Cisco 스위치에서 Rogue DHCP(허가받지 않은 DHCP)서버차단.
이상증상: PC에 고정 IP를 설정하였으나, ipconfig 명령으로 확인해 보면 IP주소가 설정한대로 바뀌지 않고, 특정 IP주소로 설정되어 통신 안되는 현상 발생햇다. IP공유기의 LAN포트가 스위치에 연결되어 있어 IP공유기가 DHCP서버(Rogue DHCP)로 동작하는것으로 추정되지만 확인 불가능. PC는 시스코 스위치(C3550)에 연결되어 있다. 이에 스위치에서 Rogue DHCP를 차단하기로 함.
스위치에서 dhcp를 차단하기위해서는 dhcp snooping기능을 활성화 하면 된다. 먼저, 아래처럼 dhcp snooping 기능이 동작중인지 확인해 본다.
Switch #show ip dhcp snooping
Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
Switch #show ip dhcp snooping statistics
Packets Forwarded = 0
Packets Dropped = 0
Packets Dropped From untrusted ports = 0
위의 결과를 보면, DHCP snooping 기능이 중지되어 있는 것을 알 수 있다.
이제, 아래 명령어로 DHCP snooping을 활성화하고, vlan 211에 적용되도록 한다.
Switch #conf t Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#ip dhcp snooping Switch (config)#ip dhcp snooping vlan 211 Switch (config)#end May 23 11:36:21: %DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port, message type: DHCPACK, MAC sa: c83a.3549.d288 May 23 11:36:52: %DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port, message type: DHCPACK, MAC sa: c83a.3549.d288 Switch #
이렇게 하면, Rogue DHCP를 차단할 수 있으며, 이 경우는 위와같은 메시지가 출력되었다.
dhcp snooping 통계를 보면, 아래와같이 34개의 패킷이 차단된것을 알 수 있다.
Switch #show ip dhcp snooping statistics Packets Forwarded = 444 Packets Dropped = 34 Packets Dropped From untrusted ports = 34
IP 주소 설정이 안되던 PC는 이후 정상 작동함.
참고: DHCP 서버를 허용하려면?
만약, 정상적인 DHCP서버가 fa0/1에 연결되어 있고 이를 허용하려면 아래와 같이 fa0/1을 trust 포트로 설정하면 된다.
Switch (config)#int fa0/1 Switch (config-if)#ip dhcp snoop Switch (config-if)#ip dhcp snooping trust Switch (config-if)#end
이제, fa0/1에 연결된 DHCP서버는 이용이 가능하게 된다.
Switch #show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
211
DHCP snooping is operational on following VLANs:
211
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 yes unlimited
15번 포트에 연결된 PC가 DHCP서버로부터 IP주소 192.168.0.41을 할당 받은 것을 볼 수 있다.
Switch #show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:21:CC:D3:79:2F 192.168.0.41 6969 dhcp-snooping 211 FastEthernet0/15 Total number of bindings: 1