DHCP Snooping und Dynamic ARP Inspection (DAI) sind wichtige Sicherheitsfunktionen, die im Layer-2-Bereich eines Netzwerks implementiert werden, um vor Angriffen wie DHCP-Spoofing und ARP-Spoofing zu schützen. In diesem Lab zeigen wir, wie Sie beide Technologien kombinieren, um Ihr Netzwerk gegen solche Bedrohungen abzusichern. Diese Übung richtet sich an Einsteiger und Junior Network Engineers, die lernen möchten, wie sie Layer-2-Schutz in Netzwerken konfigurieren und testen können.
1. DHCP Snooping
DHCP Snooping ist eine Sicherheitsfunktion, die sicherstellt, dass nur vertrauenswürdige DHCP-Server IP-Adressen an Clients vergeben können. Sie schützt vor DHCP-Spoofing-Angriffen, bei denen ein Angreifer versucht, sich als DHCP-Server auszugeben.
1.1 DHCP Snooping aktivieren
Um DHCP Snooping auf einem Switch zu aktivieren, verwenden Sie die folgenden Befehle:
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# exit
Dieser Befehl aktiviert DHCP Snooping für VLAN 10 und schützt das Netzwerk vor gefälschten DHCP-Servern.
1.2 Konfigurieren der vertrauenswürdigen Ports
Nachdem DHCP Snooping aktiviert wurde, müssen Sie den Switch-Ports, die mit dem vertrauenswürdigen DHCP-Server verbunden sind, das Recht geben, DHCP-Angebote zu senden:
Switch# configure terminal
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit
Dieser Befehl konfiguriert den Port GigabitEthernet 0/1 als vertrauenswürdig, sodass dieser Port DHCP-Nachrichten senden darf. Alle anderen Ports werden standardmäßig als unzuverlässig behandelt und können nur DHCP-Anfragen empfangen.
2. Dynamic ARP Inspection (DAI)
DAI ist eine Sicherheitsfunktion, die ARP-Spoofing-Angriffe verhindert, indem sie ARP-Nachrichten überprüft und nur solche zulässt, die in der ARP-Tabelle des Switches mit der IP-Adresse des Geräts übereinstimmen.
2.1 DAI aktivieren
Um DAI zu aktivieren, verwenden Sie die folgenden Befehle:
Switch# configure terminal
Switch(config)# ip arp inspection vlan 10
Switch(config)# exit
Dieser Befehl aktiviert DAI für VLAN 10, um ARP-Nachrichten zu überprüfen und sicherzustellen, dass sie authentisch sind.
2.2 Konfigurieren von vertrauenswürdigen Ports für DAI
Wie bei DHCP Snooping müssen auch für DAI vertrauenswürdige Ports definiert werden, um sicherzustellen, dass nur vertrauenswürdige Quellen ARP-Nachrichten senden können:
Switch# configure terminal
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip arp inspection trust
Switch(config-if)# exit
Dieser Befehl konfiguriert den Port GigabitEthernet 0/1 als vertrauenswürdig für ARP-Nachrichten. Alle anderen Ports werden als unzuverlässig betrachtet und ihre ARP-Nachrichten werden überprüft.
3. Kombinierte Konfiguration von DHCP Snooping und DAI
Durch das Kombinieren von DHCP Snooping und DAI können Sie Ihr Netzwerk effektiv vor verschiedenen Bedrohungen schützen. Stellen Sie sicher, dass beide Sicherheitsfunktionen auf allen relevanten Switch-Ports aktiviert sind.
3.1 Kombinierte Konfiguration für VLAN 10
Um sowohl DHCP Snooping als auch DAI für VLAN 10 zu aktivieren, führen Sie die folgenden Schritte aus:
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip arp inspection vlan 10
Switch(config)# interface range gigabitethernet 0/1 - 24
Switch(config-if-range)# ip dhcp snooping trust
Switch(config-if-range)# ip arp inspection trust
Switch(config-if-range)# exit
Switch(config)# exit
Diese Konfiguration aktiviert sowohl DHCP Snooping als auch DAI für VLAN 10 und definiert alle Ports von GigabitEthernet 0/1 bis GigabitEthernet 0/24 als vertrauenswürdig.
4. Testen und Überprüfen der Konfiguration
Nachdem Sie DHCP Snooping und DAI konfiguriert haben, sollten Sie die Funktionalität testen und sicherstellen, dass die Sicherheitsmechanismen wie erwartet arbeiten.
4.1 Überprüfung von DHCP Snooping
Verwenden Sie den folgenden Befehl, um den Status von DHCP Snooping auf dem Switch zu überprüfen:
Switch# show ip dhcp snooping
Dieser Befehl zeigt Informationen zu den DHCP-Snooping-Statistiken und den aktivierten VLANs.
4.2 Überprüfung von DAI
Verwenden Sie den folgenden Befehl, um den Status von DAI auf dem Switch zu überprüfen:
Switch# show ip arp inspection
Dieser Befehl zeigt die DAI-Statistiken und die konfigurierten vertrauenswürdigen Ports an.
5. Troubleshooting
Falls Probleme bei der Konfiguration von DHCP Snooping oder DAI auftreten, überprüfen Sie die folgenden Punkte:
- Stellen Sie sicher, dass alle relevanten Ports als vertrauenswürdig konfiguriert sind.
- Überprüfen Sie, ob DHCP Snooping und DAI auf den richtigen VLANs aktiviert sind.
- Vergewissern Sie sich, dass der DHCP-Server korrekt konfiguriert ist und keine fehlerhaften DHCP-Angebote gesendet werden.
- Überprüfen Sie, ob ARP-Nachrichten von nicht vertrauenswürdigen Geräten blockiert werden.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
