开启Cisco交换机DHCP Snooping功能
5、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)
环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的fa0/1口;两交换机互连口都是gi0/1
3560交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping limit rate 360
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C3560_Gi0/1
switchport mode trunk
ip dhcp snooping trust
说明:
本例中3560和2960同时开启了DHCP监听功能。从2960过来的DHCP请求报文是已经被插入了选项82信息,如果将3560的Gi0/1设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目,而没有PC2的绑定条目。
如果此时同时部署DAI,IPSG,由于2960不支持这两项功能,对于3560来说,从2960上过来的数据可能存在IP欺骗和ARP欺骗等***,是不安全的。另一方面,由于3560没有PC2的绑定条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG,就不能将3560的Gi0/1设置为信任端口。
但是将3560的Gi0/1口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插入了82选项的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted命令,否则3560将丢弃这些DHCP请求报文,接在2960上的PC2将得不到IP地址。只有配置了该命令以后,3560才会接收从2960发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。
3560下联的Gi0/1口由于是非信任端口,默认限速为每秒15个DHCP请求报文,如果2960上的所有PC都同时发起DHCP请求,可能此端口会被errdisable掉。这里假设2960为24口,因此简单的设置限速为24*15=360。
2960上联的Gi0/1口必须被配置为信任端口,否则将丢弃从3560过来的DHCP应答报文,PC2将无法得到IP地址。
C3560#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is operational on following VLANs:
10
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is allowed
Verification of hwaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 no 15
GigabitEthernet0/1 no 360
C3560#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0F:1F:C5:10:08 192.168.10.2 685618 dhcp-snooping 10 FastEthernet0/1
00:0B:DB:08:21:E0 192.168.10.3 688023 dhcp-snooping 10 GigabitEthernet0/1
C2960#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 no 15
GigabitEthernet0/1 yes unlimited
C2960#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN I nterface
------------------ --------------- ---------- ------------- ---- --------------------
00:0B:DB:08:21:E0 192.168.10.3 688023 dhcp-snooping 10 FastEthernet0/1
6、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)
环境:4503交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接4503的gi2/1口,PC2接3560的fa0/1口;两交换机互连口是4503 gi1/1 -- 3560 gi0/1
4503交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface GigabitEthernet2/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet1/1
description : Connect to C3560_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
3560交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C4503_Gi1/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
说明:
本例中4503和3560同时开启了DHCP监听功能。由于4503的下联口被设置为信任端口,所以从3560过来的DHCP请求报文即使已经被插入了选项82信息,也允许通过的,但不会为其建立DHCP监听绑定表。所以4503上只有PC1的绑定条目,而没有PC2的绑定条目。
作为接入层交换机的3560支持DAI,IPSG,如果同时配置这两项功能,那么有理由相信从3560过来的数据是已经经过检验的安全数据,因此将4503的下联口设置为信任端口是可行的。另外,4503没有PC2的绑定条目,也减少了系统运行时所需的内存空间。
C4503#show ip dhcp snooping binding
MacAddress I pAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0F:1F:C5:10:08 192.168.10.2 685618 dhcp-snooping 10 GigabitEthernet2/1
C3560#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0B:DB:08:21:E0 192.168.10.3 688023 dhcp-snooping 10 FastEthernet0
转载于:https://blog.51cto.com/rickiequ/831066
开启Cisco交换机DHCP Snooping功能相关推荐
- dhcp snooping华为_华为交换机dhcp snooping 功能配置
华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1 华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10 核心交换机24聚合与桌面交换机47 ...
- h3c S2000-EA 交换机DHCP Snooping支持Option 82功能的配置
一. 组网需求: Switch 的端口Ethernet1/0/5与DHCP 服务器端相连,端口Ethernet1/0/1,Ethernet1/0/2,Ethernet1/0/3分别与DHCP Cli ...
- cisco交换机dhcp***防范
2 DHCP***的防范 2.1采用DHCP管理的常见问题: 采用 DHCP server 可以自动为用户设置网络 IP 地址.掩码.网关. DNS . WINS 等网络参数,简化了用户网络设置,提 ...
- DHCP Snooping功能与实例详解
一.采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ...
- H3C交换机DHCP Snooping抑制局域网内非法dhcp
我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台.由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交 ...
- 实训二十八:交换机 DHCP Snooping 的配置
一.实验目的 1. 了解 DHCP snooping 原理: 2. 熟练掌握交换机 DHCP snooping 的配置方法: 3. 了解该功能的广泛应用. 二.应用环境 1.在 DHCP 的网络环境中 ...
- 神州数码DCN交换机 DHCP相关功能配置
目录 交换机DHCP Server典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机DHCP Relay典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机DHC ...
- dhcp snooping华为_华为交换机DHCP snooping
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
- 华为交换机DHCP snooping
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
最新文章
- 教你用机器学习匹配导师 !(附代码)
- Spring Cloud入门教程-Hystrix断路器实现容错和降级
- 为了一个科研idea,博士生们连冥想、巫毒仪式都用上了|Reddit热议
- QT的QMutex类的使用
- 浅析Memcache和Redis
- ​​2021快手母婴行业数据价值报告
- 学VBSCRIPT从学起
- android R制作OTA包时报错
- buck变换器设计matlab_在数字控制系统中实现LLC变换器的电流模式控制的思考
- 拖拽实例 对于设置监听setInterval 的理解
- Spring定时器-Cron表达式
- POI 实现Word表格合并单元格(行合并)
- Channel is reciprocal
- 流传千古的爱情传说原来竟是一个先劫色后劫财的骗局
- 小米手机已连接但无法访问互联网解决办法
- JPS(Jump Point Search)寻路及实现代码分析
- 计算机研究院分所烟台,综合新闻_中科院计算所烟台分所 烟台中科网络技术研究所...
- Linux网卡up但是没有running,eth0 up但是没有running的小问题
- java fop_XSL-FO 和FOP相关技术详解(转载)
- 使用串口转USB连接树莓派
热门文章
- JavaScript 获取当日在今年第几周
- Word2013中制作按钮控件
- MDI端口和MDIX端口是什么? 又有什么作用?
- HashMap中hash(Object key)原理(hashcode >>> 16)
- RabbitMq(七) Topic模式介绍及代码示例
- 台达s1变频器参数表_各大品牌变频器万能密码汇总
- Netty 的核心组件
- mysql 按照条件计数_灵活的CASE...WHEN:SQL同时按条件计数按条件加和
- php 提取字段为key,从一个serialize过的array的字符串中取出中取对应KEY的value
- stm32 ARM中的RO、RW和ZI DATA