DHCP Snooping的实现

Posted sanyuanyanjin

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DHCP Snooping的实现相关的知识,希望对你有一定的参考价值。

DHCP Snooping的实现

主要作用:
1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;
2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;
3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址;

前提:
在讲这个技术前,首先我们按理想中的网络结构划分,分为核心层、汇聚层、接入层;核心设备与汇聚设备之间启动了路由协议,汇聚成为它下连vlan的DHCP Server,接入层是纯2层设备。

汇聚交换机:
全局配置模式下
全局启用dhcp snooping
ip dhcp snooping

在vlan上启用dhcp snooping,这里需要将相关vlan全部启用dhcp snooping,启用该服务之后,该VLAN内的所有接口,全部被置为非信任状态,丢弃所有不信任端口接收到的DHCP offer包,所以可以阻止内网私架的DHCP服务器
ip dhcp snooping vlan 100
  
启动防止手工指定IP地址可以上网
Ip arp inspection vlan 100
指定检查源MAC地址与目的MAC地址与IP地址的对应关系,看是否与DHCP Snooping生成的表匹配
Ip arp inspection validate src-mac dst-mac ip

此配置之后,由于没有配端口信任,交换机会收到大量非法的DHCP信息包,交换机的自动防护会导致接口处于errdisable状态,为了使接口能正常工作,需要在全局下配置
errdisable recovery cause arp-inspection

接口配置模式下
在汇聚交换机下连访问交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip arp inspection limit none
配置此命令的目的是为了信任下连交换机传上来的ARP inspection包
ip arp inspection trust


接入交换机:
全局配置模式下
ip dhcp snooping
ip dhcp snooping vlan 100

errdisable recovery cause arp-inspection

接口配置模式下
在访问交换机上连汇聚交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip arp inspection limit none




以上是关于DHCP Snooping的实现的主要内容,如果未能解决你的问题,请参考以下文章

DHCP snooping

[Cisco] DHCP snooping 测试

DHCP snooping防范非法的服务器

DHCP snooping

DHCP Snooping

DHCP Relay DHCP Snooping