Pour activer le DHCP Snooping sur un commutateur il faut tout d’abord utiliser la commande : « ip dhcp snooping ».

Ensuite il faut définir les VLAN qui vont devoir être pris en compte par le DHCP Snooping grâce à la commande : « ip dhcp snooping vlan numéro_vlan [numéro_vlan] »

Il faut ensuite activer l’option 82 du protocole DHCP car le DHCP Snooping en a besoin pour fonctionner. Pour cela il faut utiliser la commande : « ip dhcp snooping information option ».

Pour finir, il ne reste plus qu’à définir les interfaces qui seront dites de confiance (par défaut aucune interface n’est de confiance) et définir un nombre maximum de requêtes DHCP par seconde qui peuvent être envoyées sur un port.

Ceci va être possible grâce aux commandes : « ip dhcp snooping trust » et « ip dhcp snooping limit rate nombre ».

Voici un exemple de configuration d’un commutateur utilisant le DHCP Snooping et ayant définit l’interface fastethernet 0/0 comme étant de confiance :

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 3 15
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/0
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 50

6. Conclusion

Les attaques utilisant des serveurs DHCP pirates sont encore bien trop fréquentes et faciles à mettre en œuvre à l’heure actuelle.

C’est pourquoi il devient inévitable pour un administrateur souhaitant apporter un minimum de sécurité à travers son réseau, d’utiliser le DHCP Snooping au sein de celui-ci.