• 对于DHCP我们这次主要讲解的是ip dhcp snooping的设置。通过文章的内容。大家能够对此有一个全面的掌握。

我们学习网络协议的内容已经不少了,对于DHCP来说,也接触了不少。那么接下来我们主要分析的是ip dhcp snooping在cisco设备中的配置。在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)。这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。

虽然dhcp snooping是用来防止非法的dhcp server接入的,但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的,防止非法的ARP请求。认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的,里面包括是正确的arp信息。如果这个时候有arp***信息,利用ARP inspection技术就可以拦截到这个非法的arp数据包。其实利用这个方法,还可以防止用户任意修改IP地址,造成地址冲突的问题。

  1. ip dhcp excluded-address 10.63.150.100 10.63.150.120    不由dhcp分配的地址
  2. !
  3. ip dhcp pool main      定义地址池
  4. network 10.63.144.0 255.255.255.0       定义地址池做用的网段及地址范围
  5. default-router 10.63.144.1      定义客户端的默认网关
  6. domain-name nbyzzj.cn        定义客户端所在域
  7. dns-server 10.60.12.11        定义客户端的dns
  8. lease 7      定义地址租约时间为7天
  9. ip dhcp snooping      打开dhcp snooping功能
  10. ip dhcp snooping vlan 10-12,101-108,315     定义snooping作用的vlan
  11. ip dhcp snooping database flash:dhcp-snooping.db      将绑定表保存在flash中,避免重启设备后,重新绑定
  1. ip arp inspection vlan 10-12,101-108,315    定义arp inspection 作用的vlan,它是根据dhcp snooping binding表做判断的
  2. ip arp inspection validate src-mac dst-mac ip     侦测有效客户端须满足src-mac dst-mac ip 均无错
  3. ip arp inspection log-buffer entries 1024      inspection 日志大小
  4. ip arp inspection log-buffer logs 1024 interval 300     inspection 日志刷新时间,interval太小会占用大量cpu时间
  5. !
  6. !
  7. !
  8. errdisable recovery cause udld
  9. errdisable recovery cause bpduguard
  10. errdisable recovery cause security-violation
  11. errdisable recovery cause channel-misconfig
  12. errdisable recovery cause pagp-flap
  13. errdisable recovery cause dtp-flap
  14. errdisable recovery cause link-flap
  15. errdisable recovery cause gbic-invalid
  16. errdisable recovery cause l2ptguard
  17. errdisable recovery cause psecure-violation
  18. errdisable recovery cause dhcp-rate-limit
  19. errdisable recovery cause unicast-flood
  20. errdisable recovery cause vmps
  21. errdisable recovery cause arp-inspection
  22. errdisable recovery interval 30

在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS***,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection

  1. no file verify auto
  2. logging on      当logging关闭时会占用大量cpu资源,一定勿忘打开
  3. no spanning-tree loopguard default      最好不要打开
  4. ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11      手动增加静态地址的条目
  5. !
  1. interface GigabitEthernet1/0/11
  2. switchport trunk encapsulation dot1q
  3. switchport mode trunk
  4. ip arp inspection limit none
  5. arp timeout 2
  6. ip dhcp snooping limit rate 100

由于下连设备,为了避免inspection让端口errdisable,所以对arp的侦测不做限制,若直接为接入设备, 可使用ip arp inspection limit rate 100

相关命令:

  1. sh logging       查看Dymatic Arp Inspection (DAI) 是否生效.
  2. sh ip dhcp snooping binding       查看snooping是否生效
  3. sh ip dhcp binding       看dhcp server 是否生效.
  4. sh arp       看arp信息是否与 dhcp snooping binding表一致

下级设备若支持dhcp snooping 可这样配置:

  1. ip dhcp snooping
  2. int g0/1      上行端口
  3. switchport trunk encapsulation dot1q
  4. switchport mode trunk
  5. ip dhcp snooping trust      定义此端口为信任端口,从此口来的dhcp server数据有效,可阻止其它dhcp server发送dhcp数据。

经实验,对于已存在于绑定表中的mac和ip对于关系的主机,不管是dhcp获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。

如果使用了dhcp中继服务,那需要在网关交换机上键入如下命令:

方法一:

  1. inter vlan10
  2. ip dhcp relay information trusted

方法二:

  1. switch(config)# ip dhcp relay information trust-all

转载于:https://blog.51cto.com/josils/582841

ip dhcp snooping的设置相关推荐

  1. ip dhcp snooping

    DHCP监听将交换机端口划分为两类:     ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等     ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一.DHCP ...

  2. DAI、DHCP SNOOPING、ip source guard、IPSG

    switch  3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...

  3. 解决IP地址冲突的方法--DHCP SNOOPING

    使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络:也就是使用了DHCP SNOOPING功能. 例子: version 12. ...

  4. 【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check

    功能简介 DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将 ...

  5. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  6. 使用交换机的dhcp snooping拒绝非法dhcp服务

    我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取. 其实此次变更 ...

  7. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  8. DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping

    一.DHCP简介 DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指 ...

  9. 开启Cisco交换机DHCP Snooping功能

    5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...

最新文章

  1. iOS 直播专题5-推流
  2. android studio大坑 executing external native build for cmake
  3. 实现Nginx https
  4. linux管道原子性写入,write(2)/ read(2)linux中进程之间的原子性
  5. iOS 动画总结----UIView动画
  6. 面 试 细 节 一 点 通
  7. hadoop安装以及Java API操作hdfs
  8. json字符串、json对象、数组之间的转换
  9. fork-join详解(1)
  10. C语言中的一些基本函数说明及使用
  11. js obj对象转formdata格式代码
  12. 联想Y700键盘失灵问题
  13. Python给自己写一款不一样的吃鸡“外挂”!把把吃鸡绝不封号
  14. ros清华源_ROS操作系统学习(一)ROS安装
  15. ESP8285 ESP-AT编译流程和操作步骤
  16. 微信公众号选择什么服务器好,微信开发选择订阅号还是服务号好?
  17. DTOI 10.24 测试(被爆屠) orz IcePrincess_1968
  18. MYSQL 只能回环口链接_loopback回环口详解
  19. mysql rds备份_云数据库RDS如何进行数据备份
  20. 通过USGS批量下载Sentinel2数据

热门文章

  1. 傅盛希望定义AI时代的机器人产品,2年交出这份可落地答卷
  2. 在硅晶片上实现量子计算,英特尔可能改变了这项技术的未来
  3. 被外包程序员植入了后门程序,触发后删除数据库但他们死不承认,该怎么办?...
  4. 《Java程序员面试秘笈》—— 1.3 线程信息的获取和设置
  5. poj1562-DFS
  6. 检查java程序假死的脚本
  7. Project Euler
  8. Win7下使用VFW库连接摄像头
  9. 建站篇-数据库-修改默认users表
  10. 关于javaweb地址栏技巧