在路由器中或者是交换机中,DHCP服务器的使用非常广泛。那么这里我们就来讲解一下这方面的知识吧。首先让我们看看3750配置DHCP snooping的内容吧。(无用的部分已经删除了)具体操作如下:
- clock timezone WST 8
- switch 1 provision ws-c3750g-48ts
- system mtu routing 1500
- ip subnet-zero
- ip dhcp excluded-address 192.168.1.1 (保留地址)
- !
- ip dhcp pool test (启动DHCP)
- network 192.168.1.0 255.255.255.0
- default-router 192.168.1.1
- dns-server 192.168.1.1
- !
- ip dhcp snooping vlan 1 (指定DHCP snooping防护的vlan)
- ip dhcp snooping information option allow-untrusted
- ip dhcp snooping database flash:snooping (指定数据库路径)
- ip dhcp snooping (3750配置DHCP snooping中首先启动DHCP snooping)
- !
- !
- interface GigabitEthernet1/0/1
- !
- interface GigabitEthernet1/0/31 (正常的端口)
- switchport mode access
- spanning-tree portfast
- !
- interface GigabitEthernet1/0/32
- !
- interface GigabitEthernet1/0/42
- !
- interface GigabitEthernet1/0/43 (启用IP DHCP snooping端口)
- switchport mode access
- switchport port-security
- spanning-tree portfast
- ip verify source
(启用IP地址效验,此端口用户不能自己设置地址,只能通过DHCP获得,但没有mac层安全控制。
3750配置DHCP snooping的测试发现,假如g1/0/43口的用户分得地址=192.168.1.2,g1/0/42用户故意修改IP为192.168.1.2,也会影响 g1/0/43的用户,虽然g1/0/42修改IP不能访问网络,但g1/0/43会提示IP冲突,所以必须结合DAI才能保护mac层)
- !
- interface GigabitEthernet1/0/44
- !
- interface GigabitEthernet1/0/45
- switchport mode access
- switchport port-security
- switchport port-security violation restrict
- spanning-tree portfast
- ip verify source port-security
(启用后此端口无法DHCP注册地址,分析原因由于port-security的安全限制无法注册MAC)
- (ip verify source port-security是配合启动IP soure binding使用
- ip source binding 001b.a111.5e11 vlan 1 192.168.1.200 interface Gi1/0/45,注意ip source binding和动态DHCP不能同时用)
- !
- interface GigabitEthernet1/0/46
以上就是3750配置DHCP snooping的具体内容了。
