- DHCP Snooping= Es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping. Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.
https://www.youtube.com/watch?v=2eNsoS9Ri6w
https://capa3.es/dhcp-snooping-prevencion-de-ataques-dhcp.html
- DHCP Relay= Es un dispositivo que recibe las solicitudes de los clientes en formato de broadcast y las reenvía como unicast a la dirección del servidor DHCP.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/15-sy/dhcp-15-sy-book/dhcp-relay-agent.html
- VLAN 1= ¿Cuáles son las características específicas de esta VLAN 1?
- La VLAN 1 no puede modificarse ni eliminarse.
- Todos los puertos están por defecto configurados como miembros de esta VLAN.
En este practico queremos asegurar la integridad de la red de forma que solo se respondan las peticiones (broadcast) de DHCP desde el equipo "PC" mediante el router "DHCP" y no el router "Rogue-DHCP" esto con la finalidad de garantizar que en el supuesto de que se conectase otro router/equipo que pudiese repartir DHCP a la red, estos se cataloguen como no confiables y por ende sean omitidos a la hora de responder a la petición de IP por parte de los equipos finales.
Comenzaremos por el Router DHCP:
DHCP(config)#ip dhcp relay information trust-all [le decimos que todas las interfaces de este router sean de confiar en cuanto a sus DHCP relay]
DHCP(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10
DHCP(config)#ip dhcp pool lan
DHCP(dhcp-config)#network 10.0.0.0 255.255.255.0
DHCP(dhcp-config)#default-router 10.0.0.1
DHCP(config)#interface FastEthernet 0/0
DHCP(config-if)#ip add 10.0.0.1 255.255.255.0
DHCP(config-if)#no shutdown
Seguimos con el Switch SW:
SW(config)#ip dhcp snooping [habilitamos DHCP snooping]
SW(config)#ip dhcp snooping vlan 1 [hace el DHCP snooping en la vlan 1, ya que todos los puertos están por defecto configurados como miembros de esta VLAN (es como decirle que en trabaje en todo el switch)]
SW(config)#interface GigabitEthernet 0/0
SW(config-if)#ip dhcp snooping trust [queremos confiar en los servidores DHCP que conecten únicamente mediante esta interfaz]
SW(config-if)#no shutdown
Pasamos al Router Rogue-dhcp (el cual se configura normal como si fuera otro DHCP Server):
rogue-dhcp(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.100
rogue-dhcp(config)#ip dhcp pool lan
rogue-dhcp(dhcp-config)#network 10.0.0.0 255.255.255.0
rogue-dhcp(dhcp-config)#default-router 10.0.0.1
rogue-dhcp(config)#interface FastEthernet 0/0
rogue-dhcp(config-if)#ip add 10.0.0.2 255.255.255.0
rogue-dhcp(config-if)#no shutdown
Terminamos enviando una peticion DHPC desde el router PC:
PC(config)#no ip routing [para que opere como equipo final/PC]
PC(config)#interface FastEthernet 0/0
PC(config-if)#ip address dhcp
PC(config-if)#no shutdown
%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 10.0.0.11, mask 255.255.255.0, hostname PC
Desde el switch SW debería ser:
SW#show ip dhcp snooping
Comprobamos lease DCHP Snooping:
Desde el switch SW debería ser:
SW#show ip dhcp snooping binding
Comprobamos lease DCHP:
Desde el router PC debería ser:
PC#show dhcp lease
Comando adicionales vistos en esta configuración:
-IP ADD
-HOSTNAME
-NO IP ROUTING
-DHCP
-VLAN's
Comentarios
Publicar un comentario