Router(config)# ip dhcp snooping

para validar Router(config)# do show ip dhcp snooping | include hwaddr

 

segundo paso, habilitas la o las vlans que estas utilizando

Router(config)# ip dhcp snooping vlan {{vlan_ID [vlan_ID]} | {vlan_range}

para validar, Router(config)# do show ip dhcp snooping

 

tercer paso, agregas el trust dentro de la interface uplink

Router(config-if)# ip dhcp snooping trust

para validar Router(config-if)# do show ip dhcp snooping | begin pps

 

esto lo haces en cada switch o router que quieras habilitar el snooping.

te dejo la liga donde viene un poco mas explicado, saludos!!

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/snoodhcp.html

0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Documentos General Discusiones General Videos General
Customers Also Viewed These Support Documents