试验拓扑

环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论

L3交换机的配置

ip dhcp pool vlan27network 172.28.27.0 255.255.255.0default-router 172.28.27.254 dns-server 172.28.28.15
!
!
ip dhcp snooping vlan 27ip dhcp snooping information option allow-untrusted   //必须加此命令,因为L3交换机也开启了dhcp snooping,具体解释如下ip dhcp snooping

interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
speed 1000
duplex full
no negotiation auto
ip dhcp snooping limit rate 720

L2交换机配置

ip dhcp snooping vlan 27
ip dhcp snooping
!
interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunkmedia-type rj45speed 1000duplex fullno negotiation auto
 ip dhcp snooping trust

说明:

 1、从L2交换机过来的DHCP请求报文是已经被插入了选项82信息,如果将L3的Gi0/0设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即L3上只有win10的绑定条目,而没

   有win11的绑定条目。如果此时同时部署DAI,IPSG,由于L2交换机不支持这两项功能,对于L3交换机来说,从L2交换机上过来的数据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于L3交换机没有PC2的绑定

  条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在L3交换机上再部署DAI或者IPSG,就不能将L3交换机的Gi0/0设置为信任端口。但是将Gi0/0口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插

  入了82选项的DHCP请求报文。而从L2交换机过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted(全局)命令,否则L3交换机将丢弃这些DHCP请求

  报文,接在L2交换机上的win11将得不到IP地址。只有配置了该命令以后,L3交换机才会接收从L2交换机发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。

  当然上面如果遇到交换机不支持ip dhcp snooping information option allow-untrusted命令可以有以下两种解决办法:

    ①在不支持的交换机的int vlan 内使用 ip dhcp relay information trusted(vlan内) 命令

    ②在接入层交换机上面关闭插入option82的功能 no ip dhcp snooping information option

 2、由于思科交换机在开启dhcp snooping后默认会打开 ip dhcp snooping limit rate 15  功能,上述试验里面 L2交换机如果接满了客户端,但是L3连接L2的接口是非信任接口就存在limit rate 15的功能,同理L2的每个非信任接口

    都是如此,想象一种场景,某时刻48个客户端 同时发起dhcp request请求报文,由于L3的下行口默认是限速15个包,这样将导致大部分客户端的dhcp request报文被丢弃,所以为了避免此情况应该在L3的下行接口适当调整

  limit rate速度,计算如下:

      假设2960为48口,因此简单的设置限速为48*15=720

注意:只有当启用了dhcp snooping的汇聚交换机或者核心才需要设置  ip dhcp snooping limit rate。如果一个核心或者汇聚交换机下面的接入层交换机众多,那么这个限速设置就需要注意了,因为端口最大的limit rate是2048,所以

   需要调整接入层端口的limit rate,使其变小  但是需要调整为一个合理的数值,因为太小了会导致IP地址获取慢

延伸:

当不开启L3交换机的ip dhcp snooping information option allow-untrusted时,在L3上面使用debug抓ip dhcp snoong信息会看到不断有来自L2的报文被丢弃,因为报文携带giaddr字段并且是非法的

L3#debug ip dhcp snooping event
DHCP Snooping Event debugging is on
*May 25 11:05:44.102: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCPDISCOVER, MAC sa: 5000.000b.0000

 

转载于:https://www.cnblogs.com/sun292393989/p/9090279.html

(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...相关推荐

  1. dhcp snooping华为_华为交换机dhcp snooping 功能配置

    华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1 华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10 核心交换机24聚合与桌面交换机47 ...

  2. dhcp snooping华为_华为交换机DHCP snooping

    配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...

  3. 微信小程序开发后台篇(五)AWS EC2实例云部署---Windows环境通过PuTTY连接EC2实例部署SpringBoot工程

    一.使用WinSCP从Windows向EC2的linux环境传输Jar包 下载WinSCP.采用默认安装选项. https://winscp.net/download/WinSCP-5.19.2-Se ...

  4. DHCP snooping详解

    一.机制概述       DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那 ...

  5. 开启Cisco交换机DHCP Snooping功能

    5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...

  6. DHCP Snooping功能与实例详解

    一.采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ...

  7. 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard

    文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...

  8. Cisco DHCP snooping

    DHCP snooping 一.***原理: DHCP Sproofing同样是一种中间人***方式.DHCP是提供IP地址分配的服务.当局域网中的计算机设置为自动获取IP,就会在启动后发送广播包请求 ...

  9. 华三H3C交换机如何配置dhcp服务,如何开启dhcp snooping

    华三交换机如何配置dhcp,开启dhcp snooping 一,核心交换机SW配置 使能dhcp [SW]dhcp enable 创建vlan10并配置交换机vlan10地址 [SW]vlan 10 ...

最新文章

  1. 【java】兴唐第二十五节课(异常和log4j的使用)
  2. 早在公元前五百年,孙子就参透了数据库分区的真谛
  3. WinForm 异步调用方法
  4. nyoj 710 外星人的供给站
  5. [NewLife.XCode]高级查询(化繁为简、分页提升性能)
  6. CCF201604-1 折点计数(解法二)(100分)(废除!!!)
  7. [leetcode]146. LRU缓存机制
  8. 析构函数 deinit
  9. 门描述符gate descriptors
  10. OpenCV 与 OpenGL 的关系是什么?
  11. 计算机维护工作周报,运维周报怎么写呀,这一周没什么事做
  12. win10系统上的appdata是什么文件夹可以删除吗
  13. iOS之深入解析App Thinning的应用瘦身优化
  14. 求最大公约数和最小公倍数的多种方法
  15. fifa18怎么改服务器位置,fifa18 球员职业生涯怎么改位置 | 手游网游页游攻略大全...
  16. 中超各主场巡礼(国安观赛指南)
  17. 数据、数据元素、数据项、数据对象的介绍和理解
  18. like not like
  19. SIL9687读数据手册零碎笔记
  20. 思杰 Citrix 微软 Vmware 应用虚拟化 服务器虚拟化 桌面虚拟化 对比

热门文章

  1. 浏览器无法访问虚拟机的服务器
  2. JavaEE 的基本实现
  3. Python学习(四)数据结构 —— set frozenset
  4. HDOJ 1224 Free DIY Tour
  5. 在批处理中运行.sql文件
  6. UML-2-迭代、进化和敏捷
  7. fzu1062 洗牌问题(思路模拟)
  8. Python网络编程:IO多路复用
  9. Selenium常用方法及函数
  10. HTML5 表单 中