DHCP(Dynamic Host Configuration Protocol), ağdaki cihazlarımıza otomatik olarak IP, DNS, Default Gateway bilgilerini dağıtan servistir. Ağa yeni bir cihaz katıldığında, kablo takılır takılmaz IP almak için Broadcast yayın yapar. Eğer ortamda DHCP servisi varsa o da karşılık verir. Toplam 4 aşamada IP alma işlemi tamamlanır.
Bu paketler Broadcast paketler olduğu için ağdaki herkese ulaşır bu da her zaman için iyi olmayabilir. Örneğin bir network yapısında iki DHCP server aynı anda çalışabilir. Biri istenmeyen, kötü niyetli de olabilir ve cihaza istediği IP, DNS, Default Gateway bilgisi dağıtarak, trafiği istenmeyen şekilde etkileyebilir. DHCP Snooping’i aktif hale getirmek gerekir. DHCP Server’ın kim ve switch’in hangi portundan bağlı olduğunu bildiğimiz için, switch’e bunu öğretebiliriz ve bu sayede bu kötü senaryonun önüne geçmiş oluruz. DHCP Snooping’in yaptığı ise belirli bir port veya portlar üzerinden DHCP trafiğine izin verir geri kalanını engeller.
Uygulama
Topoloji:
Yukarıdaki yapıda henüz IP adresi almamış 3 cihaz 2 de DHCP Server bulunuyor.
Statik IP Tanımlama
Server1
Server2
DHCP Pool Oluşturma
Server1
Server2
IP Alma Testi
PC1:
PC2:
PC3:
PC1 ve PC3’de istenmeyen durum gerçekleşti ve sahte olarak yapılandırdığımız DHCP Server’dan IP aldı. Şimdi bunu engellemek için DHCP Snooping’i aktif edip doğru olandan IP almalarını sağlayacağız. Doğru olan Server Fa0/4 portuna bağlı olduğunu biliyoruz.
Switch1:
Switch>enable
Switch#configure terminal
Switch(config)#ip dhcp snooping # DHCP Snooping etkin.
Switch(config)#ip dhcp snooping vlan 1 # Bizim tek vlan'ımız olduğu için.
Switch(config)#interface fastEthernet 0/1 # Bu port güvenli.
Switch(config-if)#ip dhcp snooping trustDHCP Snooping Doğrulama
PC1:
PC3:
Bu cihazlar da artık doğru DHCP Server’dan IP almış oldular.
Teşekkürler,
İyi Çalışmalar.