DHCP Snooping ist eine zentrale Layer-2-Sicherheitsfunktion im Access-Layer: Der Switch unterscheidet zwischen „trusted“ Ports (dort darf ein legitimer DHCP-Server antworten) und „untrusted“ Ports (dort werden DHCP-Server-Antworten blockiert). Damit verhindern Sie Rogue-DHCP-Angriffe, bei denen ein Angreifer Clients falsche IPs, Gateways oder DNS-Server verteilt. In Packet Tracer können Sie das Prinzip praxisnah nachbauen: erst DHCP normal testen, dann DHCP Snooping aktivieren, Rogue-Server simulieren und die Wirkung verifizieren.
Was DHCP Snooping schützt
Ohne Schutz kann jeder Host im VLAN DHCP-Offers senden. Clients nehmen häufig das „erste“ Angebot an – damit kann ein Rogue-Server den gesamten Traffic umleiten (Man-in-the-Middle) oder den Zugriff komplett stören.
- Blockt DHCP-Server-Antworten auf untrusted Ports (DHCPOFFER/DHCPACK)
- Erlaubt legitime Antworten nur auf trusted Ports
- Erstellt eine DHCP-Snooping-Binding-Tabelle (MAC↔IP↔VLAN↔Port)
- Grundlage für weitere Features wie DAI (Dynamic ARP Inspection) und IP Source Guard
Was in Packet Tracer realistisch funktioniert (und was nicht)
Die grundlegende Logik „trusted vs. untrusted“ lässt sich in Packet Tracer gut trainieren. Je nach Switch-Modell/Packet-Tracer-Version kann die Tiefe der Snooping-Outputs (Bindings, Counters, Drops) variieren. Wenn ein bestimmter Show-Befehl nicht verfügbar ist, verifizieren Sie über das Verhalten der Clients (DHCP ja/nein) und Port-/VLAN-Konfiguration.
- Funktioniert typischerweise: Aktivierung pro VLAN, Trusted-Port setzen, DHCP-Blocking auf Untrusted
- Kann eingeschränkt sein: detaillierte Counters/Binding-Details je nach Modell
- Praxisregel: Verhalten testen und zusätzlich Konfiguration prüfen
Lab-Setup: Legitimer DHCP-Server vs. Rogue DHCP
Für ein sauberes Übungslab verwenden Sie einen Switch, einen legitimen DHCP-Server (Router oder Server) und einen „Angreifer“-Host, der ebenfalls DHCP anbietet. Mindestens ein Client bezieht per DHCP eine Adresse.
- SW1 (Access-Switch, z. B. 2960)
- Legitimer DHCP-Server: Router R1 oder Server S1
- Client: PC1 (DHCP-Client)
- Rogue: PC2 oder Server S2 (simuliert DHCP-Server im Access-Port)
- VLAN10 als Test-VLAN
IP-Plan (Beispiel VLAN10)
- VLAN10:
192.168.10.0/24 - Gateway (Router):
192.168.10.1 - DHCP-Range: z. B.
192.168.10.100-200
Subnetting-Kurzcheck
Schritt 1: VLAN und Access-Ports konfigurieren
Legen Sie VLAN10 an und weisen Sie die Ports für Client, Rogue und Uplink zum legitimen DHCP-Server zu. Für das Basislab reicht ein einzelnes VLAN.
VLAN10 anlegen
enable
configure terminal
hostname SW1
vlan 10
name USERS
end
write memoryAccess-Ports zuweisen (Beispiel)
- Fa0/1: PC1 (Client)
- Fa0/2: PC2 (Rogue)
- Gi0/1: Uplink zu R1/S1 (DHCP legit)
enable
configure terminal
interface fastEthernet0/1
description PC1_CLIENT
switchport mode access
switchport access vlan 10
spanning-tree portfast
exit
interface fastEthernet0/2
description PC2_ROGUE
switchport mode access
switchport access vlan 10
spanning-tree portfast
exit
interface gigabitEthernet0/1
description UPLINK_TO_DHCP
switchport mode access
switchport access vlan 10
exit
end
write memory
Schritt 2: Legitimen DHCP-Server bereitstellen
Für schnelle Labs ist ein Router als DHCP-Server ideal. Konfigurieren Sie auf R1 eine IP im VLAN10 und einen DHCP-Pool. Danach stellen Sie PC1 auf DHCP und prüfen, ob er eine Adresse bekommt.
R1 als DHCP-Server (Beispiel)
enable
configure terminal
hostname R1
interface gigabitEthernet0/0
description VLAN10_TO_SW1
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
ip dhcp excluded-address 192.168.10.1 192.168.10.20
ip dhcp pool VLAN10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
exit
end
write memory
PC1: DHCP beziehen und prüfen
ipconfigSchritt 3: Rogue DHCP simulieren
Um den Angriff nachzustellen, konfigurieren Sie auf PC2 oder einem Server einen DHCP-Service im gleichen VLAN. In Packet Tracer gelingt das typischerweise am einfachsten mit einem Server-Gerät (DHCP-Service einschalten) oder einem Endgerät mit DHCP-Server-Funktion, falls verfügbar. Ziel ist: PC1 soll „falsche“ Werte erhalten oder DHCP wird instabil.
- Rogue verteilt falsches Gateway (z. B.
192.168.10.254) oder falsches DNS - PC1 erhält unerwartete IP oder verliert korrekte Konnektivität
- Ohne Snooping ist das Verhalten oft „unzuverlässig“ – genau das ist der Lerneffekt
Schritt 4: DHCP Snooping aktivieren und Trusted-Port setzen
Aktivieren Sie DHCP Snooping auf dem Switch und beschränken Sie es auf VLAN10. Danach markieren Sie den Uplink zum legitimen DHCP-Server als trusted. Alle Access-Ports bleiben untrusted (Standard) und dürfen keine DHCP-Server-Antworten senden.
DHCP Snooping global und für VLAN10 aktivieren
enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
end
write memoryTrusted-Port zum legitimen DHCP-Server setzen
enable
configure terminal
interface gigabitEthernet0/1
ip dhcp snooping trust
end
write memoryOptional: Rate-Limit auf untrusted Ports (DoS-Schutz)
In der Praxis begrenzen Sie DHCP-Requests pro Sekunde auf untrusted Ports, um Flooding zu reduzieren. Für Labs reicht ein moderater Wert.
enable
configure terminal
interface range fastEthernet0/1 - 2
ip dhcp snooping limit rate 15
end
write memorySchritt 5: Verifikation – funktioniert DHCP nur noch „legitim“?
Nach Aktivierung sollte PC1 seine DHCP-Adresse zuverlässig vom legitimen Server erhalten. Rogue-DHCP-Angebote auf untrusted Ports werden verworfen. Verifizieren Sie sowohl über das Client-Verhalten als auch über Switch-Outputs.
Client-Test (PC1)
ipconfig
ping 192.168.10.1Switch-Status prüfen
enable
show ip dhcp snooping
show ip dhcp snooping bindingWenn ein Show-Befehl in Ihrer Packet-Tracer-Version fehlt
- Konfiguration über
show running-config | include dhcp snoopingprüfen - Verhalten prüfen: PC1 bekommt stabile DHCP-Lease nur vom legitimen Server
enable
show running-config | include dhcp snoopingTypische Fehler in DHCP-Snooping-Übungen
Wenn nach Aktivierung plötzlich „gar nichts mehr geht“, ist die Ursache fast immer ein falsch gesetzter Trusted-Port oder eine fehlende VLAN-Zuordnung. DHCP Snooping ist bewusst restriktiv: Ohne trusted Uplink blockt der Switch die legitimen DHCP-Antworten ebenfalls.
Fehler: DHCP funktioniert nach Aktivierung nicht mehr
- Uplink zum DHCP-Server ist nicht trusted
- DHCP Snooping ist nicht für das VLAN aktiviert (
ip dhcp snooping vlan 10fehlt) - DHCP-Server hängt nicht im erwarteten VLAN
Fehler: Rogue DHCP wirkt weiterhin
- Rogue hängt am trusted Port (falscher Port trusted gesetzt)
- Rogue sitzt „hinter“ einem Switch, dessen Uplink trusted ist (Design prüfen)
- VLAN-Mismatch: Snooping aktiviert, aber Rogue/Client im anderen VLAN
Fehler: IP Phones/PCs hinter einem Access-Port bekommen keine IP
- Rate-Limit zu niedrig gesetzt (DHCP-Requests werden gedroppt)
- Mehrere Geräte am gleichen Port erzeugen mehr DHCP-Traffic als erwartet
Best Practices: DHCP Snooping „profi-like“ in Lernlabs einsetzen
Damit Ihr Lab reproduzierbar bleibt, setzen Sie klare Regeln für trusted Ports und dokumentieren Sie diese. In der Praxis sind trusted Ports typischerweise Uplinks Richtung Distribution/Core oder Ports zu legitimen DHCP-Servern.
- Trusted nur dort, wo legitime DHCP-Server-Antworten herkommen
- Untrusted ist Standard für alle Access-Ports
- Snooping immer VLAN-spezifisch aktivieren (nicht „blind“ für alles)
- Rate-Limits moderat setzen, dann testen
- Bindings prüfen und als Basis für weitere Security-Übungen nutzen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
