Differences

This shows you the differences between two versions of the page.

--- informatique:extreme_networks [2025/10/15 15:30] – [authentification par mac] pteu
+++ informatique:extreme_networks [2026/03/04 14:51] (current) – [DHCP snooping] pteu
@@ Line 1270: / Line 1270: @@
 [...]
 </file>
+=====DHCP snooping=====
+Le DHCP snooping est un service de sécurité qui permet de spécifier à un switch où (sur quel port) est situé le serveur DHCP légitime, afin qu'il bloque les flux DHCP illicites émanant des ports utilisateur. On ne l'active pas toujours avant de rencontrer le premier incident de rogue DHCP server ;) .
+Le DHCP snooping s'active par port et par VLAN ; les flux bloqués sont les flux à destination des clients (dst udp/68), qui ne sont permis que s'ils arrivent d'un "trust port" = un port desservant un serveur DHCP légitime.
+On peut choisir l'action à faire (''violation-action'') en plus de bloquer le paquet udp/68.
+<code bash>
+# définir un serveur DHCP par VLAN (limité à 8)
+configure trusted-servers vlan v2 add server 192.168.1.253 trust-for dhcp-server
+# alternative: définir le port 1 comme "trust port" sans restriction d'IP
+configure trusted-port 1 trust-for dhcp-server
+# activer la protection sur les ports utilisateur et bloquer pour 1h l'adresse MAC du rogue DHCP
+enable ip-security dhcp-snooping vlan v2 port 2-48 violation-action drop-packet block-mac duration 3600 snmp-trap
+</code>
+Vérifications
+<code bash>
+show ip-security dhcp-snooping vlan v2-Commerciaux
+show configuration ipSecurity
+</code>
+Logs typiques :
+<code bash>
+/03/2026 15:56:41.76 <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN v2 with IP 192.168.0.1 was detected on port 5
+/03/2026 15:56:41.76 <Warn:ipSecur.blkMac> DHCP violation occurred. Blocking MAC 70:F3:5A:00:11:22 temporarily
+</code>
 =====Spanning-tree=====