시스코 스위치에서 Rogue DHCP 서버 차단하기.

Cisco 스위치에서 Rogue DHCP(허가받지 않은 DHCP)서버차단.

이상증상: PC에 고정 IP를 설정하였으나, ipconfig 명령으로 확인해 보면 IP주소가 설정한대로 바뀌지 않고, 특정 IP주소로 설정되어 통신 안되는 현상 발생햇다. IP공유기의 LAN포트가 스위치에 연결되어 있어 IP공유기가 DHCP서버(Rogue DHCP)로 동작하는것으로 추정되지만 확인 불가능. PC는 시스코 스위치(C3550)에 연결되어 있다. 이에 스위치에서 Rogue DHCP를 차단하기로 함.


스위치에서 dhcp를 차단하기위해서는 dhcp snooping기능을 활성화 하면 된다. 먼저, 아래처럼 dhcp snooping 기능이 동작중인지 확인해 본다.

위의 결과를 보면, DHCP snooping 기능이 중지되어 있는 것을 알 수 있다.

이제, 아래 명령어로 DHCP snooping을 활성화하고, vlan 211에 적용되도록 한다.

이렇게 하면, Rogue DHCP를 차단할 수 있으며, 이 경우는 위와같은 메시지가 출력되었다.

dhcp snooping 통계를 보면, 아래와같이 34개의 패킷이 차단된것을 알 수 있다.

IP 주소 설정이 안되던 PC는 이후 정상 작동함.

참고: DHCP 서버를 허용하려면?
만약, 정상적인 DHCP서버가 fa0/1에 연결되어 있고 이를 허용하려면 아래와 같이 fa0/1을 trust 포트로 설정하면 된다.

이제, fa0/1에 연결된 DHCP서버는 이용이 가능하게 된다.

15번 포트에 연결된 PC가 DHCP서버로부터 IP주소 192.168.0.41을 할당 받은 것을 볼 수 있다.

참고문서: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_52_se/configuration/guide/3750scg/swdhcp82.html#wp1058138

댓글 남기기

Your email address will not be published.

%d 블로거가 이것을 좋아합니다: