这里我们主要讲解了思科交换机配置DHCP的相关内容。我们对网络拓扑先进行一下了解,然后对于其在进行一下说明,之后对于配置的代码和命令再进行一下解析。

思科交换机配置DHCP一、网络拓扑

思科交换机配置DHCP二、说明

1、拓扑说明:汇聚层交换机为CATALYST4506,核心交换机为CATALYST6506,接入层交换机为CATALYST2918。4506上启用IP DHCP SNOOPING和DAI以及IPSG,4506上连和下连的端口均配置为TRUNKING;6506上配置VLAN路由和DHCP服务器;2918配置基于端口的VLAN。

2、DHCP SNOOPING就像一个工作在非信任端口(连接主机或网络设备)和信任端口(连接DHCP SERVER或者网络设备)之间的防火墙,其DHCP SNOOPING BINDING DATABASE中保存着非信任端口下所连设备的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息,但不保存信任端口所连设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,截取和保护通往二层VLAN的DHCP消息;在VLAN上开启IP DHCP SNOOPING后,交换机将工作在同一个VLAN域内的二层桥接状态。

3、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收转发,不进行监测。

4、交换机在RELOAD或重启后会丢失DHCP SNOOPING BINDING数据库,因此要将此表保存在交换机的FLASH或者保存在一个TFTP服务器中,使交换机在RELOAD或重启后可以从中读取信息,重新形成DHCP SNOOPING BINDING数据库。比如下面这条命令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

5、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有的DHCP RELAY INFORMATION OPTION功能全部关闭。

6、根据思科的英文资料来看,说一个汇聚层交换机开启DHCP SNOOPING后,当其下连一个具有嵌入DHCP option-82 information的边缘交换机,且下连端口为非信任端口时,汇聚层交换机将丢弃从此端口接收到的具有option-82 information的DHCP报文;但当在汇聚层交换机上开启IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后,此时下连边缘交换机的端口虽然仍为非信任端口,但可以正常从此端口接收具有option-82 information的DHCP报文。

根据上面的分析,我理解如下,不知道对不对:思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此,必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒的绑定条目。

8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IP SOURCE BINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。

思科交换机配置DHCP三、配置

1、2918

Switch# configure terminal //全局配置模式

Switch(config)# interface range fa0/1 - 12

Switch(config-if-range)# switchport access vlan 100

Switch(config-if-range)# interface range fa0/13 - 24

Switch(config-if-range)# switchport access vlan 200

Switch(config-if-range)# interface gig0/1 //上连4506的端口

Switch(config-if)# //这里可不做配置,也可手工配置TRUNK

2、4506

Switch# configure terminal

Switch(config)# vtp version 2

Switch(config)# vtp mode client

Switch(config)# vtp domain gzy

Switch(config)# vtp password gzy123

Switch(config)# vlan 100

Switch(config)# vlan 200

Switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能

Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能

Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文中嵌入和删除option 82信息

Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

//将dhcp snooping database保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能

Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法

Switch(config)# interface gig1/1 //上连6506的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip arp inspection trust

Switch(config-if)# interface gig2/2 //下连2918的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip arp inspection limit none

Switch(config-if)# ip verify source vlan dhcp-snooping

Switch(config-if)# end

Switch(config)# copy run start

思科交换机配置DHCP四、备注

写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功能,比如Quidway、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。

思科交换机配置DHCP的四个方面的更多相关文章

  1. 锐捷交换机配置DHCP SERVER给固定的MAC地址分配静态IP

    今天突发奇想,想给自己的手机分配固定地址,使得接入公司无线网络时每次都取到同一ip地址,这样可以排除认证登录问题. 上网溜达一下,记录下锐捷官方的[常见问题]如下,经验证可行. 需求: 给MAC地址为 ...

  2. 思科交换机配置单播MAC地址过滤

    1.其他厂商: 在华为,华三等设备上,我们都有“黑洞MAC地址表项” 的配置,其特点是手动配置.不会老化,且重启后也不会丢失.例如如下示例: 黑洞表项是特殊的静态MAC地址表项,丢弃含有特定源MAC地 ...

  3. H3C交换机配置DHCP服务器

    dhcp server ip-pool vlan4020 network 10.3.7.0 mask 255.255.255.0 gateway-list 10.3.7.254 dns-list 20 ...

  4. 在思科三层交换机上配置DHCP,不同网段/VLAN间互通

    摘要: 描述:在三层交换机上配置DHCP,实现DHCP为PC1/PC3分配192.168.1.X网段:实现DHCP为PC2/PC4分配192.168.2.X网段:并且各个PC间要可以互相通信.(文末附 ...

  5. [CISCO] 思科交换机基本配置

    思科交换机基本配置 交换机是局域网中最重要的设备,交换机是基于 MAC 来进行工作的.和路由器类似,交换 机也有 IOS,IOS 的基本使用方法是一样的.本章将简单介绍交换机的一些基本配置,以及交换 ...

  6. 交换机配置——Cisco(思科)-交换机初始化配置

    一.实验目的:完成一台交换机的初始化配置,并且可以用telnet登录 二.拓扑图如下: 三.实验步骤 1.创建一台交换机(S1)和一台主机(PC1) 2.先给PC1主机设置IP地址: 3.S1配置: ...

  7. 配置DHCP服务

    配置DHCP服务 一.DHCP的简介 1.DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写: 2.DHCP是从BOOTP(Bootstrap ...

  8. Cisco 交换机配置的基本命令

    1.不同的vlan 不同vlan需要路由 在路由的端口设置多个IP段 交换机模拟器实验六 2.查看端口名字 SWA#sh vlan    default  Active  F0/1, F0/2, F0 ...

  9. Cisco 2960交换机配置

    一. 基本操作 Switch(config)#hostname test01(交换机名称) //全局模式下修改交换机名称 Switch(config)#enable secret 123456 //全 ...

随机推荐

  1. Toad for Oracle

    # 设置schema browser 多标签

  2. [BI项目记]-TFS Express备份和恢复

    在项目中对TFS进行备份操作是日常重要的工作之一,此篇主要描述如何对TFS Express进行备份,并且在另外一台服务器上进行恢复. 以下是操作的几个关键点: 备份数据库,在TFS管理工具中就可以完成 ...

  3. CI中的数据库操作

    转载于:http://blog.sina.com.cn/s/blog_76e7bdba01016p2p.html CI中第一次连接数据库,在控制器或模型的构造函数里输入以下语句 $this->l ...

  4. RSA密钥之C#格式与Java格式转换

    前言 最近由于项目需求,服务端由c#编写,客户端由java编写.通信数据使用RSA非对称加密.但是java和c#生成的密钥格式是不一样的,所以需要转换格式才可以正常使用.网上搜到使用java进行格式转 ...

  5. Java 之 I/O流

    1.流 a.分类:①字节流:InputStream.OutputStream ②字符流:Reader.Writer b.选择:①判断是 输入 还是 输出 (站在程序的立场上) ②判断是 字节 还是 字 ...

  6. NXP恩智浦P89V52X2单片机破解P89C52X2BA芯片解密技术分享!

    NXP恩智浦P89V52X2单片机破解P89C52X2BA芯片解密 P89V52X2是一款带有8kB Flash.256B数据RAM和192B数据EEPROM的80C51微控制器.这个器件可以在完全替 ...

  7. 【iOS [[UIApplication sharedApplication] delegate]】运用

    之前想要拿到app的窗口,我们通常的写法是: [UIApplication sharedApplication].keyWindow 这种写法之前一直也觉得是正确的,没什么问题,而且网上大多数的博客或 ...

  8. [NHibernate]查看NHibernate生成的SQL语句

    最近接触到一个用Spring.Net结合NHIbernate的项目,第一次使用,有很多配置,数据操作一旦出问题,很难找到原因,那么如何查看NHibernate发送给数据库的SQL语句呢? 当然我们可以 ...

  9. Ruby Gem命令详解

    转自:http://www.jianshu.com/p/728184da1699 Gem介绍: Gem是一个管理Ruby库和程序的标准包,它通过Ruby Gem(如 http://rubygems.o ...

  10. [JSOI2008]完美的对称 题解

    题目大意: 首先我们给定一点A以及对称中心S,点A'是点A以S为对称中心形成的像点,即点S是线段AA'的对称中心. 点阵组(X)以S为中心的像点是由每个点的像点组成的点阵组.X是用来产生对称中心S的, ...