客服热线:
手机版
二维码
这儿大家具体解读了思科交换机dhcp配置指令和介绍的相关内容。大家对拓扑结构先实现一下掌握,随后针对其在开展一下表明,以后针对配置的源代码和指令再开展一下分析。
思科交换机配置DHCP一、拓扑结构
思科交换机配置DHCP二、表明
1、拓扑结构表明:聚集层交换机为CATALYST4506,汇聚交换机为CATALYST6506,连接层交换机为CATALYST2918。4506上开启IP DHCP SNOOPING和DAI及其IPSG,4506上连和下连的端口均配置为TRUNKING;6506上配置VLAN路由器和DHCP网络服务器;2918配置根据端口的VLAN。
2、DHCP SNOOPING如同一个工作中在非信任端口(联接服务器或计算机设备)和信任端口(联接DHCP SERVER或是计算机设备)中间的服务器防火墙,其DHCP SNOOPING BINDING DATABASE中储存着非信任端口下所连机器设备的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息内容,但不储存信任端口所连机器设备的信息内容;在网络交换机上开启IP DHCP SNOOPING后,插口将工作中在二层中继情况,提取和维护通向二层VLAN的DHCP信息;在VLAN上开启IP DHCP SNOOPING后,网络交换机将工作中在同一个VLAN域内的二层中继情况。
3、思科交换机在全局性配置方式下开启IP DHCP SNOOPING后,全部端口默认设置处在DHCP SNOOPING UNTRUSTED方式下,非信任端口接受到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文格式将被丢掉;信任端口一切正常接受分享,不开展检测。
4、网络交换机在RELOAD或重新启动后会遗失DHCP SNOOPING BINDING数据库查询,因而要将此表储存在网络交换机的FLASH或是储存在一个TFTP服务器中,使网络交换机在RELOAD或重新启动后可以从这当中载入信息内容,再次产生DHCP SNOOPING BINDING数据库查询。例如下边这条指令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。
5、思科交换机在全局性配置方式下开启IP DHCP SNOOPING后,全部的DHCP RELAY INFORMATION OPTION作用所有关掉。
6、依据cisco的英文资料看来,说一个聚集层交换机开启DHCP SNOOPING后,当其下连一个具备置入DHCP option-82 information的边沿网络交换机,且下连端口为非信任端口时,聚集层交换机将丢掉此后端口接受到的具备option-82 information的DHCP报文格式;但如在聚集层交换机上开启IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED作用后,这时下连边沿网络交换机的端口尽管仍为非信任端口,但可以一切正常此后端口接受具备option-82 information的DHCP报文格式。
依据以上的剖析,我了解如下所示,不清楚对不对:思科交换机在全局性配置方式下开启IP DHCP SNOOPING后,全部端口默认设置处在DHCP SNOOPING UNTRUSTED方式下,但DHCP SNOOPING INFORMATION OPTION作用默认设置是开启的,这时DHCP报文格式在抵达一个SNOOPING UNTRUSTED端口时将被丢掉。因而,务必在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED指令(默认设置关掉),以容许4506从DHCP SNOOPING UNTRUSTED端口接受含有OPTION 82的DHCP REQUEST报文格式。提议在网络交换机上关掉DHCP INFORMATION OPTION,即全局性配置方式下NO IP DHCP SNOOPING INFORMATION OPTION。
7、针对容许手工制作配置IP地址等技术参数的手机客户端,可以手工制作加上关联内容到DHCP SNOOPING BINDING数据库查询中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表明手工制作加上一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,连接端口为GIG1/1,租赁期時间为600秒的关联内容。
8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING作用的基本上,产生IP SOURCE BINDING表,只功效在二层端口上。开启IPSG的端口,会查验接受到全部IP包,只分享与此关联表的内容相一致的IP包。默认设置IPSG只用源IP地址为标准过虑IP包,假如再加上以源MAC地址为标准过虑得话,务必开启DHCP SNOOPING INFORMAITON OPTION 82作用。
9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基本的,也区别为信任和非信任端口,DAI只检验非信任端口的ARP包,可以提取、纪录和丢掉与SNOOPING BINDING中IP地址到MAC地址投射关联内容不符合的ARP包。如果不应用DHCP SNOOPING,则必须手工制作配置ARP ACL。
思科交换机配置DHCP三、配置
1、2918
Switch# configure terminal //全局性配置方式
Switch(config)# interface range fa0/1 - 12
Switch(config-if-range)# switchport access vlan 100
Switch(config-if-range)# interface range fa0/13 - 24
Switch(config-if-range)# switchport access vlan 200
Switch(config-if-range)# interface gig0/1 //上连4506的端口
Switch(config-if)# //这儿并不做配置,也可手工制作配置TRUNK
2、4506
Switch# configure terminal
Switch(config)# vtp version 2
Switch(config)# vtp mode client
Switch(config)# vtp domain gzy
Switch(config)# vtp password gzy123
Switch(config)# vlan 100
Switch(config)# vlan 200
Switch(config)# ip dhcp snooping //开启网络交换机的dhcp snooping作用
Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能
Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文格式中置入和删掉option 82信息内容
Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat
//将dhcp snooping database储存在tftp服务器(IP地址192.168.200.1)的snooping.dat文档中
Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI作用
Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检验ARP包是不是合理合法
Switch(config)# interface gig1/1 //上连6506的端口
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust
Switch(config-if)# interface gig2/2 //下连2918的端口
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# ip arp inspection limit none
Switch(config-if)# ip verify source vlan dhcp-snooping
Switch(config-if)# end
Switch(config)# copy run start
思科交换机配置DHCP四、备注名称
写到后边愈来愈懒了,大部分就这样了。6506上的配置不写了,非常简单。由于2918不兼容以上作用,因而只有在4506上做,但那样就只有在4506下连2918的端口上去开启这种作用,在2918上产生的蒙骗就没法避免了。没法,思科交换机的方法很怪异。如今许多中国厂商的连接层交换机都能够完成这种作用,例如Quidway、H3C、神洲数码科技、锐捷等。因为能力比较有限,写的不正确的位置请大神纠正。
