Cisco 스위치 DHCP Snooping 기초 설정
들어가며
기업이나 공공기관, 제조공장 등의 네트워크를 운영하다 보면 사용자가 무심코 연결한 공유기나 테스트용 DHCP 서버 때문에 예상치 못한 장애가 발생하는 경우가 있다. 정상적으로 운영 중이던 네트워크에서 일부 PC가 갑자기 인터넷이 되지 않거나, 잘못된 IP 주소를 할당받거나, 게이트웨이 정보가 변경되는 현상이 발생한다면 DHCP 관련 문제를 의심해 볼 필요가 있다.
실제로 네트워크 장애의 원인 중 하나는 Rogue DHCP Server(비인가 DHCP 서버)이다. 사용자가 개인 공유기를 연결하거나 테스트용 장비를 연결하면서 DHCP 기능을 활성화한 경우, 정상 DHCP 서버보다 먼저 응답하여 사용자 단말에 잘못된 네트워크 정보를 제공할 수 있다.
Cisco 스위치에서는 이러한 문제를 방지하기 위해 DHCP Snooping 기능을 제공한다. DHCP Snooping은 스위치가 DHCP 패킷을 검사하여 신뢰할 수 있는 DHCP 서버만 IP 주소를 할당하도록 허용하는 보안 기능이다.
이번 글에서는 DHCP Snooping의 개념과 동작 원리, 기본 설정 방법, 검증 명령어, 실무 적용 사례 및 운영 시 주의사항까지 자세히 알아보겠다.
DHCP Snooping이란?
DHCP Snooping은 Layer 2 스위치에서 동작하는 보안 기능으로, DHCP 메시지를 검사하여 비인가 DHCP 서버의 응답을 차단하는 기술이다.
예를 들어 다음과 같은 환경을 가정해 보자.
DHCP Server
│
Gi1/0/48
│
Cisco Switch
│
Gi1/0/10
│
PC정상 환경에서는 DHCP 서버가 IP 주소를 할당한다.
하지만 사용자가 개인 공유기를 연결한 경우
DHCP Server
│
Cisco Switch
├── PC
└── 공유기(DHCP 활성화)PC는 정상 DHCP 서버가 아닌 공유기로부터 IP를 받을 수 있다.
이러한 상황을 DHCP Snooping이 차단한다.
DHCP 관련 보안 위협
DHCP Snooping을 이해하려면 먼저 어떤 문제가 발생할 수 있는지 알아야 한다.
대표적인 사례는 다음과 같다.
Rogue DHCP Server
비인가 DHCP 서버가 네트워크에 연결되는 경우
DHCP Starvation Attack
대량의 DHCP 요청을 발생시켜 IP Pool을 고갈시키는 공격
잘못된 Gateway 정보 제공
사용자를 공격자가 지정한 게이트웨이로 유도
DNS 조작
가짜 DNS 서버 정보 전달
Man-in-the-Middle 공격
트래픽 가로채기 시도
DHCP Snooping 동작 원리
DHCP Snooping은 스위치 포트를 Trusted Port와 Untrusted Port로 구분한다.
DHCP Server
│
Trusted Port
│
Cisco Switch
│
Untrusted Port
│
사용자 PCDHCP 서버가 연결된 포트는 Trusted로 설정한다.
사용자 단말이 연결된 포트는 기본적으로 Untrusted 상태이다.
Trusted Port
허용된 DHCP 응답 가능
DHCP Offer
DHCP ACK전송 허용
Untrusted Port
DHCP 응답 차단
DHCP Offer
DHCP ACK전송 불가
즉 비인가 DHCP 서버가 사용자 포트에 연결되어도 DHCP 응답이 차단된다.
DHCP 패킷 흐름 이해하기
일반적인 DHCP 동작 과정
DHCP Discover
↓
DHCP Offer
↓
DHCP Request
↓
DHCP ACK이를 DORA 과정이라고 한다.
D - Discover
클라이언트가 DHCP 서버 탐색
O - Offer
DHCP 서버가 IP 제안
R - Request
클라이언트가 요청
A - Acknowledgement
최종 IP 할당
DHCP Snooping은 이 과정에서 Offer와 ACK 패킷을 검사한다.
DHCP Snooping 기본 설정
1. DHCP Snooping 활성화
전역 설정
configure terminal
ip dhcp snooping2. VLAN 지정
DHCP Snooping을 적용할 VLAN 선택
ip dhcp snooping vlan 10여러 VLAN
ip dhcp snooping vlan 10,20,303. DHCP 서버 포트 Trusted 설정
예시
interface GigabitEthernet1/0/48
ip dhcp snooping trustDHCP 서버 또는 상위 스위치 연결 포트에 적용
4. 설정 저장
write memory또는
copy running-config startup-config설정 검증 방법
현재 상태 확인
show ip dhcp snooping예시
Switch DHCP snooping is enabled
DHCP snooping is configured on VLANs:
10Trusted 포트 확인
show ip dhcp snooping결과
Trusted Interfaces
Gi1/0/48DHCP Snooping Binding Table
DHCP Snooping은 IP 정보를 저장한다.
확인
show ip dhcp snooping binding예시
MacAddress IpAddress
0011.2233.4455 192.168.10.100저장 정보
- MAC 주소
- IP 주소
- VLAN
- Lease 시간
- 인터페이스
Binding Table이 중요한 이유
DHCP Snooping은 단순히 DHCP 서버만 차단하는 기능이 아니다.
이 정보를 기반으로
Dynamic ARP Inspection
IP Source Guard
Device Tracking등의 보안 기능이 동작한다.
즉 DHCP Snooping은 Cisco Access 보안의 기반 기능이라고 볼 수 있다.
DHCP Rate Limit 설정
DHCP 공격 방지 기능
예시
interface GigabitEthernet1/0/10
ip dhcp snooping limit rate 20의미
초당 20개 DHCP 패킷 허용효과
DHCP Starvation Attack 차단DHCP Snooping 적용 예제
사용자 포트
interface range Gi1/0/1-24
switchport mode access기본적으로 Untrusted
추가 설정 불필요
DHCP 서버 연결 포트
interface Gi1/0/48
description DHCP_SERVER
ip dhcp snooping trust전체 설정
ip dhcp snooping
ip dhcp snooping vlan 10
interface Gi1/0/48
ip dhcp snooping trust실무 구성 예시
단일 DHCP 서버 환경
DHCP Server
│
Gi1/0/48
│
Cisco Switch
│
사용자 PCGi1/0/48만 Trusted
Core 스위치 DHCP Relay 환경
DHCP Server
│
Core Switch
│
Distribution
│
Access Switch상위 연결 Uplink 포트를 Trusted 설정
DHCP Snooping 로그 확인
로그 확인
show logging예시
DHCP_SNOOPING
DHCP packet received on untrusted port비인가 DHCP 서버 발견 가능
DHCP Snooping 장애 사례
사례 1
증상
PC가 IP를 못 받음원인
DHCP 서버 포트 미신뢰조치
ip dhcp snooping trust적용
사례 2
증상
특정 VLAN만 DHCP 실패원인
VLAN 미등록조치
ip dhcp snooping vlan 20추가
사례 3
증상
공유기 연결 후 사용자 장애원인
Rogue DHCP Server조치
DHCP Snooping 활성화후 정상화
DHCP Snooping과 Dynamic ARP Inspection 관계
많은 엔지니어가 함께 적용한다.
구성
DHCP Snooping
↓
Binding Table 생성
↓
Dynamic ARP Inspection
↓
ARP Spoofing 차단실무에서는 거의 세트로 사용된다.
DHCP Snooping과 IP Source Guard 관계
동작 순서
DHCP Snooping
↓
IP-MAC 정보 저장
↓
IP Source Guard
↓
위조 IP 차단따라서 DHCP Snooping이 먼저 활성화되어야 한다.
운영 시 주의사항
DHCP 서버 포트 반드시 Trust
누락 시 DHCP 실패
Uplink 포트 확인
상위 스위치 경유 시 Trust 필요
VLAN 등록 확인
DHCP Snooping VLAN 누락 주의
변경 후 테스트 수행
IP 재할당 확인
로그 주기적 확인
비인가 DHCP 서버 탐지
구축 후 점검 체크리스트
□ DHCP Snooping 활성화 확인
□ VLAN 등록 확인
□ DHCP 서버 포트 Trust 확인
□ Uplink 포트 Trust 확인
□ Binding Table 생성 확인
□ 클라이언트 IP 할당 확인
□ DHCP 로그 확인
□ Rate Limit 설정 확인
□ Rogue DHCP 차단 테스트
□ 설정 저장 확인마무리
DHCP Snooping은 Cisco 스위치에서 제공하는 대표적인 Layer 2 보안 기능으로, 비인가 DHCP 서버를 차단하고 정상 DHCP 서버만 IP 주소를 할당할 수 있도록 보호하는 역할을 수행한다.
특히 기업 네트워크에서는 개인 공유기 연결이나 테스트 장비 사용으로 인해 Rogue DHCP Server가 발생하는 사례가 적지 않기 때문에 DHCP Snooping은 필수적인 보안 기능으로 평가받고 있다.
또한 DHCP Snooping은 Dynamic ARP Inspection, IP Source Guard와 같은 추가 보안 기능의 기반이 되는 기술이므로 단순한 DHCP 보호 기능 이상의 의미를 가진다.
Cisco 스위치를 운영하는 네트워크 엔지니어라면 DHCP Snooping의 동작 원리와 Trusted Port 개념을 정확히 이해하고, 구축 초기 단계부터 적용하는 습관을 갖는 것이 안전한 네트워크 운영의 첫걸음이 될 것이다.