广东省地税
本章主要介绍DHCP Snooping功能的使用和配置方法。
本章主要内容:
l DHCP Snooping功能简介
l DHCP Snooping基本指令描述
l DHCP Snooping配置示例
l DHCP Snooping监控和调试
12.1DHCP Snooping功能简介
DHCP Snooping是DHCP的一种安全特性,具有如下功能:公司债券发行试点办法
1)记录DHCP客户端IP地址与MAC地址的对应关系
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。 DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通show dhcp-snooping database命令查看DHCP客户端获取的IP地址信息。 2)保证客户端从合法的服务器获取IP地址
在网络中如果有私自架设的DHCP服务器,则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
n信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址。
n不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃,从而防止了
DHCP客户端获得错误的IP地址。
DHCP Snooping功能在网络中的典型应用如下图的Switch A所示。
陇西地震
图12-1 DHCP组网图
DHCP Client与DHCP Server之间的报文交互过程如下图所示。
图12-2 DHCP Client与DHCP Server 交互
同时,DHCP Snooping 还支持对Option 82选项的添加、转发和管理。Option82是一个DHCP选项,这个选项用于记录DHCP客户端的位置信息,管理员可以根据这个选项定
位DHCP客户端,从而进行一些安全控制,比如限制某个端口或VLAN所能分配的IP地址个数等等。根据DHCP报文类型的不同,对Option 82选项的处理方式也不同:1)当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略及填充格式对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。
2)当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发给DHCP客户端。
12.2DHCP Snooping基本指令描述
命令描述配置模式dhcp-snooping开启DHCP Snooping功能config漂流瓶的故事
no dhcp-snooping关闭DHCP Snooping功能config
dhcp-snooping information enable开启DHCP Snooping功能的
Option 82选项
config
dhcp-snooping information disable关闭DHCP Snooping功能的
Option 82选项
config
dhcp-snooping information format default Option 82选项使用默认填充
模式
config
dhcp-snooping information format user-config Option 82选项使用用户配置
填充模式
config
dhcp-snooping information format
remote-id{STRING | default| hostname }
*远端ID配置config
dhcp-snooping information policy { drop | keep | replace } *Option 82处理策略配置(默
认为replace)
config
dhcp-snooping database timeout seconds配置无效绑定表项删除时间
(默认为300s)
config dhcp-snooping relay-address ip-address*中继地址config
snmp-server enable traps port-shutdown dhcpsp 打开trap开关,当DHCP Snooping功能引起端口
config
shutdown时发送trap告警
no snmp-server enable traps
port-shutdown dhcpsp
关闭trap开关config
dhcp-snooping information format circuit-id{STRING| default }*电路ID配置config-port-xx,
config-link-aggregation-x,
config-port-range
高校实行什么的校长负责制dhcp-snooping rate-limi<1-80>*端口DHCP报文速率限制上
限(默认为40pps)config-port-xx,
config-link-aggregation-x, config-port-range
dhcp-snooping trust*端口信任状态配置config-port-xx,
config-link-aggregation-x,
config-port-range
dhcp-snooping database savetype {
auto|manual}
保存绑定表的方式config
dhcp-snooping database savedelay<600-32768>自动模式侦测绑定表变化延
时写入flash时间。
config
dhcp-snooping database savepool<10-60>自动模式下侦测绑定表变化
时间。
config
dhcp-snooping database save 手动模式下保存绑定表。config No dhcp-snooping savetype 恢复保存绑定表的方式(auto) config No dhcp-snooping savedelay 自动模式侦测绑定表变化延
时写入flash时间(1800)。
config No dhcp-snooping savepool 自动模式下侦测绑定表变化
时间(30)。
config
广州塔模型Clear dhcp-snooping database {[port portlist |link-aggregation trunk-id] | H.H.H |all}清除动态学习到的绑定表信
息
enable
&注:命令描述前带“*”符号的表示该命令有配置实例详细说明。
n dhcp-snooping information format circuit-id
配置Option 82选项中的电路ID,用于标识用户所在位置,默认使用vlan-mod-port模
式填充
其中port是端口的逻辑ID (面板端口号+1)
dhcp-snooping information format circuit-id {STRING | default }
语法描述
STRING用户自定义字符串,字符串长度(1-63).
default 使用vlan-mod-port模式
【缺省情况】default
n dhcp-snooping information format remote-id
配置Option 82选项中的远端ID,用于标识交换机本身,默认填充本地MAC地址
dhcp-snooping information format remote-id {STRING | default| hostname }
语法描述
STRING用户配置字符串,字符串长度(1-63).
default 默认填充MAC地址
hostname 本地主机名
【缺省情况】default
n dhcp-snooping information policy
配置DHCP报文Option 82选项转发策略
d hcp-snooping information policy { drop | keep | replac
e }
语法描述
drop 带Option 82选项的DHCP报文直接丢弃
keep 带Option 82选项的DHCP报文原样转发
replace 替换原报文中的Option 82选项,然后进行转发
【缺省情况】replace
n dhcp-snooping relay-address
配置中继地址,在启动OPTION 82选项后,某些服务器可能会需要报文中携带中继地
址,这个地址必须配置成本台设备上的能和DHCP服务器互通的IP地址,而且该地址所在三层接口必须和客户端、服务器端口在同一VLAN内。
dhcp-snooping relay-address ip-address
语法描述
ip-address中继IP地址
【缺省情况】无
n dhcp-snooping rate-limit
配置DHCP报文端口速率上限,当端口上DHCP报文速率超过配置值时,该报文会被丢弃,而且如果连续20秒收到的DHCP报文都超速,则直接shutdown对应端口,可手动配置恢复。信任端口的速率限制配置不会生效,也就是说我们可以配置,但在该端口上不进行速率限制,除非我们将端口状态改成非信任端口。
dhcp-snooping rate-limit <1-80>
语法描述
rate-limit <1-80>速率上限值(1-80)
【缺省情况】40pps
&注:config模式下的命令errdisable recovery case dhcp-snooping,可以自动恢复被dhcp-snooping关闭的端口。
n dhcp-snooping trust
配置端口信任状态,一般情况,和DHCP服务器相连的端口配置成信任端口,其它端口配置成非信任端口,端口状态默认为非信任的。对于非信任状态的端口会过滤掉该端口上收到的DHCP应答报文。
dhcp-snooping trust
no dhcp-snooping trust
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议