DHCP Snooping: Switch-Sicherheit in Packet Tracer nachbauen

DHCP Snooping ist eine zentrale Layer-2-Sicherheitsfunktion im Access-Layer: Der Switch unterscheidet zwischen „trusted“ Ports (dort darf ein legitimer DHCP-Server antworten) und „untrusted“ Ports (dort werden DHCP-Server-Antworten blockiert). Damit verhindern Sie Rogue-DHCP-Angriffe, bei denen ein Angreifer Clients falsche IPs, Gateways oder DNS-Server verteilt. In Packet Tracer können Sie das Prinzip praxisnah nachbauen: erst DHCP normal testen, dann DHCP Snooping aktivieren, Rogue-Server simulieren und die Wirkung verifizieren.

Was DHCP Snooping schützt

Ohne Schutz kann jeder Host im VLAN DHCP-Offers senden. Clients nehmen häufig das „erste“ Angebot an – damit kann ein Rogue-Server den gesamten Traffic umleiten (Man-in-the-Middle) oder den Zugriff komplett stören.

• Blockt DHCP-Server-Antworten auf untrusted Ports (DHCPOFFER/DHCPACK)
• Erlaubt legitime Antworten nur auf trusted Ports
• Erstellt eine DHCP-Snooping-Binding-Tabelle (MAC↔IP↔VLAN↔Port)
• Grundlage für weitere Features wie DAI (Dynamic ARP Inspection) und IP Source Guard

Was in Packet Tracer realistisch funktioniert (und was nicht)

Die grundlegende Logik „trusted vs. untrusted“ lässt sich in Packet Tracer gut trainieren. Je nach Switch-Modell/Packet-Tracer-Version kann die Tiefe der Snooping-Outputs (Bindings, Counters, Drops) variieren. Wenn ein bestimmter Show-Befehl nicht verfügbar ist, verifizieren Sie über das Verhalten der Clients (DHCP ja/nein) und Port-/VLAN-Konfiguration.

• Funktioniert typischerweise: Aktivierung pro VLAN, Trusted-Port setzen, DHCP-Blocking auf Untrusted
• Kann eingeschränkt sein: detaillierte Counters/Binding-Details je nach Modell
• Praxisregel: Verhalten testen und zusätzlich Konfiguration prüfen

Lab-Setup: Legitimer DHCP-Server vs. Rogue DHCP

Für ein sauberes Übungslab verwenden Sie einen Switch, einen legitimen DHCP-Server (Router oder Server) und einen „Angreifer“-Host, der ebenfalls DHCP anbietet. Mindestens ein Client bezieht per DHCP eine Adresse.

• SW1 (Access-Switch, z. B. 2960)
• Legitimer DHCP-Server: Router R1 oder Server S1
• Client: PC1 (DHCP-Client)
• Rogue: PC2 oder Server S2 (simuliert DHCP-Server im Access-Port)
• VLAN10 als Test-VLAN

IP-Plan (Beispiel VLAN10)

• VLAN10: 192.168.10.0/24
• Gateway (Router): 192.168.10.1
• DHCP-Range: z. B. 192.168.10.100-200

Subnetting-Kurzcheck

/24 = 255.255.255.0 , Hosts = 28 – 2 = 254

Schritt 1: VLAN und Access-Ports konfigurieren

Legen Sie VLAN10 an und weisen Sie die Ports für Client, Rogue und Uplink zum legitimen DHCP-Server zu. Für das Basislab reicht ein einzelnes VLAN.

VLAN10 anlegen

enable
configure terminal
hostname SW1
vlan 10
 name USERS
end
write memory

Access-Ports zuweisen (Beispiel)

• Fa0/1: PC1 (Client)
• Fa0/2: PC2 (Rogue)
• Gi0/1: Uplink zu R1/S1 (DHCP legit)

enable
configure terminal
interface fastEthernet0/1

description PC1_CLIENT

switchport mode access

switchport access vlan 10

spanning-tree portfast

exit
interface fastEthernet0/2

description PC2_ROGUE

switchport mode access

switchport access vlan 10

spanning-tree portfast

exit
interface gigabitEthernet0/1

description UPLINK_TO_DHCP

switchport mode access

switchport access vlan 10

exit
end

write memory

Schritt 2: Legitimen DHCP-Server bereitstellen

Für schnelle Labs ist ein Router als DHCP-Server ideal. Konfigurieren Sie auf R1 eine IP im VLAN10 und einen DHCP-Pool. Danach stellen Sie PC1 auf DHCP und prüfen, ob er eine Adresse bekommt.

R1 als DHCP-Server (Beispiel)

enable
configure terminal
hostname R1
interface gigabitEthernet0/0

description VLAN10_TO_SW1

ip address 192.168.10.1 255.255.255.0

no shutdown

exit
ip dhcp excluded-address 192.168.10.1 192.168.10.20

ip dhcp pool VLAN10

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 8.8.8.8

exit
end

write memory

PC1: DHCP beziehen und prüfen

ipconfig

Schritt 3: Rogue DHCP simulieren

Um den Angriff nachzustellen, konfigurieren Sie auf PC2 oder einem Server einen DHCP-Service im gleichen VLAN. In Packet Tracer gelingt das typischerweise am einfachsten mit einem Server-Gerät (DHCP-Service einschalten) oder einem Endgerät mit DHCP-Server-Funktion, falls verfügbar. Ziel ist: PC1 soll „falsche“ Werte erhalten oder DHCP wird instabil.

• Rogue verteilt falsches Gateway (z. B. 192.168.10.254) oder falsches DNS
• PC1 erhält unerwartete IP oder verliert korrekte Konnektivität
• Ohne Snooping ist das Verhalten oft „unzuverlässig“ – genau das ist der Lerneffekt

Schritt 4: DHCP Snooping aktivieren und Trusted-Port setzen

Aktivieren Sie DHCP Snooping auf dem Switch und beschränken Sie es auf VLAN10. Danach markieren Sie den Uplink zum legitimen DHCP-Server als trusted. Alle Access-Ports bleiben untrusted (Standard) und dürfen keine DHCP-Server-Antworten senden.

DHCP Snooping global und für VLAN10 aktivieren

enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
end
write memory

Trusted-Port zum legitimen DHCP-Server setzen

enable
configure terminal
interface gigabitEthernet0/1
 ip dhcp snooping trust
end
write memory

Optional: Rate-Limit auf untrusted Ports (DoS-Schutz)

In der Praxis begrenzen Sie DHCP-Requests pro Sekunde auf untrusted Ports, um Flooding zu reduzieren. Für Labs reicht ein moderater Wert.

enable
configure terminal
interface range fastEthernet0/1 - 2
 ip dhcp snooping limit rate 15
end
write memory

Schritt 5: Verifikation – funktioniert DHCP nur noch „legitim“?

Nach Aktivierung sollte PC1 seine DHCP-Adresse zuverlässig vom legitimen Server erhalten. Rogue-DHCP-Angebote auf untrusted Ports werden verworfen. Verifizieren Sie sowohl über das Client-Verhalten als auch über Switch-Outputs.

Client-Test (PC1)

ipconfig
ping 192.168.10.1

Switch-Status prüfen

enable
show ip dhcp snooping
show ip dhcp snooping binding

Wenn ein Show-Befehl in Ihrer Packet-Tracer-Version fehlt

• Konfiguration über show running-config | include dhcp snooping prüfen
• Verhalten prüfen: PC1 bekommt stabile DHCP-Lease nur vom legitimen Server

enable
show running-config | include dhcp snooping

Typische Fehler in DHCP-Snooping-Übungen

Wenn nach Aktivierung plötzlich „gar nichts mehr geht“, ist die Ursache fast immer ein falsch gesetzter Trusted-Port oder eine fehlende VLAN-Zuordnung. DHCP Snooping ist bewusst restriktiv: Ohne trusted Uplink blockt der Switch die legitimen DHCP-Antworten ebenfalls.

Fehler: DHCP funktioniert nach Aktivierung nicht mehr

• Uplink zum DHCP-Server ist nicht trusted
• DHCP Snooping ist nicht für das VLAN aktiviert (ip dhcp snooping vlan 10 fehlt)
• DHCP-Server hängt nicht im erwarteten VLAN

Fehler: Rogue DHCP wirkt weiterhin

• Rogue hängt am trusted Port (falscher Port trusted gesetzt)
• Rogue sitzt „hinter“ einem Switch, dessen Uplink trusted ist (Design prüfen)
• VLAN-Mismatch: Snooping aktiviert, aber Rogue/Client im anderen VLAN

Fehler: IP Phones/PCs hinter einem Access-Port bekommen keine IP

• Rate-Limit zu niedrig gesetzt (DHCP-Requests werden gedroppt)
• Mehrere Geräte am gleichen Port erzeugen mehr DHCP-Traffic als erwartet

Best Practices: DHCP Snooping „profi-like“ in Lernlabs einsetzen

Damit Ihr Lab reproduzierbar bleibt, setzen Sie klare Regeln für trusted Ports und dokumentieren Sie diese. In der Praxis sind trusted Ports typischerweise Uplinks Richtung Distribution/Core oder Ports zu legitimen DHCP-Servern.

• Trusted nur dort, wo legitime DHCP-Server-Antworten herkommen
• Untrusted ist Standard für alle Access-Ports
• Snooping immer VLAN-spezifisch aktivieren (nicht „blind“ für alles)
• Rate-Limits moderat setzen, dann testen
• Bindings prüfen und als Basis für weitere Security-Übungen nutzen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.