March 28, 2026

16.7 DHCP Snooping verständlich erklärt

DHCP Snooping ist eine wichtige Sicherheitsfunktion auf Switches, mit der sich DHCP-Verkehr gezielt überwachen und kontrollieren lässt. In vielen Netzwerken erhalten Clients ihre IP-Konfiguration automatisch per DHCP. Genau diese Bequemlichkeit bringt jedoch auch ein Risiko mit sich: Wenn ein unerlaubter oder falsch konfigurierter DHCP-Server im Netzwerk auftaucht, können Clients falsche IP-Adressen, Gateways oder DNS-Server erhalten. Das führt nicht nur zu Verbindungsproblemen, sondern kann auch gezielt für Angriffe genutzt werden. DHCP Snooping schützt an dieser Stelle die Access-Schicht des Netzwerks. Die Funktion unterscheidet zwischen vertrauenswürdigen und nicht vertrauenswürdigen Ports und erlaubt DHCP-Server-Antworten nur dort, wo sie tatsächlich herkommen dürfen. Wer Layer-2-Sicherheit auf Switches verstehen möchte, sollte DHCP Snooping deshalb als grundlegenden Schutzmechanismus kennen.

Table of Contents

Was ist DHCP Snooping?

DHCP Snooping ist eine Sicherheitsfunktion auf Switches, vor allem in Cisco-Umgebungen, die DHCP-Nachrichten überwacht und filtert. Ziel ist es, nur legitimen DHCP-Servern zu erlauben, DHCP-Antworten ins Netzwerk zu senden. Dazu markiert der Switch bestimmte Interfaces als trusted oder untrusted.

Einfach erklärt bedeutet das: Der Switch beobachtet den DHCP-Verkehr und prüft, von welchem Port DHCP-Server-Antworten kommen. DHCP-Angebote oder Bestätigungen von nicht vertrauenswürdigen Ports werden blockiert. So wird verhindert, dass Clients von einem unerlaubten DHCP-Server konfiguriert werden.

Die Grundidee von DHCP Snooping

  • DHCP-Nachrichten werden auf dem Switch kontrolliert
  • Nur definierte Ports dürfen als DHCP-Server auftreten
  • Unerlaubte DHCP-Antworten werden verworfen
  • Die Funktion schützt besonders die Access-Schicht im LAN

Warum DHCP ein Sicherheitsrisiko sein kann

DHCP ist für Clients normalerweise ein automatischer und unsichtbarer Dienst. Genau deshalb ist ein falscher DHCP-Server besonders gefährlich: Endgeräte vertrauen auf die erhaltene Netzwerkkonfiguration, ohne dass der Benutzer die Parameter manuell prüft. Wenn ein unerlaubtes Gerät im LAN DHCP-Antworten sendet, kann es Clients absichtlich oder unabsichtlich falsch konfigurieren.

Ein einfacher Heimrouter, ein falsch eingestellter Access Point, eine VM mit aktiviertem DHCP-Dienst oder ein bewusst eingesetztes Angreifergerät können bereits ausreichen, um ein Segment zu stören. Clients erhalten dann vielleicht eine falsche IP-Adresse, ein falsches Default Gateway oder manipulierte DNS-Server.

Typische Risiken durch unerlaubte DHCP-Server

  • Clients erhalten falsche IP-Konfigurationen
  • Internet- oder LAN-Zugriff funktioniert nicht mehr korrekt
  • Traffic kann über ein falsches Gateway umgeleitet werden
  • DNS-Antworten können indirekt manipuliert werden
  • Das Netzwerk wird instabil oder teilweise unbenutzbar

Was ist ein Rogue DHCP Server?

Ein Rogue DHCP Server ist ein unerlaubter DHCP-Server im Netzwerk. Das muss nicht zwingend ein bösartiges System sein. In der Praxis ist es oft ein versehentlich angeschlossenes Gerät mit aktivem DHCP-Dienst. Trotzdem ist die Wirkung dieselbe: Clients können falsche Netzparameter erhalten.

Aus Sicherheitssicht ist ein Rogue DHCP Server besonders kritisch, weil er nicht nur stört, sondern auch aktiv missbraucht werden kann. Ein Angreifer kann beispielsweise ein falsches Gateway verteilen und so Traffic über ein eigenes System leiten.

Typische Beispiele für Rogue DHCP Server

  • Ein privater WLAN-Router im Firmennetz
  • Ein falsch konfigurierter Testserver oder eine VM
  • Ein Access Point mit aktivem DHCP
  • Ein bewusst eingesetztes Angreifergerät

Wie DHCP Snooping grundsätzlich funktioniert

DHCP Snooping basiert auf einer einfachen, aber wirkungsvollen Idee: Nicht jeder Port eines Switches darf DHCP-Server-Antworten weiterleiten. Access-Ports zu normalen Endgeräten gelten standardmäßig als untrusted. Uplink-Ports zu legitimen DHCP-Servern oder zu vertrauenswürdiger Infrastruktur können explizit als trusted markiert werden.

Ein DHCP-Client sendet typischerweise Discover- oder Request-Nachrichten. Solche Client-Anfragen dürfen auch von untrusted Ports kommen. Antworten wie Offer oder Ack dürfen dagegen nur von trusted Ports in das Segment gelangen. Wenn ein untrusted Port versucht, Server-Antworten zu senden, blockiert der Switch diese Pakete.

Wichtige Grundregel

  • Client-Anfragen dürfen von untrusted Ports kommen
  • Server-Antworten dürfen nur von trusted Ports kommen

Trusted und Untrusted Ports einfach erklärt

Das Herzstück von DHCP Snooping ist die Unterscheidung zwischen trusted und untrusted. Diese Einteilung entscheidet darüber, welcher DHCP-Verkehr an einem Interface zulässig ist.

Untrusted Port

Ein untrusted Port ist typischerweise ein Access-Port zu einem Client, Drucker, Telefon oder Arbeitsplatzgerät. Auf solchen Ports dürfen keine DHCP-Server-Antworten ins Netz gelangen. Sie gelten standardmäßig als nicht vertrauenswürdig.

Trusted Port

Ein trusted Port ist typischerweise ein Uplink zu einem legitimen DHCP-Server, zu einem Router mit DHCP-Relay oder zu einem anderen vertrauenswürdigen Switchpfad. Über diesen Port dürfen DHCP-Server-Antworten kommen.

Einfach eingeordnet

  • Access-Ports zu Endgeräten: meist untrusted
  • Uplinks zur Infrastruktur oder zum DHCP-Server: gezielt trusted

Welche DHCP-Nachrichten betroffen sind

DHCP Snooping bewertet die DHCP-Kommunikation entlang des bekannten DORA-Ablaufs. Dabei ist vor allem wichtig, welche Richtung die Nachricht hat und ob sie vom Client oder vom Server stammt.

Der DORA-Ablauf im Überblick

  • Discover: Client sucht nach DHCP-Servern
  • Offer: Server bietet eine Konfiguration an
  • Request: Client fordert das Angebot an
  • Ack: Server bestätigt die Zuweisung

Für DHCP Snooping ist besonders relevant:

  • Discover und Request dürfen von Clients an untrusted Ports kommen
  • Offer und Ack müssen von trusted Ports kommen

Was DHCP Snooping konkret blockiert

Wenn ein Gerät an einem untrusted Port versucht, sich wie ein DHCP-Server zu verhalten und zum Beispiel ein DHCP Offer oder DHCP Ack zu senden, verwirft der Switch diese Nachricht. Damit wird der Rogue DHCP Server wirkungslos, zumindest bezogen auf den Switch, auf dem DHCP Snooping korrekt aktiviert ist.

Das schützt besonders Benutzersegmente, in denen unbekannte oder private Geräte angeschlossen werden könnten.

Typische Fälle, die blockiert werden

  • DHCP Offer von einem Arbeitsplatzport
  • DHCP Ack von einem privaten Router im Firmennetz
  • DHCP-Server-Antworten aus einem unerlaubten Testsystem

DHCP Snooping Binding Table einfach erklärt

DHCP Snooping kann zusätzlich eine sogenannte Binding Table aufbauen. In dieser Tabelle speichert der Switch Informationen darüber, welcher Client über welchen Port welche IP-Adresse erhalten hat. Typischerweise werden dabei MAC-Adresse, IP-Adresse, VLAN, Interface und Lease-Zeit dokumentiert.

Diese Tabelle ist nicht nur für die Sichtbarkeit des DHCP-Verkehrs nützlich, sondern dient auch als Grundlage für weitere Sicherheitsfunktionen wie Dynamic ARP Inspection oder IP Source Guard.

Typische Einträge in der Binding Table

  • MAC-Adresse des Clients
  • Zugeteilte IP-Adresse
  • Zugehöriges VLAN
  • Switchport des Clients
  • Lease-Zeit

Warum die Binding Table wichtig ist

  • Sie schafft Transparenz über DHCP-Zuweisungen
  • Sie unterstützt weitere Layer-2-Sicherheitsfunktionen
  • Sie hilft bei Fehlersuche und Nachvollziehbarkeit

DHCP Snooping in VLAN-Umgebungen

DHCP Snooping wird nicht pauschal global für alles aktiv, sondern in der Regel VLAN-bezogen eingeschaltet. Das ist wichtig, weil DHCP typischerweise in Broadcast-Domains arbeitet. In Switch-Umgebungen mit mehreren VLANs kann DHCP Snooping daher gezielt für die relevanten Benutzer-VLANs aktiviert werden.

Typischer Gedanke dabei

  • Nicht jedes VLAN braucht zwingend DHCP Snooping
  • Vor allem Client- und Access-VLANs sind relevant
  • Server- oder Spezialsegmente werden je nach Design bewusst betrachtet

Beispiel für VLAN-bezogene Aktivierung

ip dhcp snooping
ip dhcp snooping vlan 10,20,30

Hier wird DHCP Snooping global eingeschaltet und für die VLANs 10, 20 und 30 aktiviert.

Grundkonfiguration von DHCP Snooping auf Cisco-Switches

Die Aktivierung erfolgt typischerweise in mehreren Schritten. Zuerst wird DHCP Snooping global eingeschaltet, dann für die gewünschten VLANs aktiviert und schließlich werden die legitimen Ports als trusted markiert.

Einfaches Grundbeispiel

ip dhcp snooping
ip dhcp snooping vlan 10,20

interface GigabitEthernet1/0/24
 description Uplink-zum-Core-oder-DHCP-Server
 ip dhcp snooping trust

Diese Konfiguration bewirkt:

  • DHCP Snooping ist global aktiv
  • Die Funktion gilt für VLAN 10 und 20
  • Der Uplink auf GigabitEthernet1/0/24 ist als trusted konfiguriert

Alle anderen Ports bleiben standardmäßig untrusted, solange nichts anderes gesetzt wird.

Warum Uplink-Ports bewusst als trusted markiert werden müssen

Ein häufiger Fehler bei DHCP Snooping besteht darin, die Funktion zu aktivieren, aber den Uplink zum legitimen DHCP-Pfad nicht als trusted zu markieren. Dann blockiert der Switch auch die Antworten des echten DHCP-Servers, weil er sie aus Sicht des Switches von einem untrusted Port empfängt.

Die Folge ist dann nicht mehr Sicherheit, sondern ein DHCP-Ausfall für Clients.

Typische trusted Ports

  • Uplink zu einem Layer-3-Gerät mit DHCP-Relay
  • Uplink zu einem legitimen DHCP-Server
  • Trunk zu einem vertrauenswürdigen Distribution- oder Core-Switch

Typische untrusted Ports

  • Benutzerports
  • Druckerports
  • Ports zu Arbeitsplatzsystemen
  • Ports in öffentlich oder halböffentlich zugänglichen Bereichen

Option 82 kurz eingeordnet

DHCP Snooping kann in manchen Designs auch mit Option 82 arbeiten. Dabei fügt der Switch zusätzliche Informationen in DHCP-Anfragen ein, etwa aus welchem Port oder VLAN die Anfrage stammt. Das kann in größeren DHCP-Architekturen für Nachvollziehbarkeit und Steuerung nützlich sein.

Für Einsteiger ist vor allem wichtig: DHCP Snooping funktioniert auch ohne tiefes Verständnis von Option 82. Der Kernnutzen liegt zunächst in der Blockade unerlaubter DHCP-Server-Antworten.

DHCP Snooping Limit Rate einfach erklärt

Neben der Kontrolle von Server-Antworten kann DHCP Snooping auf Cisco-Switches oft auch die DHCP-Rate auf untrusted Ports begrenzen. Damit wird verhindert, dass ein Client-Port ungewöhnlich viele DHCP-Nachrichten in kurzer Zeit sendet, etwa bei Angriffen oder Fehlkonfigurationen.

Warum Rate Limiting sinnvoll ist

  • Schutz gegen DHCP-Starvation-Angriffe
  • Begrenzung ungewöhnlich hoher DHCP-Last
  • Zusätzliche Stabilität an Access-Ports

Beispiel für DHCP Snooping Rate Limit

interface FastEthernet0/10
 ip dhcp snooping limit rate 10

Damit werden auf diesem Port maximal 10 DHCP-Pakete pro Sekunde zugelassen.

DHCP-Starvation kurz erklärt

Ein DHCP-Starvation-Angriff versucht, den DHCP-Adresspool künstlich zu erschöpfen. Dabei sendet ein Angreifer sehr viele DHCP-Anfragen mit wechselnden MAC-Adressen, bis keine freien IP-Adressen mehr verfügbar sind. Danach kann ein Rogue DHCP Server leichter Clients übernehmen.

DHCP Snooping mit Rate Limiting hilft, solche Angriffe an Access-Ports zu erschweren oder früh zu stoppen.

Typische Ziele eines DHCP-Starvation-Angriffs

  • Erschöpfung des legitimen DHCP-Pools
  • Störung normaler Client-Anmeldungen
  • Vorbereitung weiterer Angriffe durch Rogue DHCP

DHCP Snooping und andere Sicherheitsfunktionen

DHCP Snooping ist nicht nur für sich selbst nützlich, sondern bildet die Grundlage für weitere Cisco-Sicherheitsfunktionen auf Layer 2. Besonders wichtig sind hier Dynamic ARP Inspection und IP Source Guard. Beide nutzen die DHCP Snooping Binding Table, um legitime IP-MAC-Port-Zuordnungen zu prüfen.

Wichtige Folgefunktionen

  • Dynamic ARP Inspection: Schutz vor ARP-Spoofing
  • IP Source Guard: Schutz vor IP-Spoofing an Access-Ports

Warum das wichtig ist

  • DHCP Snooping schützt nicht nur DHCP selbst
  • Es schafft vertrauenswürdige Zuordnungen für weitere Sicherheitsprüfungen
  • Layer-2-Sicherheit wird dadurch deutlich robuster

DHCP Snooping in der Praxis

In Unternehmensnetzwerken ist DHCP Snooping vor allem auf Access-Switches sinnvoll, also dort, wo Benutzergeräte angeschlossen werden. Gerade in offenen Büroflächen, Schulungsräumen, Besprechungsbereichen oder gemeinsam genutzten Arbeitsplätzen reduziert die Funktion das Risiko erheblich, dass ein privates oder absichtlich angeschlossenes Gerät als DHCP-Server auftritt.

Typische Einsatzorte

  • Client-VLANs in Bürogebäuden
  • Schulungs- und Laborumgebungen
  • Gastnahe Access-Bereiche
  • Switches mit vielen Benutzerports

Weniger kritische oder gesondert zu prüfende Bereiche

  • Serversegmente mit bewusst statischer Adressierung
  • Backbone- oder reine Infrastruktur-Segmente
  • Spezialnetze mit bewusst abweichender DHCP-Architektur

DHCP Snooping überprüfen und verifizieren

Nach der Aktivierung sollte DHCP Snooping immer geprüft werden. Cisco-Switches bieten dafür mehrere Show-Befehle, mit denen sich Status, VLAN-Zuordnung, Trusted-Ports und Binding-Einträge kontrollieren lassen.

Wichtige Prüfbefehle

show ip dhcp snooping
show ip dhcp snooping binding
show ip dhcp snooping statistics
show running-config interface GigabitEthernet1/0/24

Was sich damit prüfen lässt

  • Ist DHCP Snooping global aktiv?
  • Für welche VLANs ist die Funktion eingeschaltet?
  • Welche Ports sind trusted?
  • Welche Bindings wurden gelernt?
  • Gab es verworfene DHCP-Nachrichten oder Verstöße?

Häufige Fehler bei DHCP Snooping

DHCP Snooping ist technisch einfach, kann aber bei falscher Konfiguration zu DHCP-Ausfällen führen. Die häufigsten Probleme hängen mit vergessenen Trusted-Ports oder falsch gewählten VLANs zusammen.

Typische Fehlerquellen

  • Uplink zum legitimen DHCP-Pfad wurde nicht als trusted markiert
  • DHCP Snooping wurde im falschen VLAN oder gar nicht im relevanten VLAN aktiviert
  • Rate Limit ist zu streng und blockiert legitimen Verkehr
  • Topologie mit mehreren Switches wurde nicht vollständig betrachtet
  • Trunk-Ports zu vertrauenswürdiger Infrastruktur sind untrusted geblieben

Typische Symptome

  • Clients erhalten plötzlich keine IP-Adresse mehr
  • Nur bestimmte VLANs sind betroffen
  • DHCP funktioniert auf einem Switch, auf einem anderen nicht
  • Binding Table bleibt leer, obwohl Clients anfragen

Ein einfaches Praxisbeispiel

Angenommen, ein Access-Switch versorgt das Benutzer-VLAN 10. Der legitime DHCP-Server befindet sich nicht direkt am Switch, sondern hinter dem Uplink zum Distribution-Switch. Ohne DHCP Snooping könnten Benutzer versehentlich private Router anschließen, die selbst DHCP aktiv haben.

Eine sinnvolle Konfiguration wäre:

ip dhcp snooping
ip dhcp snooping vlan 10

interface GigabitEthernet1/0/24
 description Uplink-zum-Distribution-Switch
 ip dhcp snooping trust

interface range FastEthernet0/1 - 24
 ip dhcp snooping limit rate 10

Diese Konfiguration erreicht:

  • DHCP Snooping schützt VLAN 10
  • Nur der Uplink darf DHCP-Server-Antworten weiterleiten
  • Benutzerports bleiben untrusted
  • Die DHCP-Rate an Client-Ports ist begrenzt

Grenzen von DHCP Snooping

DHCP Snooping ist eine sehr gute Access-Sicherheitsfunktion, aber keine vollständige Sicherheitslösung. Sie schützt gezielt gegen unerlaubte DHCP-Server und unterstützt einige weitere Layer-2-Funktionen. Sie ersetzt jedoch keine Segmentierung, keine Firewall, keine starke Authentifizierung und keine vollständige Zugangskontrolle.

Was DHCP Snooping gut kann

  • Rogue DHCP Server blockieren
  • DHCP-Verkehr an Access-Ports kontrollieren
  • Binding-Informationen für weitere Schutzmechanismen liefern

Was DHCP Snooping nicht ersetzt

  • ACLs und Firewalls
  • 802.1X oder NAC
  • Segmentierung durch VLANs und Routing-Policies
  • Vollständigen Schutz vor allen Layer-2-Angriffen

Best Practices für DHCP Snooping

  • DHCP Snooping auf Access-Switches für relevante Client-VLANs aktivieren
  • Nur echte Infrastruktur- oder Serverpfade als trusted markieren
  • Access-Ports standardmäßig untrusted lassen
  • Rate Limiting auf Benutzerports sinnvoll einsetzen
  • Binding Table regelmäßig kontrollieren
  • Mit Dynamic ARP Inspection und IP Source Guard kombinieren
  • Nach Änderungen immer mit Show-Befehlen verifizieren

Warum DHCP Snooping eine so wichtige Basistechnologie ist

DHCP Snooping ist ein gutes Beispiel dafür, wie eine scheinbar kleine Access-Sicherheitsfunktion große Wirkung haben kann. DHCP ist für den Alltag unsichtbar, aber essenziell. Genau deshalb können unerlaubte DHCP-Server enormen Schaden anrichten – sei es durch Fehlfunktion oder gezielten Missbrauch. DHCP Snooping greift direkt an dieser Schwachstelle an und schützt das Netzwerk dort, wo Clients tatsächlich angeschlossen werden.

Wer sichere Switch-Umgebungen aufbauen möchte, sollte DHCP Snooping deshalb nicht als Spezialfunktion betrachten, sondern als grundlegenden Bestandteil einer sauberen Layer-2-Sicherheitsstrategie.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Anhang B → Wichtige Ports und Protokolle im Überblick für CCNA

Anhang C → Schnelle Subnetting-Tabelle für CCNA und Networking

Anhang D → Glossar der wichtigsten CCNA-Begriffe einfach erklärt

Anhang E → Zusätzliche Lernressourcen für CCNA, Networking und Cisco

22.5 Fragen zu DHCP, NAT und ACL mit Lösungen

22.6 Fragen zu Wireless und Sicherheit mit Lösungen

22.7 Ausführliche Lösungen zu allen CCNA-Übungsfragen

22.8 Lernerfolg bewerten: So überprüfst du deinen CCNA-Fortschritt

21.1 Netzwerkgrundlagen zusammengefasst: Das Wichtigste für CCNA

Fazit → CCNA erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

21.2 IP-Adressierung und Subnetting einfach zusammengefasst

Botschaft an die Leser → Deine CCNA-Reise beginnt jetzt: Motivation und nächste Schritte