ip dhcp snooping的设置
- 对于DHCP我们这次主要讲解的是ip dhcp snooping的设置。通过文章的内容。大家能够对此有一个全面的掌握。
我们学习网络协议的内容已经不少了,对于DHCP来说,也接触了不少。那么接下来我们主要分析的是ip dhcp snooping在cisco设备中的配置。在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)。这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。
虽然dhcp snooping是用来防止非法的dhcp server接入的,但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的,防止非法的ARP请求。认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的,里面包括是正确的arp信息。如果这个时候有arp***信息,利用ARP inspection技术就可以拦截到这个非法的arp数据包。其实利用这个方法,还可以防止用户任意修改IP地址,造成地址冲突的问题。
- ip dhcp excluded-address 10.63.150.100 10.63.150.120 不由dhcp分配的地址
- !
- ip dhcp pool main 定义地址池
- network 10.63.144.0 255.255.255.0 定义地址池做用的网段及地址范围
- default-router 10.63.144.1 定义客户端的默认网关
- domain-name nbyzzj.cn 定义客户端所在域
- dns-server 10.60.12.11 定义客户端的dns
- lease 7 定义地址租约时间为7天
- ip dhcp snooping 打开dhcp snooping功能
- ip dhcp snooping vlan 10-12,101-108,315 定义snooping作用的vlan
- ip dhcp snooping database flash:dhcp-snooping.db 将绑定表保存在flash中,避免重启设备后,重新绑定
- ip arp inspection vlan 10-12,101-108,315 定义arp inspection 作用的vlan,它是根据dhcp snooping binding表做判断的
- ip arp inspection validate src-mac dst-mac ip 侦测有效客户端须满足src-mac dst-mac ip 均无错
- ip arp inspection log-buffer entries 1024 inspection 日志大小
- ip arp inspection log-buffer logs 1024 interval 300 inspection 日志刷新时间,interval太小会占用大量cpu时间
- !
- !
- !
- errdisable recovery cause udld
- errdisable recovery cause bpduguard
- errdisable recovery cause security-violation
- errdisable recovery cause channel-misconfig
- errdisable recovery cause pagp-flap
- errdisable recovery cause dtp-flap
- errdisable recovery cause link-flap
- errdisable recovery cause gbic-invalid
- errdisable recovery cause l2ptguard
- errdisable recovery cause psecure-violation
- errdisable recovery cause dhcp-rate-limit
- errdisable recovery cause unicast-flood
- errdisable recovery cause vmps
- errdisable recovery cause arp-inspection
- errdisable recovery interval 30
在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS***,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection
- no file verify auto
- logging on 当logging关闭时会占用大量cpu资源,一定勿忘打开
- no spanning-tree loopguard default 最好不要打开
- ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11 手动增加静态地址的条目
- !
- interface GigabitEthernet1/0/11
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip arp inspection limit none
- arp timeout 2
- ip dhcp snooping limit rate 100
由于下连设备,为了避免inspection让端口errdisable,所以对arp的侦测不做限制,若直接为接入设备, 可使用ip arp inspection limit rate 100
相关命令:
- sh logging 查看Dymatic Arp Inspection (DAI) 是否生效.
- sh ip dhcp snooping binding 查看snooping是否生效
- sh ip dhcp binding 看dhcp server 是否生效.
- sh arp 看arp信息是否与 dhcp snooping binding表一致
下级设备若支持dhcp snooping 可这样配置:
- ip dhcp snooping
- int g0/1 上行端口
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip dhcp snooping trust 定义此端口为信任端口,从此口来的dhcp server数据有效,可阻止其它dhcp server发送dhcp数据。
经实验,对于已存在于绑定表中的mac和ip对于关系的主机,不管是dhcp获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。
如果使用了dhcp中继服务,那需要在网关交换机上键入如下命令:
方法一:
- inter vlan10
- ip dhcp relay information trusted
方法二:
- switch(config)# ip dhcp relay information trust-all
转载于:https://blog.51cto.com/josils/582841
ip dhcp snooping的设置相关推荐
- ip dhcp snooping
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一.DHCP ...
- DAI、DHCP SNOOPING、ip source guard、IPSG
switch 3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...
- 解决IP地址冲突的方法--DHCP SNOOPING
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络:也就是使用了DHCP SNOOPING功能. 例子: version 12. ...
- 【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check
功能简介 DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将 ...
- (一)Cisco DHCP Snooping原理(转载)
采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...
- 使用交换机的dhcp snooping拒绝非法dhcp服务
我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取. 其实此次变更 ...
- (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...
- DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping
一.DHCP简介 DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指 ...
- 开启Cisco交换机DHCP Snooping功能
5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...
最新文章
- iOS 直播专题5-推流
- android studio大坑 executing external native build for cmake
- 实现Nginx https
- linux管道原子性写入,write(2)/ read(2)linux中进程之间的原子性
- iOS 动画总结----UIView动画
- 面 试 细 节 一 点 通
- hadoop安装以及Java API操作hdfs
- json字符串、json对象、数组之间的转换
- fork-join详解(1)
- C语言中的一些基本函数说明及使用
- js obj对象转formdata格式代码
- 联想Y700键盘失灵问题
- Python给自己写一款不一样的吃鸡“外挂”!把把吃鸡绝不封号
- ros清华源_ROS操作系统学习(一)ROS安装
- ESP8285 ESP-AT编译流程和操作步骤
- 微信公众号选择什么服务器好,微信开发选择订阅号还是服务号好?
- DTOI 10.24 测试(被爆屠) orz IcePrincess_1968
- MYSQL 只能回环口链接_loopback回环口详解
- mysql rds备份_云数据库RDS如何进行数据备份
- 通过USGS批量下载Sentinel2数据