这里主要讲解思科交换机的dhcp配置命令及相关内容。我们先了解一下网络拓扑,然后解释一下,再分析一下配置的代码和命令。
Cisco交换机配置DHCP I .网络拓扑
思科交换机配置DHCP II。描述
1.拓扑描述:汇聚层交换机是CATALYST4506,核心交换机是CATALYST6506,接入层交换机是CATALYST2918。406上启用IP DHCP SNOOPING和DAI和IPSG,4506上下游端口配置为中继;在606上配置VLAN路由和DHCP服务器;918配置基于端口VLAN。
2.DHCP窥探就像防火墙一样,工作在不可信端口(连接到主机或网络设备)和可信端口(连接到DHCP服务器或网络设备)之间。它的DHCP SNOOPING绑定数据库保存MAC地址、IP地址、租用时间、绑定类型、VLAN号和接口信息,但是不保存连接到可信端口的设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,拦截和保护发往二层VLAN的DHCP报文;在VLAN上打开IP DHCP侦听后,交换机将在同一个VLAN域中以第2层桥接状态工作。
3.Cisco交换机在全局配置模式下启动IP DHCP SNOOPING后,所有端口默认为DHCP SNOOPING不可信模式,不可信端口收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收和转发,无需监控。
4.重新加载或重启交换机后,DHCP侦听绑定数据库将会丢失。因此,该表应该保存在交换机的闪存中或TFTP服务器中,以便交换机在重新加载或重启后可以从中读取信息,并再次形成DHCP SNOOPING绑定数据库。例如,以下命令:更新IP DHCP监听数据TFTP://192.169.200.1/snooping.dat。
5.Cisco交换机在全局配置模式下打开IP DHCP侦听后,所有DHCP中继信息选项功能都将关闭。
6.根据思科的英文资料,据说在汇聚层交换机开启DHCP SNOOPING后,当一个嵌入了DHCP option-82信息的边缘交换机连接到它的下端口,而下端口是不可信端口时,汇聚层交换机会丢弃从这个端口接收到的带有option-82信息的DHCP报文;但是,当汇聚层交换机上的IP DHCP snooping information option allow-untrusted功能打开时,虽然连接到边缘交换机的端口仍然是一个不可信端口,但它可以正常地从该端口接收带有option-82信息的DHCP消息。
根据以上分析,我理解如下。不知道对不对:Cisco交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认都是DHCP SNOOPING不可信模式,但是默认开启了DHCP SNOOPING信息选项功能。此时,当DHCP消息到达一个不可信的监听端口时,它们将被丢弃。因此,必须在4506中配置IP DHCP侦听信息选项allow-untrusted command(默认为off ),以允许4506从DHCP侦听不可信端口接收带有选项82的DHCP请求消息。建议关闭交换机上的DHCP信息选项,即在全局配置模式下没有IP DHCP窥探信息选项。
7.对于允许手动配置参数(如IP地址)的客户端,您可以手动将绑定条目添加到DHCP侦听绑定数据库。IP snooping binding 00d0.2bd0.d80a 222.25.77.100 100接口GIG1/1 expiry 600表示手动添加一个绑定条目,MAC地址为00d 0.2 BD 0 . d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期为600秒。
8.IPSG (IP SOURCE GUARD)是一个基于DHCP SNOOPING功能的IP源绑定表,只在二层端口上工作。启用IPSG的端口将检查所有收到的IP数据包,并且只转发与此绑定表中的条目匹配的IP数据包。默认情况下,IPSG仅根据源IP地址过滤IP数据包。如果增加了以源MAC地址为条件的过滤,必须开启DHCP监听信息选项82功能。
9、戴即动态空袭预防措施检查也是以动态主机配置协议侦听绑定数据库为基础的,也区分为信任和非信任端口,戴只检测非信任端口的空袭预防措施包,可以截取、记录和丢弃与窥探绑定中互联网协议(互联网协议)地址到测量与控制(测量和控制)地址映射关系条目不符的空袭预防措施包。如果不使用动态主机配置协议窥探,则需要手工配置ARP ACL。
思科交换机配置动态主机配置协议三、配置
1、2918
开关#配置终端//全局配置模式
交换机(配置)#接口范围fa0/1 - 12
交换机(配置如果范围)#交换机端口接入虚拟局域网100
交换机(配置-if-范围)#接口范围fa0/13 - 24
交换机(配置中频范围)#交换机端口接入虚拟局域网200
开关(配置-if-范围)#接口gig0/1 //上连4506的端口
开关(配置-if)# //这里可不做配置,也可手工配置树干
2、4506
开关#配置终端
交换机(配置)# vtp版本2
交换机(配置)# vtp模式客户端
交换机(配置)# vtp域gzy
交换机(配置)# vtp口令gzy123
交换机(配置)# vlan 100
交换机(配置)# vlan 200
交换机(配置)# ip dhcp侦听//开启交换机的动态主机配置协议窥探功能
交换机(配置)# ip dhcp侦听vlan 100,200 //在VLAN100和200中开启动态主机配置协议窥探功能
交换机(配置)#无ip dhcp侦听信息选项//禁止在动态主机配置协议报文中嵌入和删除选项82信息
交换机(配置)# ip dhcp侦听数据库TFTP://192。168 .200 .1/窥探。数字式录音带(digital audio tape)DOS文件名数据文件
//将动态主机配置协议探听数据库保存在一般的文件传输协议服务器(IP地址192.168.200.1)的snooping.dat文件中
交换机(配置)# ip地址解析协议检查vlan 100,200 //在VLAN100和200中开启奶妈功能
交换机(配置)# ip地址解析协议检查验证src-mac ip //以源测量与控制(测量和控制)和互联网协议(互联网协议)检测空袭预防措施包是否合法
交换机(配置)#接口gig1/1 //上连6506的端口
交换机(配置-如果)#交换机端口中继封装dot1q
交换机(配置-如果)#交换机端口模式中继
交换机(配置-if)# ip dhcp侦听信任
交换机(配置-if)# ip arp检查信任
开关(配置-如果)#接口gig2/2 //下连2918的端口
交换机(配置-如果)#交换机端口中继封装dot1q
交换机(配置-如果)#交换机端口模式中继
交换机(配置-if)# ip arp检查限制无
交换机(配置-如果)# ip验证源vlan dhcp侦听
开关(配置-如果)#结束
开关(配置)#复制运行开始
思科交换机配置动态主机配置协议四、备注
写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功能,比如魁地奇、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。
