5、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)

  

  环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的fa0/1口;两交换机互连口都是gi0/1

  3560交换机相关配置:

  ip dhcp excluded-address 192.168.10.1

  !

  ip dhcp pool test

  network 192.168.10.0 255.255.255.0

  default-router 192.168.10.1

  lease 8

  !

  ip dhcp snooping vlan 10

  ip dhcp snooping information option allow-untrusted

  ip dhcp snooping

  !

  interface FastEthernet0/1

  description : Connect to PC1

  switchport access vlan 10

  switchport mode access

  spanning-tree portfast

  ip dhcp snooping limit rate 15

  !

  interface GigabitEthernet0/1

  description : Connect to C2960_Gi0/1

  switchport trunk encapsulation dot1q

  switchport mode trunk

  ip dhcp snooping limit rate 360

  2960交换机相关配置:

  ip dhcp snooping vlan 10

  ip dhcp snooping

  interface FastEthernet0/1

  description : Connect to PC2

  switchport access vlan 10

  switchport mode access

  spanning-tree portfast

  ip dhcp snooping limit rate 15

  !

  interface GigabitEthernet0/1

  description : Connect to C3560_Gi0/1

  switchport mode trunk

  ip dhcp snooping trust

  说明:

  本例中3560和2960同时开启了DHCP监听功能。从2960过来的DHCP请求报文是已经被插入了选项82信息,如果将3560的Gi0/1设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目,而没有PC2的绑定条目。

  如果此时同时部署DAI,IPSG,由于2960不支持这两项功能,对于3560来说,从2960上过来的数据可能存在IP欺骗和ARP欺骗等***,是不安全的。另一方面,由于3560没有PC2的绑定条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG,就不能将3560的Gi0/1设置为信任端口。

  但是将3560的Gi0/1口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插入了82选项的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted命令,否则3560将丢弃这些DHCP请求报文,接在2960上的PC2将得不到IP地址。只有配置了该命令以后,3560才会接收从2960发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。

  3560下联的Gi0/1口由于是非信任端口,默认限速为每秒15个DHCP请求报文,如果2960上的所有PC都同时发起DHCP请求,可能此端口会被errdisable掉。这里假设2960为24口,因此简单的设置限速为24*15=360。

  2960上联的Gi0/1口必须被配置为信任端口,否则将丢弃从3560过来的DHCP应答报文,PC2将无法得到IP地址。

  C3560#show ip dhcp snooping

  Switch DHCP snooping is enabled

  DHCP snooping is configured on following VLANs:

  10

  DHCP snooping is operational on following VLANs:

  10

  DHCP snooping is configured on the following L3 Interfaces:

  Insertion of option 82 is enabled

  circuit-id format: vlan-mod-port

  remote-id format: MAC

  Option 82 on untrusted port is allowed

  Verification of hwaddr field is enabled

  DHCP snooping trust/rate is configured on the following Interfaces:

  Interface       Trusted    Rate limit (pps)

  ------------------------   -------    ----------------

  FastEthernet0/1     no       15

  GigabitEthernet0/1    no       360

  C3560#show ip dhcp snooping binding

  MacAddress    IpAddress   Lease(sec)   Type    VLAN    Interface

  ------------------   ---------------   ----------   -------------   ----   --------------------

  00:0F:1F:C5:10:08 192.168.10.2  685618  dhcp-snooping  10    FastEthernet0/1

  00:0B:DB:08:21:E0 192.168.10.3  688023  dhcp-snooping  10    GigabitEthernet0/1

  C2960#show ip dhcp snooping

  Switch DHCP snooping is enabled

  DHCP snooping is configured on following VLANs:

  10

  Insertion of option 82 is enabled

  circuit-id format: vlan-mod-port

  remote-id format: MAC

  Option 82 on untrusted port is not allowed

  Verification of hwaddr field is enabled

  Interface       Trusted    Rate limit (pps)

  ------------------------   -------     ----------------

  FastEthernet0/1     no        15

  GigabitEthernet0/1    yes      unlimited

  C2960#show ip dhcp snooping binding

  MacAddress   IpAddress   Lease(sec)   Type   VLAN I  nterface

  ------------------  ---------------   ----------   -------------  ----   --------------------

  00:0B:DB:08:21:E0 192.168.10.3 688023  dhcp-snooping  10   FastEthernet0/1

  6、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)

  

  环境:4503交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接4503的gi2/1口,PC2接3560的fa0/1口;两交换机互连口是4503 gi1/1 -- 3560 gi0/1

  4503交换机相关配置:

  ip dhcp excluded-address 192.168.10.1

  !

  ip dhcp pool test

  network 192.168.10.0 255.255.255.0

  default-router 192.168.10.1

  lease 8

  !

  ip dhcp snooping vlan 10

  ip dhcp snooping

  !

  interface GigabitEthernet2/1

  description : Connect to PC1

  switchport access vlan 10

  switchport mode access

  spanning-tree portfast

  ip dhcp snooping limit rate 15

  !

  interface GigabitEthernet1/1

  description : Connect to C3560_Gi0/1

  switchport trunk encapsulation dot1q

  switchport mode trunk

  ip dhcp snooping trust

  3560交换机相关配置:

  ip dhcp snooping vlan 10

  ip dhcp snooping

  interface FastEthernet0/1

  description : Connect to PC2

  switchport access vlan 10

  switchport mode access

  spanning-tree portfast

  ip dhcp snooping limit rate 15

  !

  interface GigabitEthernet0/1

  description : Connect to C4503_Gi1/1

  switchport trunk encapsulation dot1q

  switchport mode trunk

  ip dhcp snooping trust

  说明:

  本例中4503和3560同时开启了DHCP监听功能。由于4503的下联口被设置为信任端口,所以从3560过来的DHCP请求报文即使已经被插入了选项82信息,也允许通过的,但不会为其建立DHCP监听绑定表。所以4503上只有PC1的绑定条目,而没有PC2的绑定条目。

  作为接入层交换机的3560支持DAI,IPSG,如果同时配置这两项功能,那么有理由相信从3560过来的数据是已经经过检验的安全数据,因此将4503的下联口设置为信任端口是可行的。另外,4503没有PC2的绑定条目,也减少了系统运行时所需的内存空间。

  C4503#show ip dhcp snooping binding

  MacAddress   I pAddress   Lease(sec)   Type    VLAN   Interface

  ------------------   ---------------   ----------   -------------   ----   --------------------

  00:0F:1F:C5:10:08 192.168.10.2  685618  dhcp-snooping  10   GigabitEthernet2/1

  C3560#show ip dhcp snooping binding

  MacAddress      IpAddress  Lease(sec)   Type     VLAN    Interface

  ------------------    ---------------   ----------   -------------    ----   --------------------

  00:0B:DB:08:21:E0 192.168.10.3   688023   dhcp-snooping  10   FastEthernet0

转载于:https://blog.51cto.com/rickiequ/831066

开启Cisco交换机DHCP Snooping功能相关推荐

  1. dhcp snooping华为_华为交换机dhcp snooping 功能配置

    华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1 华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10 核心交换机24聚合与桌面交换机47 ...

  2. h3c S2000-EA 交换机DHCP Snooping支持Option 82功能的配置

    一.  组网需求: Switch 的端口Ethernet1/0/5与DHCP 服务器端相连,端口Ethernet1/0/1,Ethernet1/0/2,Ethernet1/0/3分别与DHCP Cli ...

  3. cisco交换机dhcp***防范

    2 DHCP***的防范  2.1采用DHCP管理的常见问题: 采用 DHCP server 可以自动为用户设置网络 IP 地址.掩码.网关. DNS . WINS 等网络参数,简化了用户网络设置,提 ...

  4. DHCP Snooping功能与实例详解

    一.采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ...

  5. H3C交换机DHCP Snooping抑制局域网内非法dhcp

    我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台.由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交 ...

  6. 实训二十八:交换机 DHCP Snooping 的配置

    一.实验目的 1. 了解 DHCP snooping 原理: 2. 熟练掌握交换机 DHCP snooping 的配置方法: 3. 了解该功能的广泛应用. 二.应用环境 1.在 DHCP 的网络环境中 ...

  7. 神州数码DCN交换机 DHCP相关功能配置

    目录 交换机DHCP Server典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机DHCP Relay典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机DHC ...

  8. dhcp snooping华为_华为交换机DHCP snooping

    配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...

  9. 华为交换机DHCP snooping

    配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...

最新文章

  1. 教你用机器学习匹配导师 !(附代码)
  2. Spring Cloud入门教程-Hystrix断路器实现容错和降级
  3. 为了一个科研idea,博士生们连冥想、巫毒仪式都用上了|Reddit热议
  4. QT的QMutex类的使用
  5. 浅析Memcache和Redis
  6. ​​2021快手母婴行业数据价值报告
  7. 学VBSCRIPT从学起
  8. android R制作OTA包时报错
  9. buck变换器设计matlab_在数字控制系统中实现LLC变换器的电流模式控制的思考
  10. 拖拽实例 对于设置监听setInterval 的理解
  11. Spring定时器-Cron表达式
  12. POI 实现Word表格合并单元格(行合并)
  13. Channel is reciprocal
  14. 流传千古的爱情传说原来竟是一个先劫色后劫财的骗局
  15. 小米手机已连接但无法访问互联网解决办法
  16. JPS(Jump Point Search)寻路及实现代码分析
  17. 计算机研究院分所烟台,综合新闻_中科院计算所烟台分所 烟台中科网络技术研究所...
  18. Linux网卡up但是没有running,eth0 up但是没有running的小问题
  19. java fop_XSL-FO 和FOP相关技术详解(转载)
  20. 使用串口转USB连接树莓派

热门文章

  1. JavaScript 获取当日在今年第几周
  2. Word2013中制作按钮控件
  3. MDI端口和MDIX端口是什么? 又有什么作用?
  4. HashMap中hash(Object key)原理(hashcode >>> 16)
  5. RabbitMq(七) Topic模式介绍及代码示例
  6. 台达s1变频器参数表_各大品牌变频器万能密码汇总
  7. Netty 的核心组件
  8. mysql 按照条件计数_灵活的CASE...WHEN:SQL同时按条件计数按条件加和
  9. php 提取字段为key,从一个serialize过的array的字符串中取出中取对应KEY的value
  10. stm32 ARM中的RO、RW和ZI DATA