思科交換機(jī)dhcp配置命令和講解

　　這里我們主要講解了思科交換機(jī)dhcp配置命令和講解的相關(guān)內(nèi)容。我們對網(wǎng)絡(luò)拓?fù)湎冗M(jìn)行一下了解，然后對于其在進(jìn)行一下說明，之后對于配置的代碼和命令再進(jìn)行一下解析。

　　思科交換機(jī)配置DHCP一、網(wǎng)絡(luò)拓?fù)?/p>

　　思科交換機(jī)配置DHCP二、說明

　　1、拓?fù)湔f明：匯聚層交換機(jī)為CATALYST4506，核心交換機(jī)為CATALYST6506，接入層交換機(jī)為CATALYST2918。4506上啟用IP DHCP SNOOPING和DAI以及IPSG，4506上連和下連的端口均配置為TRUNKING;6506上配置VLAN路由和DHCP服務(wù)器;2918配置基于端口的VLAN。

　　2、DHCP SNOOPING就像一個(gè)工作在非信任端口(連接主機(jī)或網(wǎng)絡(luò)設(shè)備)和信任端口(連接DHCP SERVER或者網(wǎng)絡(luò)設(shè)備)之間的防火墻，其DHCP SNOOPING BINDING DATABASE中保存著非信任端口下所連設(shè)備的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息，但不保存信任端口所連設(shè)備的信息;在交換機(jī)上開啟IP DHCP SNOOPING后，接口將工作在二層橋接狀態(tài)，截取和保護(hù)通往二層VLAN的DHCP消息;在VLAN上開啟IP DHCP SNOOPING后，交換機(jī)將工作在同一個(gè)VLAN域內(nèi)的二層橋接狀態(tài)。

　　3、思科交換機(jī)在全局配置模式下開啟IP DHCP SNOOPING后，所有端口默認(rèn)處于DHCP SNOOPING UNTRUSTED模式下，非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY報(bào)文將被丟棄;信任端口正常接收轉(zhuǎn)發(fā)，不進(jìn)行監(jiān)測。

　　4、交換機(jī)在RELOAD或重啟后會(huì)丟失DHCP SNOOPING BINDING數(shù)據(jù)庫，因此要將此表保存在交換機(jī)的FLASH或者保存在一個(gè)TFTP服務(wù)器中，使交換機(jī)在RELOAD或重啟后可以從中讀取信息，重新形成DHCP SNOOPING BINDING數(shù)據(jù)庫。比如下面這條命令：renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

　　5、思科交換機(jī)在全局配置模式下開啟IP DHCP SNOOPING后，所有的DHCP RELAY INFORMATION OPTION功能全部關(guān)閉。

　　6、根據(jù)思科的英文資料來看，說一個(gè)匯聚層交換機(jī)開啟DHCP SNOOPING后，當(dāng)其下連一個(gè)具有嵌入DHCP option-82 information的邊緣交換機(jī)，且下連端口為非信任端口時(shí)，匯聚層交換機(jī)將丟棄從此端口接收到的具有option-82 information的DHCP報(bào)文;但當(dāng)在匯聚層交換機(jī)上開啟IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后，此時(shí)下連邊緣交換機(jī)的端口雖然仍為非信任端口，但可以正常從此端口接收具有option-82 information的DHCP報(bào)文。

　　根據(jù)上面的分析，我理解如下，不知道對不對：思科交換機(jī)在全局配置模式下開啟IP DHCP SNOOPING后，所有端口默認(rèn)處于DHCP SNOOPING UNTRUSTED模式下，但DHCP SNOOPING INFORMATION OPTION功能默認(rèn)是開啟的，此時(shí)DHCP報(bào)文在到達(dá)一個(gè)SNOOPING UNTRUSTED端口時(shí)將被丟棄。因此，必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默認(rèn)關(guān)閉)，以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報(bào)文。建議在交換機(jī)上關(guān)閉DHCP INFORMATION OPTION，即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

　　7、對于允許手工配置IP地址等參數(shù)的客戶端，可以手工添加綁定條目到DHCP SNOOPING BINDING數(shù)據(jù)庫中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a，IP地址為222.25.77.100，接入端口為GIG1/1，租期時(shí)間為600秒的綁定條目。

　　8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎(chǔ)上，形成IP SOURCE BINDING表，只作用在二層端口上。啟用IPSG的端口，會(huì)檢查接收到所有IP包，只轉(zhuǎn)發(fā)與此綁定表的條目相符合的IP包。默認(rèn)IPSG只以源IP地址為條件過濾IP包，如果加上以源MAC地址為條件過濾的話，必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。

　　9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎(chǔ)的，也區(qū)分為信任和非信任端口，DAI只檢測非信任端口的ARP包，可以截取、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關(guān)系條目不符的ARP包。如果不使用DHCP SNOOPING，則需要手工配置ARP ACL。

　　思科交換機(jī)配置DHCP三、配置

　　1、2918

　　Switch# configure terminal //全局配置模式

　　Switch(config)# interface range fa0/1 - 12

　　Switch(config-if-range)# switchport access vlan 100

　　Switch(config-if-range)# interface range fa0/13 - 24

　　Switch(config-if-range)# switchport access vlan 200

　　Switch(config-if-range)# interface gig0/1 //上連4506的端口

　　Switch(config-if)# //這里可不做配置，也可手工配置TRUNK

　　2、4506

　　Switch# configure terminal

　　Switch(config)# vtp version 2

　　Switch(config)# vtp mode client

　　Switch(config)# vtp domain gzy

　　Switch(config)# vtp password gzy123

　　Switch(config)# vlan 100

　　Switch(config)# vlan 200

　　Switch(config)# ip dhcp snooping //開啟交換機(jī)的dhcp snooping功能

　　Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中開啟dhcp snooping功能

　　Switch(config)# no ip dhcp snooping information option //禁止在DHCP報(bào)文中嵌入和刪除option 82信息

　　Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

　　//將dhcp snooping database保存在tftp服務(wù)器(IP地址192.168.200.1)的snooping.dat文件中

　　Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中開啟DAI功能

　　Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP檢測ARP包是否合法

　　Switch(config)# interface gig1/1 //上連6506的端口

　　Switch(config-if)# switchport trunk encapsulation dot1q

　　Switch(config-if)# switchport mode trunk

　　Switch(config-if)# ip dhcp snooping trust

　　Switch(config-if)# ip arp inspection trust

　　Switch(config-if)# interface gig2/2 //下連2918的端口

　　Switch(config-if)# switchport trunk encapsulation dot1q

　　Switch(config-if)# switchport mode trunk

　　Switch(config-if)# ip arp inspection limit none

　　Switch(config-if)# ip verify source vlan dhcp-snooping

　　Switch(config-if)# end

　　Switch(config)# copy run start

　　思科交換機(jī)配置DHCP四、備注

　　寫到后面越來越懶了，基本上就是這樣了。6506上的配置不寫了，很簡單。因?yàn)?918不支持上述功能，因此只能在4506上做，但這樣就只能在4506下連2918的端口上來啟用這些功能，在2918上發(fā)生的欺騙就無法防止了。沒辦法，思科的做法很奇怪?，F(xiàn)在很多國內(nèi)廠家的接入層交換機(jī)都可以實(shí)現(xiàn)這些功能，比如Quidway、H3C、神洲數(shù)碼、銳捷等。由于水平有限，寫的不對的地方請高手指正。