DHCP Snooping: Basic Concepts and Configuration

-

 

DHCP Snooping: Basic Concepts and Configuration

Video Link:        https://youtu.be/eeeYQ8eERdc



 Let's start guys.


We will configure our Main DHCP server, which is a valid/Trusted DHCP server

DHCP-Server

R1(config)#hostname DHCP-Server

DHCP-Server(config)#int f0/0

DHCP-Server(config-if)#ip add 10.1.1.1 255.255.255.0

DHCP-Server(config-if)#no sh

DHCP-Server(config-if)#exit

 

DHCP-Server(config)#ip dhcp pool Trusted-Network

DHCP-Server(dhcp-config)#network 10.1.1.0 255.255.255.0

DHCP-Server(dhcp-config)#default-router 10.1.1.1

DHCP-Server(dhcp-config)#dns-server 8.8.8.8

DHCP-Server(dhcp-config)#do wr

 

All Client PC will get IP info from 10.1.1.0 network of that DHCP Server’s pool.

Now, think, anyone has come with a rogue dhcp server, which is configured as below.


Rogue-DServer

R2(config)#hostname Rogue-DServer

Rogue-DServer(config)#int f0/0

Rogue-DServer (config-if)#ip add 10.2.2.2 255.255.255.0

Rogue-DServer (config-if)#no sh

Rogue-DServer (config-if)#exit

 

Rogue-DServer (config)#ip dhcp pool untrust-network

Rogue-DServer (dhcp-config)#network 10.2.2.0 255.255.255.0

Rogue-DServer (dhcp-config)#default-router 10.2.2.2

Rogue-DServer(dhcp-config)#dns-server 8.8.8.8

Rogue-DServer(dhcp-config)#do wr

 

Now what will happen for the client PC’s?

Client will get from 2 DHCP server. They will from valid server as well as from rogue DHCP server. See below images


 




 

 It is a security problem. So now, we will solve it Insha-Allah. Ok dear.

!!!!!!!!!!!!!!!!!!!!!                                  Be cheerful                             !!!!!!!!!!!!!!!!!!!!!!

We will use a Layer-2 switch to configure snooping. So that, Switch will be allowed only trusted DHCP port, not any other ports unnecessarily.

L2-SW-1

L2-SW-1>en

L2-SW-2#conf t

L2-SW-1(config)#hostname snooping-sw

snooping-sw (config)#ip dhcp snooping

snooping-sw(config)#ip dhcp snooping  vlan 1

 

snooping-sw(config-if)#int g0/0    ; [Here e0 means g0/0, you can see your interface label]

snooping-sw(config-if)# ip dhcp snooping trust

snooping-sw(config-if)#ip dhcp snooping limit rate 100

snooping-sw(config-if)#do sh ip dhcp snooping

 

 

When we enable “ip dhcp snooping” command on the switch, it will insert option 82 information to provide additional information about the client to the server. As well as switch will make GIADDRESS as 0.0.0.0

The problem with this is, whenever the router, which is acting as DHCP server or DHCP Relay agent, receives any DHCP message with GIADDRESS value 0.0.0.0 it drops the packet.

In order to prevent this either remove option 82 information on the switch by using the following command

L2-Sw-1

snooping-sw(config) no  ip dhcp snooping information option

 

If you want to allow the DHCP packets with GIADDRESS 0.0.0.0 on DHCP server or Relay Agent, simply configure command

DHCP-Server

DHCP-Server (config)#ip dhcp relay information trust-all

 

Now, we can check our client’s IP information.




Now, our Problem is solved.

Alhamdulillah.

 


 

Comments

  1. Rekha RoyDecember 26, 2021 at 8:42 AM

    Red Prism Group ins one of the best Django coaching in Noida. Learn Django from industry expert with practical training, live projects and got your certificate.

    ReplyDelete

Post a Comment

Popular posts from this blog

Some Questions for MTCNA Exam

-
Image
  ** Some Questions for MTCNA Exam **  ## Link for testing your skill for MTCNA: https://www.proprofs.com/quiz-school/story.php?title=ODQzMzMy1LXH 1.  Choose correct statements for MikroTik proxy (MULTI) A. Controls domains or servers which are allowed to cache by Proxy B. To deny access to a specific website, caching should be enabled C. Destination NAT rule is required to utilize transparent proxy facility D. Can deny access to a specific domains or servers, but not specific web pages 2.  What can be used as ’target-address’ in the simple queue? (ONE) A. server’s address B. client’s address C. client’s MAC address D. address list name 3.  A MikoTik PPPoE Server can be used only within a broadcast domain, that is, users can not run PPPoE protocol with a server if there is a router between the customer and that PPPoE server. TRUE / FALSE 4.   What is the minimal possible wireless configuration to create an Access Point? (ONE) A. ssid B. DFS mode C. radio name D. scan-list E. band F. WD
Read more

ডিপ্লোমা লেভেল এর ইন্ডাস্ট্রিয়াল এটাচমেন্ট এ আসার পূর্বে একটু ভেবে আসার অনুরোধ রইলো

-
Image
আসসালামু আলাইকুম , আইটি বাংলাদেশ এর পক্ষ থেকে আপনাদেরকে স্বাগতম। আশা করি আপনারা ভালো ভাবে পড়াশোনা করছেন।  আপনারা অনেকেই ইন্ডাস্ট্রিয়াল এটাচমেন্ট এ আইটি বাংলাদেশ এ আসার জন্য আগ্রহ প্রকাশ করছেন।  সেটা সত্যি আমাদের জন্য ভালো লাগার বিষয়।  তবে কিছু  বিষয় আপনাদের কে জানিয়ে রাখা ভালো মনে করছি । আপনারা  যদি আইটি বাংলাদেশ এ আসেন তাহলে মন মানুষিকতা একটু পরিবর্তন করে আসার চেষ্টা করবেন।               আইটি বাংলাদেশ এর পক্ষ থেকে আপনাদেরকে সেই বিষয় গুলো একটু জানাচ্ছি      ১) আপনি জব না নিয়ে ঢাকা ছেড়ে বাবা মার্ কাছে যাবেন না নেহাত একদম দরকার না হলে। আর তাছাড়া এইবার জুলাই মাসের ২-৩ তারিখ থেকে আমরা স্টার্ট করবো , তাই কুরবানী ঈদ শেষ করে আসতে পারছেন আপনারা।  তাই ৩ - ৪ মাস বাড়ি না গেলেও প্রব্লেম হবার কথা না। বাসায় বাবা মা কে  বলে আসবেন, প্রব্লেম হবার কথা না।        ২) মুশফিক স্যার  ( আইটি বাংলাদেশ এর পরিচালক )   যেভাবে বলে সেইভাবে কাজ করার জন্য দৃঢ় প্রতিজ্ঞাবদ্ধ হয়ে আসবেন।   হাজার কষ্ট হলেও কাজ শেষ করবেন। সামন্য মাথা ব্যাথা , পেট ব্যাথা , জ্বর এইগুলোর দোহাই দিয়ে ক্লাস মিস করতে পারবেন না। যত কষ্টই হোক,
Read more

Basic Router & Switch IOS commands

-
Image
  Video Links: Purpose Command To See running config file Show    running-config    or sh  run   Displays configuration saved in NVRAM Show   startup-config To see IP info of interfaces Show   ip interface brief      To see statistics of all interfaces Show   interfaces To see specific item from  running configuration                            Show interface f0/0   [ Only see the info of the specific interface f0/0 ] sh  run  | section  line  [ Only see the info of all line sections ] * If you want to see only DHCP section, nothing else sh  run  | section  dhcp show run | begin ip [ If you want to see from that line where 'ip' word is present to last line ] show run | exclude ip [If you want to see all lines but not to expect ip word related lines] show run | include ip [If you want to see all lines only included ip word related lines, not others]
Read more