DHCP Snooping & DAI: Was davon auf Router-Seite relevant ist

DHCP Snooping und Dynamic ARP Inspection (DAI) sind klassische Layer-2-Sicherheitsfeatures auf Switches. Sie verhindern Rogue-DHCP-Server und ARP-Spoofing, indem sie DHCP- und ARP-Traffic direkt am Access-Port kontrollieren. Auf Router-Seite ist das nur teilweise relevant: Router sind in der Regel Layer-3-Gateways und sehen nicht den gesamten Layer-2-Clientverkehr. Trotzdem gibt es wichtige Schnittstellen-Themen: DHCP Relay (ip helper-address), ARP-Schutz am Gateway, Port-Security-Ersatz durch L3-Policies und die korrekte Zusammenarbeit mit dem Switch (Trusted Ports, DHCP Option 82, Binding-Table).

Kurzdefinition: Was DHCP Snooping und DAI eigentlich tun

Beide Funktionen wirken auf Layer 2 und setzen am Switch-Port an, an dem Endgeräte angeschlossen sind. Genau deshalb sind sie so effektiv: Sie stoppen Angriffe, bevor sie das Netz durchdringen.

• DHCP Snooping: blockiert unerlaubte DHCP-Server (Antworten nur von „trusted“ Ports)
• DAI: prüft ARP-Pakete gegen eine Binding-Table und blockiert ARP-Spoofing
• Binding-Table: Zuordnung von MAC ↔ IP ↔ VLAN ↔ Port, typischerweise aus DHCP Snooping

Warum das primär Switch-Features sind (und Router sie nicht ersetzen)

Router stehen meist nicht am Access-Port. Sie routen zwischen VLANs/Subnetzen und sehen nur Traffic, der zum Gateway oder in andere Netze geht. DHCP Snooping/DAI müssen aber direkt dort sitzen, wo Endgeräte angeschlossen sind.

• Access-Port-Kontrolle erfordert Layer-2-Sicht (MAC/Port/VLAN)
• Router sehen nicht, welcher Client an welchem Switch-Port hängt
• Angriffe wie Rogue DHCP/ARP Spoofing passieren im lokalen Broadcast-Domain

Was auf Router-Seite trotzdem relevant ist

Auch wenn Snooping/DAI am Switch passieren, muss der Router als Default Gateway und DHCP-Relay sauber eingebunden werden. Fehler in der Router-Konfiguration führen sonst zu „DHCP geht nicht“ oder zu falschem Trust-Design am Switch.

• DHCP Relay (wenn der DHCP-Server nicht im VLAN steht)
• Gateway-ARP-Verhalten (Proxy ARP, ARP-Timeouts, ARP-Inspection-Interaktion)
• Kontrolle von DHCP-Optionen (z. B. Option 82, wenn eingesetzt)
• L3-Sicherheitskontrollen: ACLs, uRPF, Control Plane Policing

DHCP Relay auf Router: ip helper-address richtig einsetzen

Wenn der DHCP-Server zentral steht und Clients in anderen VLANs sind, brauchst du DHCP Relay. Der Router nimmt Broadcast-DHCP (DISCOVER) entgegen und leitet es als Unicast an den DHCP-Server weiter.

Beispiel: DHCP Relay auf einem VLAN-Interface

Router# configure terminal
Router(config)# interface gigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# ip helper-address 192.168.100.10
Router(config-subif)# end

Wichtig: Helper leitet mehrere UDP-Services weiter

ip helper-address forwardet standardmäßig mehrere UDP-Ports (z. B. TFTP). Wenn du das nicht willst, solltest du gezielt DHCP-Forwarding kontrollieren.

Router# show running-config | include ip forward-protocol|ip helper-address

DHCP Snooping Trust-Design: Router-Uplink muss „trusted“ sein

In einem Snooping-Design markierst du Switch-Uplinks (zum Router, zu DHCP-Servern) als „trusted“. Auf untrusted Access-Ports werden DHCP-Server-Antworten verworfen. Der Router selbst muss dabei meist nichts „Snooping-spezifisch“ tun – aber er muss als legitimer Relay-Pfad funktionieren.

• Switch-Port zum Router/Uplink: trusted
• Access-Ports zu Clients: untrusted
• DHCP-Server-Antworten dürfen nur über trusted Ports kommen

DAI und Router-Gateway: ARP am Default Gateway sauber halten

DAI prüft ARP gegen die Binding-Table. Der Router als Gateway ist dabei ein Sonderfall: er nutzt ARP für die eigene Interface-IP (SVI/Subinterface). Wenn ARP-Policies falsch sind, kann es zu „komischen“ Connectivity-Problemen kommen.

Router-seitige Best Practices im VLAN

• no ip proxy-arp im Client-VLAN, wenn nicht benötigt
• Gateway-IP statisch und konsistent (kein „wechselndes Gateway“)
• Keine unnötigen L2-„Tricks“, die ARP-Tabellen verwirren

Beispiel: Proxy ARP deaktivieren (typisch für sauberes Design)

Router# configure terminal
Router(config)# interface gigabitEthernet0/0.10
Router(config-subif)# no ip proxy-arp
Router(config-subif)# end

Option 82 (DHCP Relay Information): Wann Router das betrifft

In vielen Netzen fügt der Switch (oder Relay) Option 82 hinzu, um Standort/Port-Informationen an den DHCP-Server zu übermitteln. Das kann Security- und Policy-Designs unterstützen, kann aber auch DHCP „brechen“, wenn der Server Option 82 nicht akzeptiert.

• Option 82 kann vom Switch oder Relay eingefügt werden
• DHCP-Server muss Option 82-Policy kennen (accept/replace/drop)
• Fehlerbild: DHCP DISCOVER geht raus, OFFER kommt nie an

Router/Relay Troubleshooting bei DHCP-Problemen

Router# show ip interface gigabitEthernet0/0.10
Router# show running-config interface gigabitEthernet0/0.10
Router# show ip route 192.168.100.10
Router# show logging

Router-seitige Alternativen: Was du statt Snooping/DAI tun kannst

Wenn du Router-only unterwegs bist oder zusätzliche Absicherung willst, helfen L3-Controls. Sie verhindern nicht jeden L2-Angriff im VLAN, reduzieren aber Impact und Angriffsfläche.

• ACLs zwischen VLANs (Segmentierung, Least Privilege)
• uRPF gegen Source-IP-Spoofing (wo Routing symmetrisch ist)
• CoPP/CPPr, um CPU vor Floods zu schützen
• Management-Hardening (VTY ACL, AAA, SSH-only)

uRPF als Router-Spoofing-Schutz (Prinzip)

Router# configure terminal
Router(config)# interface gigabitEthernet0/0.10
Router(config-subif)# ip verify unicast source reachable-via rx
Router(config-subif)# end

Typische Fehlerbilder: Wenn DHCP Snooping/DAI „plötzlich“ DHCP killt

In vielen Fällen wird Snooping/DAI aktiviert, aber Trust-Ports oder DHCP Relay sind nicht korrekt. Dann wirkt es wie „Router-Problem“, ist aber ein L2-Policy-Problem.

• Uplink zum Router/DHCP-Server nicht trusted → DHCP OFFER wird gedroppt
• Relay falsch (helper auf falschem Interface/VLAN) → Discover erreicht Server nicht
• Option 82 wird eingefügt, DHCP-Server dropt → keine Leases
• DAI aktiv, aber Binding-Table leer/statisch falsch → ARP wird geblockt

Router-Checks zur Abgrenzung

show ip interface brief
show running-config | include ip helper-address
show ip route
ping 192.168.100.10
show arp

Praxisempfehlung: Zuständigkeiten sauber trennen

Ein robustes Design setzt DHCP Snooping und DAI am Switch-Access um und sorgt auf Router-Seite für sauberes L3-Gateway- und Relay-Verhalten. So bekommst du maximale Wirkung ohne unerwartete Nebenwirkungen.

• Switch: Snooping/DAI + Trusted Uplinks + Binding-Table
• Router: DHCP Relay korrekt, Proxy ARP nur wenn nötig, klare ACLs
• Betrieb: Verifikation und Logging auf beiden Ebenen

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.