March 4, 2026

DHCP Snooping + DAI: Layer-2 Security Lab mit Angriff & Abwehr

In modernen Netzwerken ist die Sicherheit auf Layer 2 von entscheidender Bedeutung, um Angriffe zu verhindern und die Integrität des Netzwerks zu gewährleisten. DHCP Snooping und Dynamic ARP Inspection (DAI) sind zwei wichtige Sicherheitsmechanismen, die in Layer-2-Netzen verwendet werden, um DHCP-basierte Angriffe und ARP-Spoofing zu verhindern. In diesem Artikel erfahren Sie, wie Sie diese beiden Funktionen im Packet Tracer konfigurieren und sowohl Angriffe als auch deren Abwehr simulieren.

1. Was ist DHCP Snooping?

DHCP Snooping ist eine Sicherheitsfunktion, die den DHCP-Verkehr im Netzwerk überwacht und kontrolliert. Sie stellt sicher, dass nur vertrauenswürdige DHCP-Server IP-Adressen an Clients zuweisen können und blockiert alle nicht autorisierten DHCP-Server, die potenziell schadhafte IP-Adressen verteilen könnten.

1.1 Vorteile von DHCP Snooping

  • Verhindert den Einsatz von unautorisierten DHCP-Servern im Netzwerk.
  • Schützt vor DHCP-Relay-Angriffen, bei denen gefälschte DHCP-Nachrichten gesendet werden.
  • Schützt vor Man-in-the-Middle-Angriffen durch falsche IP-Adressen.

2. Was ist Dynamic ARP Inspection (DAI)?

Dynamic ARP Inspection (DAI) ist eine Sicherheitsfunktion, die ARP-Spoofing-Angriffe auf Layer 2 verhindert. Sie überprüft ARP-Anfragen und -Antworten auf ihrer Gültigkeit, indem sie die IP-MAC-Zuordnung mit der DHCP-Snooping-Datenbank abgleicht. Wenn eine ARP-Nachricht ungültig ist, wird sie verworfen, um zu verhindern, dass Angreifer sich als vertrauenswürdige Geräte ausgeben.

2.1 Vorteile von DAI

  • Schützt das Netzwerk vor ARP-Spoofing, das zu Man-in-the-Middle-Angriffen führen kann.
  • Erhöht die Netzwerksicherheit, indem ARP-Nachrichten verifiziert werden.
  • Verhindert die Weiterleitung von falschen ARP-Paketen innerhalb des Netzwerks.

3. Konfiguration von DHCP Snooping und DAI im Packet Tracer

Um DHCP Snooping und DAI zu aktivieren, müssen Sie sowohl den Switch als auch die entsprechenden Ports korrekt konfigurieren. Nachfolgend sehen Sie eine Schritt-für-Schritt-Anleitung, wie Sie beide Funktionen im Packet Tracer einrichten.

3.1 DHCP Snooping aktivieren

Zuerst müssen Sie DHCP Snooping auf dem Switch aktivieren und die vertrauenswürdigen Ports definieren, die DHCP-Nachrichten empfangen dürfen. In der Regel ist der Port, an dem der DHCP-Server angeschlossen ist, als vertrauenswürdig zu deklarieren.


Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# interface range gig0/1 - 2
Switch(config-if-range)# ip dhcp snooping trust

In diesem Beispiel wird DHCP Snooping für VLAN 10 aktiviert, und die Ports gig0/1 und gig0/2 werden als vertrauenswürdig markiert, um DHCP-Nachrichten zu empfangen.

3.2 Dynamic ARP Inspection (DAI) aktivieren

Nachdem DHCP Snooping konfiguriert wurde, können Sie Dynamic ARP Inspection (DAI) aktivieren. Dabei wird die IP-MAC-Zuordnung überprüft und die ARP-Nachrichten verifiziert.


Switch(config)# ip arp inspection vlan 10
Switch(config)# interface range gig0/1 - 2
Switch(config-if-range)# ip arp inspection trust

Diese Konfiguration sorgt dafür, dass ARP-Nachrichten nur dann weitergeleitet werden, wenn sie mit der DHCP-Snooping-Datenbank übereinstimmen.

4. Angriffe simulieren und abwehren

Nachdem die Sicherheitsmechanismen konfiguriert sind, können Sie nun Angriffe simulieren, um zu sehen, wie das Netzwerk auf unerlaubte DHCP-Server oder ARP-Spoofing reagiert. In diesem Abschnitt zeigen wir, wie Sie diese Angriffe durchführen und wie das Netzwerk auf die Schutzmaßnahmen reagiert.

4.1 Angreifen mit einem falschen DHCP-Server

Um einen Angriff mit einem falschen DHCP-Server zu simulieren, können Sie einen zusätzlichen DHCP-Server im Netzwerk einrichten und versuchen, ihm DHCP-Pakete zu senden. Wenn DHCP Snooping aktiviert ist, wird der Switch diese unautorisierten Pakete blockieren.


Router(config)# ip dhcp pool Attacker_Pool
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1

Der Switch sollte den DHCP-Verkehr von diesem unautorisierten Server blockieren und verhindern, dass Clients IP-Adressen von diesem Server erhalten.

4.2 Angreifen mit ARP-Spoofing

Um einen ARP-Spoofing-Angriff zu simulieren, können Sie ein Gerät einrichten, das falsche ARP-Nachrichten sendet, um den Netzwerkverkehr umzuleiten. DAI überprüft diese Nachrichten und blockiert sie, wenn sie ungültig sind.


PC1# arp -s 192.168.1.2 00-11-22-33-44-55

Wenn DAI aktiviert ist, wird der Switch diese ARP-Nachricht verwerfen, da sie nicht mit der DHCP-Snooping-Datenbank übereinstimmt.

5. Überwachung und Fehlerbehebung

Die Überwachung von DHCP Snooping und DAI ist entscheidend, um sicherzustellen, dass die Sicherheitsfunktionen wie erwartet arbeiten. Mit den folgenden Befehlen können Sie die Konfiguration und den Status dieser Funktionen überwachen:

5.1 Überprüfen der DHCP Snooping-Konfiguration


Switch# show ip dhcp snooping
Switch# show ip dhcp snooping binding

5.2 Überprüfen der ARP-Inspection-Konfiguration


Switch# show ip arp inspection

Diese Befehle zeigen Ihnen die aktuelle DHCP Snooping- und DAI-Konfiguration sowie alle gebundenen DHCP-Adressen und ARP-Fehler an, die im Netzwerk aufgetreten sind.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind