DHCP Snooping und Dynamic ARP Inspection (DAI) sind klassische Layer-2-Sicherheitsfeatures auf Switches. Sie verhindern Rogue-DHCP-Server und ARP-Spoofing, indem sie DHCP- und ARP-Traffic direkt am Access-Port kontrollieren. Auf Router-Seite ist das nur teilweise relevant: Router sind in der Regel Layer-3-Gateways und sehen nicht den gesamten Layer-2-Clientverkehr. Trotzdem gibt es wichtige Schnittstellen-Themen: DHCP Relay (ip helper-address), ARP-Schutz am Gateway, Port-Security-Ersatz durch L3-Policies und die korrekte Zusammenarbeit mit dem Switch (Trusted Ports, DHCP Option 82, Binding-Table).
Kurzdefinition: Was DHCP Snooping und DAI eigentlich tun
Beide Funktionen wirken auf Layer 2 und setzen am Switch-Port an, an dem Endgeräte angeschlossen sind. Genau deshalb sind sie so effektiv: Sie stoppen Angriffe, bevor sie das Netz durchdringen.
- DHCP Snooping: blockiert unerlaubte DHCP-Server (Antworten nur von „trusted“ Ports)
- DAI: prüft ARP-Pakete gegen eine Binding-Table und blockiert ARP-Spoofing
- Binding-Table: Zuordnung von MAC ↔ IP ↔ VLAN ↔ Port, typischerweise aus DHCP Snooping
Warum das primär Switch-Features sind (und Router sie nicht ersetzen)
Router stehen meist nicht am Access-Port. Sie routen zwischen VLANs/Subnetzen und sehen nur Traffic, der zum Gateway oder in andere Netze geht. DHCP Snooping/DAI müssen aber direkt dort sitzen, wo Endgeräte angeschlossen sind.
- Access-Port-Kontrolle erfordert Layer-2-Sicht (MAC/Port/VLAN)
- Router sehen nicht, welcher Client an welchem Switch-Port hängt
- Angriffe wie Rogue DHCP/ARP Spoofing passieren im lokalen Broadcast-Domain
Was auf Router-Seite trotzdem relevant ist
Auch wenn Snooping/DAI am Switch passieren, muss der Router als Default Gateway und DHCP-Relay sauber eingebunden werden. Fehler in der Router-Konfiguration führen sonst zu „DHCP geht nicht“ oder zu falschem Trust-Design am Switch.
- DHCP Relay (wenn der DHCP-Server nicht im VLAN steht)
- Gateway-ARP-Verhalten (Proxy ARP, ARP-Timeouts, ARP-Inspection-Interaktion)
- Kontrolle von DHCP-Optionen (z. B. Option 82, wenn eingesetzt)
- L3-Sicherheitskontrollen: ACLs, uRPF, Control Plane Policing
DHCP Relay auf Router: ip helper-address richtig einsetzen
Wenn der DHCP-Server zentral steht und Clients in anderen VLANs sind, brauchst du DHCP Relay. Der Router nimmt Broadcast-DHCP (DISCOVER) entgegen und leitet es als Unicast an den DHCP-Server weiter.
Beispiel: DHCP Relay auf einem VLAN-Interface
Router# configure terminal
Router(config)# interface gigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# ip helper-address 192.168.100.10
Router(config-subif)# endWichtig: Helper leitet mehrere UDP-Services weiter
ip helper-address forwardet standardmäßig mehrere UDP-Ports (z. B. TFTP). Wenn du das nicht willst, solltest du gezielt DHCP-Forwarding kontrollieren.
Router# show running-config | include ip forward-protocol|ip helper-addressDHCP Snooping Trust-Design: Router-Uplink muss „trusted“ sein
In einem Snooping-Design markierst du Switch-Uplinks (zum Router, zu DHCP-Servern) als „trusted“. Auf untrusted Access-Ports werden DHCP-Server-Antworten verworfen. Der Router selbst muss dabei meist nichts „Snooping-spezifisch“ tun – aber er muss als legitimer Relay-Pfad funktionieren.
- Switch-Port zum Router/Uplink: trusted
- Access-Ports zu Clients: untrusted
- DHCP-Server-Antworten dürfen nur über trusted Ports kommen
DAI und Router-Gateway: ARP am Default Gateway sauber halten
DAI prüft ARP gegen die Binding-Table. Der Router als Gateway ist dabei ein Sonderfall: er nutzt ARP für die eigene Interface-IP (SVI/Subinterface). Wenn ARP-Policies falsch sind, kann es zu „komischen“ Connectivity-Problemen kommen.
Router-seitige Best Practices im VLAN
no ip proxy-arpim Client-VLAN, wenn nicht benötigt- Gateway-IP statisch und konsistent (kein „wechselndes Gateway“)
- Keine unnötigen L2-„Tricks“, die ARP-Tabellen verwirren
Beispiel: Proxy ARP deaktivieren (typisch für sauberes Design)
Router# configure terminal
Router(config)# interface gigabitEthernet0/0.10
Router(config-subif)# no ip proxy-arp
Router(config-subif)# endOption 82 (DHCP Relay Information): Wann Router das betrifft
In vielen Netzen fügt der Switch (oder Relay) Option 82 hinzu, um Standort/Port-Informationen an den DHCP-Server zu übermitteln. Das kann Security- und Policy-Designs unterstützen, kann aber auch DHCP „brechen“, wenn der Server Option 82 nicht akzeptiert.
- Option 82 kann vom Switch oder Relay eingefügt werden
- DHCP-Server muss Option 82-Policy kennen (accept/replace/drop)
- Fehlerbild: DHCP DISCOVER geht raus, OFFER kommt nie an
Router/Relay Troubleshooting bei DHCP-Problemen
Router# show ip interface gigabitEthernet0/0.10
Router# show running-config interface gigabitEthernet0/0.10
Router# show ip route 192.168.100.10
Router# show loggingRouter-seitige Alternativen: Was du statt Snooping/DAI tun kannst
Wenn du Router-only unterwegs bist oder zusätzliche Absicherung willst, helfen L3-Controls. Sie verhindern nicht jeden L2-Angriff im VLAN, reduzieren aber Impact und Angriffsfläche.
- ACLs zwischen VLANs (Segmentierung, Least Privilege)
- uRPF gegen Source-IP-Spoofing (wo Routing symmetrisch ist)
- CoPP/CPPr, um CPU vor Floods zu schützen
- Management-Hardening (VTY ACL, AAA, SSH-only)
uRPF als Router-Spoofing-Schutz (Prinzip)
Router# configure terminal
Router(config)# interface gigabitEthernet0/0.10
Router(config-subif)# ip verify unicast source reachable-via rx
Router(config-subif)# endTypische Fehlerbilder: Wenn DHCP Snooping/DAI „plötzlich“ DHCP killt
In vielen Fällen wird Snooping/DAI aktiviert, aber Trust-Ports oder DHCP Relay sind nicht korrekt. Dann wirkt es wie „Router-Problem“, ist aber ein L2-Policy-Problem.
- Uplink zum Router/DHCP-Server nicht trusted → DHCP OFFER wird gedroppt
- Relay falsch (helper auf falschem Interface/VLAN) → Discover erreicht Server nicht
- Option 82 wird eingefügt, DHCP-Server dropt → keine Leases
- DAI aktiv, aber Binding-Table leer/statisch falsch → ARP wird geblockt
Router-Checks zur Abgrenzung
show ip interface brief
show running-config | include ip helper-address
show ip route
ping 192.168.100.10
show arpPraxisempfehlung: Zuständigkeiten sauber trennen
Ein robustes Design setzt DHCP Snooping und DAI am Switch-Access um und sorgt auf Router-Seite für sauberes L3-Gateway- und Relay-Verhalten. So bekommst du maximale Wirkung ohne unerwartete Nebenwirkungen.
- Switch: Snooping/DAI + Trusted Uplinks + Binding-Table
- Router: DHCP Relay korrekt, Proxy ARP nur wenn nötig, klare ACLs
- Betrieb: Verifikation und Logging auf beiden Ebenen
Konfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
