Ein Rogue DHCP Server kann ein ganzes VLAN in Minuten „kapern“: Clients bekommen falsche IPs, falsche Gateways oder DNS-Server und verlieren den Zugriff auf interne Systeme. Häufig reicht dafür schon ein falsch konfigurierter Router, ein Internet-Router im Büro oder ein „hilfsbereiter“ WLAN-Hotspot. DHCP Snooping ist die Cisco-Standardmaßnahme dagegen: Der Switch unterscheidet zwischen vertrauenswürdigen (trusted) und untrusted Ports, blockiert unerlaubte DHCP-Server-Antworten und baut eine Binding-Tabelle auf, die später auch für IP Source Guard und Dynamic ARP Inspection genutzt werden kann.
Wie DHCP Snooping schützt: Trusted vs. Untrusted
DHCP Snooping überwacht DHCP-Nachrichten. Auf untrusted Ports werden DHCP-Server-Antworten (z. B. Offer/Ack) verworfen. Nur Ports, die zum legitimen DHCP-Server oder zum Upstream führen, dürfen trusted sein.
- Untrusted (Default): Endgeräte-Ports, Drucker, Telefone, IoT
- Trusted: Uplinks/Trunks Richtung DHCP-Server oder L3-Gateway
- Binding Table: Zuordnung MAC–IP–VLAN–Port, dynamisch aus DHCP gelernt
Welche DHCP-Typen typischerweise geblockt werden
- DHCPOFFER (Server → Client)
- DHCPACK (Server → Client)
- DHCPNAK (Server → Client)
Voraussetzungen und Design-Regeln
DHCP Snooping ist einfach zu aktivieren, aber du musst die Port-Rollen sauber kennen. Der häufigste Fehler ist ein vergessenes trusted Uplink-Interface – dann funktioniert DHCP im VLAN plötzlich gar nicht mehr.
- Definiere pro VLAN, wo DHCP-Server/Relay sitzt
- Markiere nur Upstream-Ports als trusted (Minimalprinzip)
- Setze Rate-Limits auf untrusted Ports, um DHCP-Floods zu begrenzen
- Plane Speicherung der Binding-Tabelle (optional, aber sinnvoll)
Pre-Checks: VLANs und Uplinks kennen
show vlan brief
show interfaces trunk
show interfaces status
Schritt 1: DHCP Snooping global aktivieren
Aktiviere DHCP Snooping global und dann für die VLANs, die geschützt werden sollen. Ohne VLAN-Aktivierung bleibt Snooping wirkungslos.
Beispiel: Snooping für VLAN 10 und 20 aktivieren
enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20
end
Status prüfen
show ip dhcp snooping
Schritt 2: Trusted Ports setzen (Uplinks/Server-Ports)
Trusted Ports sind der zentrale Punkt: Nur dort dürfen DHCP-Server-Antworten passieren. Typischerweise setzt du Trunk-Uplinks zur Distribution oder Ports zum DHCP-Server als trusted.
Uplink als trusted (Beispiel)
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TO-DIST
ip dhcp snooping trust
end
Wichtige Regel: Nicht „zu viel“ trusten
Wenn du zu viele Ports trusted setzt, hebelst du den Schutz aus. Trusted gehört nur auf Upstream-/Server-Pfade, nicht auf Client-Ports.
Schritt 3: Rate-Limits auf untrusted Ports setzen
Untrusted Ports sollten eine DHCP-Ratebegrenzung erhalten, um DHCP-Starvation/Flooding zu erschweren. Das schützt sowohl den Switch als auch den DHCP-Server.
Rate-Limit für Client-Ports (Beispiel)
configure terminal
interface range gigabitEthernet 1/0/1 - 24
description EDGE-CLIENTS
ip dhcp snooping limit rate 15
end
Hinweis zur Dimensionierung
Setze den Wert so, dass normale DHCP-Events (Boot, Telefon+PC, Reauth) nicht fälschlich blockiert werden. In typischen Office-Ports sind 10–30 pps oft ausreichend.
Optionale Best Practice: DHCP Snooping Binding Database speichern
Wenn der Switch neu startet, geht die dynamische Binding-Tabelle sonst verloren. Für Funktionen wie IP Source Guard oder Dynamic ARP Inspection ist eine persistente Binding-Datenbank im Betrieb oft hilfreich.
Binding Database konfigurieren (Beispiel)
configure terminal
ip dhcp snooping database flash:dhcp_snoop.db
end
Binding-Tabelle anzeigen
show ip dhcp snooping binding
DHCP Option 82: Relay-Information bewusst steuern
DHCP Snooping kann Option 82 (Relay Agent Information) in DHCP-Pakete einfügen. Das ist nützlich für Zuordnung/Policy, kann aber DHCP-Server beeinflussen. In vielen Umgebungen wird Option 82 bewusst aktiviert oder deaktiviert, je nach DHCP-Server-Konzept.
Option 82 Status prüfen
show ip dhcp snooping | include Option
Option 82 deaktivieren (wenn DHCP-Server es nicht erwartet)
configure terminal
no ip dhcp snooping information option
end
Praxisbeispiel: Access-Switch mit Uplink zur Distribution
Dieses Setup ist typisch: DHCP-Server sitzt zentral (oder Relay im Distribution-L3), Clients hängen an untrusted Access-Ports, der Uplink ist trusted.
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20,99
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
ip dhcp snooping trust
exit
interface range gigabitEthernet 1/0/1 - 44
description EDGE-PORTS
ip dhcp snooping limit rate 15
exit
ip dhcp snooping database flash:dhcp_snoop.db
end
Verifikation: So beweist du, dass Rogue DHCP geblockt wird
Nach dem Rollout prüfst du Status, Trust-Ports und Binding-Table. Bei einem Rogue-Server solltest du Drops/Logs sehen und keine Bindings aus dessen Offers.
show ip dhcp snooping
show ip dhcp snooping binding
show running-config | include dhcp snooping
show logging | include DHCP|SNOOP|SECURITY
Typische Fehlerbilder
- Clients bekommen keine IP: Uplink nicht trusted oder VLAN nicht in Snooping-Liste
- Nur ein VLAN betroffen: Snooping nicht für dieses VLAN aktiviert
- Option 82 Konflikt: DHCP-Server lehnt Requests ab
- Viele Drops: Rate-Limit zu niedrig oder DHCP-Flood
Troubleshooting-Playbook: Wenn DHCP nach Snooping „kaputt“ ist
Arbeite systematisch: VLAN aktiviert? Uplink trusted? Option 82 kompatibel? Binding-Table entsteht? Dann erst Rate-Limits feinjustieren.
show ip dhcp snooping
show ip dhcp snooping binding
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show logging | include DHCP|SNOOP|Option|rate
Best Practices: DHCP Snooping als Baustein der Access-Security
DHCP Snooping ist besonders wirksam, wenn du es als Basis für weitere L2-Schutzmechanismen nutzt. So wird aus „DHCP-Schutz“ ein konsistentes Access-Security-Konzept.
- Trusted nur auf Upstream/Server-Ports (Minimalprinzip)
- Untrusted Ports mit Rate-Limits absichern
- Binding Database speichern (für Reboots und Folgefeatures)
- Option 82 bewusst steuern und mit DHCP-Team abstimmen
- Ergänzen: Dynamic ARP Inspection und IP Source Guard auf Basis der Bindings
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
