* DHCP Snooping 이란?
- Snooping은 '기웃거리다, 염탐하다, 훔쳐보다' 라는 의미로 DHCP 패킷의 내용을 중간에 가로채서 훔쳐보거나 염탐하는 사용자가 있을 수 있다. 모든 장비에서 DHCP 패킷의 응답을 뿌리게 되면 네트워크가 불안정해질 수 있으므로 Snooping 기능을 통해 신뢰되는 인터페이스를 제외한 나머지 모든 포트는 응답을 차단 시켜주어야 한다.
# EVE-NG를 통한 시뮬레이션
L2 스위치에서 IP DHCP Snooping 기능을 활성화 시키는 방법은 다음과 같다.
e0/0 =trust 나머지 포트=차단
Switch(config)#int ran e 0/1-3
Switch(config-if-range)#ip dhcp snooping limit rate 15
Switch(config-if-range)#end
Switch(config)#int e0/0
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#end
Switch#show ip dhcp snooping
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is operational on following VLANs:
10
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: aabb.cc00.1000 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
Ethernet0/0 yes yes unlimited
Custom circuit-ids:
Ethernet0/1 no no 15
Custom circuit-ids:
Ethernet0/2 no no 15
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
Custom circuit-ids:
Ethernet0/3 no no 15
Custom circuit-ids: Custom circuit-ids:
Switch#show ip dhcp snooping statistics
Packets Forwarded = 35
Packets Dropped = 0
Packets Dropped From untrusted ports = 0
'IT 인프라 > 네트워크, 보안 솔루션' 카테고리의 다른 글
| Native VLAN (0) | 2024.10.02 |
|---|---|
| [Cisco, Secui] Secui MF2-VPN 이중 구축 (0) | 2024.10.02 |
| [Cisco] Bridge-group Port 설정 (0) | 2024.05.23 |
| [CUCM] CUCM에 전화기 등록하기 (0) | 2024.05.22 |
| ACL 정책을 이용한 관리자 접근 제한 (0) | 2024.05.03 |
