解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法
dhcp服务器手动设置ip
dhcp服务器手动设置ip宽带路由器DHCP功能如何设置如果你启用DHCP服务才会涉及到“地址租期”。
因为DHCP为客户机分配ip地址是随机而且有期限的,期限到了就会收回再重新分配一个新的给你,这个时间就是“地址租期” 了。
你内部通过路由器上网,计算机不算多,所以ip地址不紧张,你的租期可以相对设置的比较长,一般12小时比较合适吧。
收回再重新分配可以是新的地址,但一般DHCP服务器都会将原来的地址重新分配给你,也有人称之为“续租”,一般不会对你的网络访问带来影响。
你的租期设置的短,那么每次地址到期都会在网络上出现小的流量进行“续租”活动,如果你的计算机多的话就是个不小的流量了,而且对DHCP服务器也带来不必要的负担。
TCP/IP大家都非常清楚,在一个使用协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。
在TCP/IP网络上,每台工作站要能与其他计算机进行互联,都必须进行基本的网络配置,除了IP地址还有子网掩码、缺省网关、DNS 等。
对于小型网络,为每台计算机逐一配置这样的属性也许还可以承受,但对于一个规模比较大的网络来说,为每台计算机做这样同样的工作不但非常繁琐,而且也存在着IP地址不用分配的情况。
DHCP 的产生很好的解决了上述问题DHCP就是动态主机配置协议(Dynamic Host ConfigurationProtocol),它的目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。
这种网络服务有利于对网络中的客户机IP地址进行有效管理。
DHCP功能分为两个部份:一个是服务器端,而另一个是客户端 (客户端不用安装‘windows 9x/2000/xp在默认情况下都启动DHCP Client 服务)。
DHCP透过“租约”的概念,有效且动态的分配客户端的TCP/IP设定。
下面我们将说明一下DHCP的IP地址的分配方式,并结合TP-LINK的宽带路由器TL-R410具体说明DHCP服务器的功能。
如何解决无线局域网内伪造DHCP服务器攻击
科学技术创新2020.30如何解决无线局域网内伪造DHCP 服务器攻击How to solve the attack of forging DHCP server in WLAN唐磊(重庆三峡职业学院信息化建设办公室,重庆404155)1概述我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达,请稍后认证”,无法认证上网。
使用ping 命令检查网络连通性,发现该办公楼的网关地址正常连通,但获取的DNS 地址为192.168.1.1,导致无法通过认证。
手动配置计算机的IP 地址为192.168.1.250,网关地址为192.168.1.1,在浏览器中输入http://192.168.1.1,可以访问无线路由器的管理界面(如图1所示)。
将计算机的DNS 地址配置为61.128.128.68,能正常认证上网,因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP 服务器攻击所致。
图1路由器管理界面2问题原因分析产生上述问题的原因是:客户机通过广播方式发送DHCP 请求寻找DHCP 服务器,DHCP 服务器接收到客户机的IP 租约请求时,同时提供IP 租约给客户机。
客户机收到IP 租约时,同时发送DHCPREQUEST 消息。
当DHCP 服务器收到消息后,同时完成DHCP 分配。
由于局域网中同时存在多个DHCP 服务器,所有DHCP 服务器都收到计算机发送的DHCP 请求,互相争夺DHCP 提供权,导致计算机获取到伪装DHCP 服务器的IP 地址,从而无法上网。
3解决方法对于伪造DHCP 服务器,本文采用的解决方法步骤如下:第一步:在故障电脑上命令提示符中输入arp -a 命令,在出现的IP 地址与物理地址列表信息中,查找到IP 地址192.168.1.1的物理地址为be-5f-f6-01-a8-12,此物理地址为路由器所对应的硬件MAC 地址。
如图2所示。
第二步:使用telnet 命令登录AC ,通过display wlan client |in be5f-f601-a812命令查看该无线路由器接入的AP ,命令执行如下:be5f-f601-a812N/A e-4f-410-sh...2192.168.1.12001再次使用命令display wlan ap all address |in e-4f-410-sh ,可知该无线路由器通过名称为e-4f-410-shiwai 的摘要:随着科技的飞速发展,传统的有线局域网(LAN )已无法跟上科技发展的步伐,而无线局域网(WLAN )给人们生活带来便利。
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。
单靠交换机能管吗, 测试工程师:能~很多交换机上的小功能都可帮大忙。
测试实况:IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。
思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能,这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。
Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。
思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。
另外Catalyst3560交换机还支持DHCPTracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP 地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。
华硕虽然不能调整速率,但是也会限制DHCP请求的数量。
DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。
该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。
在基于TCP,IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。
在局域网中如果计算机的数量比较少,当然可以手动设置其IP地址,但是如果在计算机的数量较多并且划分了多个子网的情况下,为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用过程中,我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。
如何解决局域网非法DHCP服务器问题
如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题,这些计算机都是自动获得IP的,但经过检查我发现他们获得的网关地址是错误的,按照常理DHCP不会把错误的网关发送给客户端计算机的。
后来我使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据。
所以我断言局域网中肯定存在其他的DHCP服务器,也叫做非法DHCP服务器。
为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢?首先来了解下DHCP的服务机制:一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的,例如IP地址,子网掩码,网关,DNS等地址,很多情况路由器就可以担当此重任。
每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址),广播包随机发送到网络中,当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息,同时从自己的地址池中抽取一个IP地址分配给该计算机。
为什么非法DHCP会被客户端计算机认为是合法的?根据DHCP的服务机制,客户端计算机启动后发送的广播包会发向网络中的所有设备,究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的,客户端计算机也没有区分合法和非法的能力。
这样网络就被彻底扰乱了,原本可以正常上网的机器再也不能连接到intelnet。
解决方法:1、ipconfig /release 和ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。
即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。
如何应对伪造DHCP服务器攻击
如何应对伪造DHCP服务器攻击作者:吴浩来源:《价值工程》2017年第32期摘要:作为一个大中型园区网络的管理员,对非法DHCP路由干扰和ARP欺骗攻击肯定深恶痛绝。
本文对市场上主流几款品牌交换机进行了实验,总结出一套方法应对伪造DHCP服务器攻击。
Abstract: Large and medium-sized campus network administrators must hate the illegal DHCP routing interference and ARP deception attack. In this article, several mainstream brands of switches in the market are experimented, and a s et of methods are summed up to deal with forged DHCP server attacks.关键词: DHCP;交换机;路由干扰;ARPKey words: DHCP;switch;routing interference;ARP中图分类号:TP368.5 文献标识码:A 文章编号:1006-4311(2017)32-0144-02DHCP使服务器能够动态地为网络中的其他终端提供IP地址,通过使用DHCP,就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。
使用DHCP可以大大简化配置客户机的TCP/IP的工作,尤其是当某些TCP/IP参数改变时,如网络的大规模重建而引起的IP地址和子网掩码的更改。
DHCP 由于实施简单,特别适合人群数量大且流动性强的环境,例如跨国企业、高等院校等。
通过DHCP服务,不用给来访者的终端做任何配置即可连入局域网。
同时,由于局域网划分了大量Vlan,客户从一个 Vlan移动到另外一个Vlan也不需要改动终端的任何设置,非常方便。
设置DHCP服务器以自动分配IP地址
设置DHCP服务器以自动分配IP地址DHCP(动态主机配置协议)是一种网络协议,用于自动分配IP地址给网络中的设备。
通过使用DHCP服务器,管理员可以轻松管理网络中的IP地址分配,确保网络上的每个设备都能够获得一个唯一的IP 地址。
本文将介绍如何设置DHCP服务器以实现自动分配IP地址。
一、什么是DHCP服务器?DHCP服务器是一台运行着DHCP服务的计算机或网络设备。
它负责管理分配给设备的IP地址、子网掩码、网关、DNS服务器等网络配置信息。
当设备加入网络时,DHCP服务器将为设备自动分配一个可用的IP地址,避免了手动配置IP地址的繁琐工作。
二、配置DHCP服务器的步骤1. 确认网络拓扑在配置DHCP服务器之前,需要弄清楚网络的拓扑结构。
了解网络中的子网数量、路由器和交换机等设备的位置,以便正确配置DHCP 服务器。
2. 安装DHCP服务器软件根据使用的操作系统,选择并安装合适的DHCP服务器软件。
常见的DHCP服务器软件有Windows Server自带的DHCP服务器、ISC DHCP服务器等。
安装完成后,启动DHCP服务器软件。
3. 配置DHCP服务器打开DHCP服务器软件的管理界面,在配置选项中进行如下设置:3.1 IP地址范围确定要分配给设备的IP地址范围。
根据网络需求,设置起始IP地址和结束IP地址,确保范围内有足够的可用IP地址。
例如,起始IP 地址为192.168.0.100,结束IP地址为192.168.0.200。
3.2 子网掩码设置子网掩码,与IP地址范围对应。
常见的子网掩码为255.255.255.0,但根据实际网络需求可能会有所变化。
3.3 网关设置默认网关的IP地址。
网关是连接局域网和外部网络(如Internet)的设备,通常是路由器的IP地址。
例如,设置网关为192.168.0.1。
3.4 DNS服务器设置域名解析服务器的IP地址。
DNS服务器用于将域名转换为对应的IP地址,以实现网络通信。
dhcp服务器配置
dhcp服务器配置DHCP服务器配置DHCP(Dynamic Host Configuration Protocol)是一种网络协议,用于分配与管理网络上的IP地址。
DHCP服务器负责为网络中的设备分配IP地址、子网掩码、默认网关以及其他与网络连接相关的配置参数。
在本文中,我们将详细介绍如何配置DHCP服务器。
我们将使用Windows Server操作系统作为示例,但大多数操作系统的DHCP配置过程类似。
1. 安装DHCP服务器角色首先,我们需要在Windows Server上安装DHCP服务器角色。
打开服务器管理器,选择“添加角色和功能”,进入服务器角色列表。
在列表中找到DHCP服务器,并勾选该选项。
按照向导的指示完成安装过程。
2. 配置DHCP服务器安装完成后,我们需要对DHCP服务器进行基本配置。
打开DHCP 服务器管理工具,找到新建的DHCP服务器。
2.1 创建新的范围在DHCP服务器管理工具中,点击“服务器名称”下的“IPv4”节点。
右键点击“IPv4”,选择“新建范围”。
按照向导的指示,输入范围的名称、起始IP地址、结束IP地址、子网掩码等信息。
还可以设置租约时间、DNS服务器和WINS服务器。
2.2 配置作用域选项作用域选项允许我们为特定的作用域(范围)设置全局参数。
在DHCP服务器管理工具中,右键点击“作用域”,选择“属性”。
在属性对话框中,点击“作用域选项”标签。
在这里,我们可以配置设置如网关、域名、DNS服务器等选项。
根据需要进行配置,并点击“确定”保存更改。
3. 配置范围设置在DHCP服务器范围中,不仅可以设置IP地址范围,还可以配置其他设置,例如IP地址预留、排除的IP地址范围等。
3.1 IP地址预留在某些情况下,我们可能希望为特定设备分配固定的IP地址。
这可以通过预留IP地址来实现。
在DHCP服务器管理工具中,右键点击特定的范围,选择“新建预留”。
在预留IP地址对话框中,输入设备的MAC地址和IP地址,点击“确定”保存更改。
用DHCP防止局域网内私自IP地址
我校1#学生公寓,PC拥有数量大约1000台。
采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。
由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因此造成了与DHCP 分配的IP地址冲突。
以上两方面,均造成了该公寓楼大量主机无法正常访问网络。
经过一段时间的分析、实验,我们决定对该公寓楼部署DHCP Snooping和Dynamic AR P Inspection两项技术,以保证网络的正常运行。
该公寓网络设备使用情况如下,接入层为××台 2950交换机上联至堆叠的4台 3750,再通过光纤上联至汇聚层的 3750交换机。
同时汇聚层的 3750交换机还兼做DHCP服务器。
部署过程 首先按如下过程配置DHCP Snooping 1 configure terminal 2 ip dhcp snooping 在全局模式下启用DHCP Snooping 3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping 4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled. 5 interface GigabitEthernet1/0/28,进入交换机的第28口 6 ip dhcp snooping trust 将第28口设置为受信任端口 7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限 9 end 退出 完成配置后,可用如下命令观察DHCP Snooping运行状况: show ip dhcp snooping 得到如下信息: Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: Insertion of option 82 is enabled Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/0/22 yes unlimited GigabitEthernet1/0/24 yes unlimited GigabitEthernet1/0/27 yes unlimited GigabitEthernet1/0/28 no 500 show ip dhcp snooping binding,得到如下信息: MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ----------- 00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/2 8 00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28 00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28 10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28 00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28 00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28 00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28 接下来配置Dynamic ARP Inspection 1 show cdp neighbors 检查交换机之间的连接情况 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID ap Gig 1/0/23 149 T AIR-AP1230Fas 0 hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1 1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25 2 configure terminal 进入全局配置模式 3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection 4 interface GigabitEthernet1/0/28 进入第28端口 5 ip arp inspection trust 将端口设置为受信任端口 The switch does not check ARP packets that it receives from the other switc h on the trusted interface. It simply forwards the packets. 6 end 配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况 show arp access-list [acl-name] Displays detailed information about ARP ACL s. show ip arp inspection interfaces [interface-id] Displays the trust state a nd the rate limit of ARP packets for the specified interface or all interfaces. Interface Trust State Rate (pps) Burst Interval --------------- ----------- ---------- -------------- Gi1/0/21 Untrusted 15 1 Gi1/0/22 Trusted None N/A Gi1/0/23 Untrusted 15 1 Gi1/0/24 Trusted None N/A Gi1/0/25 Untrusted 15 1 Gi1/0/26 Untrusted 15 1 Gi1/0/27 Trusted None N/A Gi1/0/28 Untrusted None N/A show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switc h, for a specified VLAN, or for a range of VLANs. yql-2#-3750#sh ip arp inspection vlan 103 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 103 Enabled Active Vlan ACL Logging DHCP Logging ---- ----------- ------------ 103 Deny Deny 注意事项: DHCP Snooping l 在配置DHCP Snooping以前,必须确认该设备作为DHCP服务器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。
单靠交换机能管吗?IP与MAC绑定思科的Catalyst 3560交换机支持DHCP Snooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。
思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能,这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。
Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。
思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。
另外Catalyst 3560交换机还支持DHCP Tracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。
华硕虽然不能调整速率,但是也会限制DHCP请求的数量。
DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。
该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。
在基于TCP/IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。
在局域网中如果计算机的数量比较少,当然可以手动设置其IP地址,但是如果在计算机的数量较多并且划分了多个子网的情况下,为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用过程中,我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。
DHCP则很好地解决了上述的问题,通过在网络上安装和配置DHCP服务器,启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。
从而减少了配置管理,提供了安全而可靠的配置。
配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关,以及DNS服务器的地址。
DHCP避免了因手工设置IP地址及子网掩码所产生的错误,也避免了把一个IP地址分配给多台主机所造成的地址冲突。
降低了IP地址管理员的设置负担,使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。
但是,随着DHCP服务的广泛应用,也产生了一些问题。
首先,DHCP服务允许在一个子网内存在多台DHCP服务器,这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址,而不从一些用户自建的非法DHCP服务器中取得IP地址;其次,在部署DHCP服务的子网中,指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络,而DHCP服务器却仍然会有可能将该地址分配给其他主机,这样就会造成地址冲突,影响IP地址的正常分配。
针对上述问题,本文给出了一个解决方案,即通过使用Cisco提供的DHCP Snooping技术和Dynamic ARP Inspection技术,可以有效地防止以上问题的发生。
这里首先对两种技术做一个简要的介绍,然后将给出一个应用实例加以说明。
四、应用实例我校1#学生公寓,PC拥有数量大约1000台。
采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。
由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因此造成了与DHCP分配的IP地址冲突。
以上两方面,均造成了该公寓楼大量主机无法正常访问网络。
经过一段时间的分析、实验,我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术,以保证网络的正常运行。
该公寓网络设备使用情况如下,接入层为××台Cisco 2950交换机上联至堆叠的4台Cisco 3750,再通过光纤上联至汇聚层的Cisco 3750交换机。
同时汇聚层的Cisco 3750交换机还兼做DHCP服务器。
部署过程首先按如下过程配置DHCP Snooping1 configure terminal2 ip dhcp snooping 在全局模式下启用DHCP Snooping3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.5 interface GigabitEthernet1/0/28,进入交换机的第28口6 ip dhcp snooping trust 将第28口设置为受信任端口7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限9 end 退出完成配置后,可用如下命令观察DHCP Snooping运行状况:show ip dhcp snooping得到如下信息:Switch DHCP snooping is enabledDHCP snooping is configured on following VLANs:103Insertion of option 82 is enabledVerification of hwaddr field is enabledInterface Trusted Rate limit (pps)------------------------ ------- ----------------GigabitEthernet1/0/22 yes unlimitedGigabitEthernet1/0/24 yes unlimitedGigabitEthernet1/0/27 yes unlimitedGigabitEthernet1/0/28 no 500show ip dhcp snooping binding,得到如下信息:MacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- -----------------------------------------------------------00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/2800:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/2800:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103GigabitEthernet1/0/2800:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103GigabitEthernet1/0/2810:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103GigabitEthernet1/0/2800:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103GigabitEthernet1/0/2800:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103GigabitEthernet1/0/2800:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103GigabitEthernet1/0/2800:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103GigabitEthernet1/0/2800:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103GigabitEthernet1/0/28--More--接下来配置Dynamic ARP Inspection1 show cdp neighbors 检查交换机之间的连接情况Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - PhoneDevice ID Local Intrfce Holdtme Capability Platform Port IDap Gig 1/0/23 149 T AIR-AP1230Fas 0hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/11#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/252 configure terminal 进入全局配置模式3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection4 interface GigabitEthernet1/0/28 进入第28端口5 ip arp inspection trust 将端口设置为受信任端口The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.6 end配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况show arp access-list [acl-name] Displays detailed information about ARP ACLs.show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.Interface Trust State Rate (pps) Burst Interval--------------- ----------- ---------- --------------Gi1/0/21 Untrusted 15 1Gi1/0/22 Trusted None N/AGi1/0/23 Untrusted 15 1Gi1/0/24 Trusted None N/AGi1/0/25 Untrusted 15 1Gi1/0/26 Untrusted 15 1Gi1/0/27 Trusted None N/AGi1/0/28 Untrusted None N/Ashow ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.yql-2#-3750#sh ip arp inspection vlan 103Source Mac Validation : DisabledDestination Mac Validation : DisabledIP Address Validation : DisabledVlan Configuration Operation ACL Match Static ACL---- ------------- --------- --------- ----------103 Enabled ActiveVlan ACL Logging DHCP Logging---- ----------- ------------103 Deny Deny注意事项:DHCP Snoopingl 在配置DHCP Snooping以前,必须确认该设备作为DHCP服务器。