DHCP Snooping

Na maioria das redes de hoje, os computadores obtem o endereço IP de forma dinamica

(DHCP):

Às vezes, pode acontecer de acidentalmente algum usuário conectar um dispositivo, por

exemplo, um Roteador D-Link (com serviço DHCP habilitado) em um ponto de rede comum.
Como esse roteador está mais próximo que o servidor DHCP da rede, todas as máquinas que
estão próximas a esse dispositivo vão aceitar o serviço DHCP oferecido por ele.

Isso pode ser feito também como forma de ataque. O atacante conecta um servidor DHCP
em um ponto da rede e responde a todas solicitações DHCP com o próprio IP como Gateway
padrão. Dessa forma, qualquer solicitação que os clientes fizerem de acesso à rede, o
atacante encaminha a solicitação para o Gateway real da rede e devolve a resposta para o
cliente, ficando com todo o tráfego de rede gerado pelo cliente:

Os Switches Catalyst tem uma opção chamada DHCP Snooping para bloquear servidores
DHCP indevidos na rede. Com o DHCP Snooping, as portas são configuradas
como trusted (confiável) ou untrusted (não confiável). Somente as portas do Switch que
forem configuradas como trusted (confiável) podem responder as solicitações de requisições.
Caso a porta do Switch que estiver configurada como untrusted (não confiável) receber
respostas para solicitações de requisição DHCP, a porta é desabilitada.

Para habilitar o DHCP Snooping é só usar o comando em modo de configuração global:

Cat3550(config)#ip dhcp snooping

É possível também habilitar o DHCP Snooping somente para VLANS específicas. Por exemplo,
para habilitar somente na VLAN 100:

Cat3550(config)#ip dhcp snooping vlan 100

Depois de habilitado o DHCP Snooping, é só acessar a interface que está conectada ao

servidor DHCP e configura-la como trusted (confiável):

Cat3350(config)# interface gigabitethernet 0/4

Cat3350(config-if)#ip dhcp snooping trust