(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
试验拓扑
环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论
L3交换机的配置
ip dhcp pool vlan27network 172.28.27.0 255.255.255.0default-router 172.28.27.254 dns-server 172.28.28.15 ! ! ip dhcp snooping vlan 27ip dhcp snooping information option allow-untrusted //必须加此命令,因为L3交换机也开启了dhcp snooping,具体解释如下ip dhcp snooping
interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
speed 1000
duplex full
no negotiation auto
ip dhcp snooping limit rate 720
L2交换机配置
ip dhcp snooping vlan 27 ip dhcp snooping ! interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunkmedia-type rj45speed 1000duplex fullno negotiation auto ip dhcp snooping trust
说明:
1、从L2交换机过来的DHCP请求报文是已经被插入了选项82信息,如果将L3的Gi0/0设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即L3上只有win10的绑定条目,而没
有win11的绑定条目。如果此时同时部署DAI,IPSG,由于L2交换机不支持这两项功能,对于L3交换机来说,从L2交换机上过来的数据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于L3交换机没有PC2的绑定
条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在L3交换机上再部署DAI或者IPSG,就不能将L3交换机的Gi0/0设置为信任端口。但是将Gi0/0口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插
入了82选项的DHCP请求报文。而从L2交换机过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted(全局)命令,否则L3交换机将丢弃这些DHCP请求
报文,接在L2交换机上的win11将得不到IP地址。只有配置了该命令以后,L3交换机才会接收从L2交换机发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。
当然上面如果遇到交换机不支持ip dhcp snooping information option allow-untrusted命令可以有以下两种解决办法:
①在不支持的交换机的int vlan 内使用 ip dhcp relay information trusted(vlan内) 命令
②在接入层交换机上面关闭插入option82的功能 no ip dhcp snooping information option
2、由于思科交换机在开启dhcp snooping后默认会打开 ip dhcp snooping limit rate 15 功能,上述试验里面 L2交换机如果接满了客户端,但是L3连接L2的接口是非信任接口就存在limit rate 15的功能,同理L2的每个非信任接口
都是如此,想象一种场景,某时刻48个客户端 同时发起dhcp request请求报文,由于L3的下行口默认是限速15个包,这样将导致大部分客户端的dhcp request报文被丢弃,所以为了避免此情况应该在L3的下行接口适当调整
limit rate速度,计算如下:
假设2960为48口,因此简单的设置限速为48*15=720
注意:只有当启用了dhcp snooping的汇聚交换机或者核心才需要设置 ip dhcp snooping limit rate。如果一个核心或者汇聚交换机下面的接入层交换机众多,那么这个限速设置就需要注意了,因为端口最大的limit rate是2048,所以
需要调整接入层端口的limit rate,使其变小 但是需要调整为一个合理的数值,因为太小了会导致IP地址获取慢
延伸:
当不开启L3交换机的ip dhcp snooping information option allow-untrusted时,在L3上面使用debug抓ip dhcp snoong信息会看到不断有来自L2的报文被丢弃,因为报文携带giaddr字段并且是非法的
L3#debug ip dhcp snooping event DHCP Snooping Event debugging is on *May 25 11:05:44.102: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCPDISCOVER, MAC sa: 5000.000b.0000
转载于:https://www.cnblogs.com/sun292393989/p/9090279.html
(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...相关推荐
- dhcp snooping华为_华为交换机dhcp snooping 功能配置
华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1 华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10 核心交换机24聚合与桌面交换机47 ...
- dhcp snooping华为_华为交换机DHCP snooping
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
- 微信小程序开发后台篇(五)AWS EC2实例云部署---Windows环境通过PuTTY连接EC2实例部署SpringBoot工程
一.使用WinSCP从Windows向EC2的linux环境传输Jar包 下载WinSCP.采用默认安装选项. https://winscp.net/download/WinSCP-5.19.2-Se ...
- DHCP snooping详解
一.机制概述 DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那 ...
- 开启Cisco交换机DHCP Snooping功能
5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...
- DHCP Snooping功能与实例详解
一.采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ...
- 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard
文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...
- Cisco DHCP snooping
DHCP snooping 一.***原理: DHCP Sproofing同样是一种中间人***方式.DHCP是提供IP地址分配的服务.当局域网中的计算机设置为自动获取IP,就会在启动后发送广播包请求 ...
- 华三H3C交换机如何配置dhcp服务,如何开启dhcp snooping
华三交换机如何配置dhcp,开启dhcp snooping 一,核心交换机SW配置 使能dhcp [SW]dhcp enable 创建vlan10并配置交换机vlan10地址 [SW]vlan 10 ...
最新文章
- 【java】兴唐第二十五节课(异常和log4j的使用)
- 早在公元前五百年,孙子就参透了数据库分区的真谛
- WinForm 异步调用方法
- nyoj 710 外星人的供给站
- [NewLife.XCode]高级查询(化繁为简、分页提升性能)
- CCF201604-1 折点计数(解法二)(100分)(废除!!!)
- [leetcode]146. LRU缓存机制
- 析构函数 deinit
- 门描述符gate descriptors
- OpenCV 与 OpenGL 的关系是什么?
- 计算机维护工作周报,运维周报怎么写呀,这一周没什么事做
- win10系统上的appdata是什么文件夹可以删除吗
- iOS之深入解析App Thinning的应用瘦身优化
- 求最大公约数和最小公倍数的多种方法
- fifa18怎么改服务器位置,fifa18 球员职业生涯怎么改位置 | 手游网游页游攻略大全...
- 中超各主场巡礼(国安观赛指南)
- 数据、数据元素、数据项、数据对象的介绍和理解
- like not like
- SIL9687读数据手册零碎笔记
- 思杰 Citrix 微软 Vmware 应用虚拟化 服务器虚拟化 桌面虚拟化 对比