思科交換機(jī)配置DHCP二、說(shuō)明

1、拓?fù)湔f(shuō)明：匯聚層交換機(jī)為CATALYST4506，核心交換機(jī)為CATALYST6506，接入層交換機(jī)為CATALYST2918。4506上啟用IP DHCP SNOOPING和DAI以及IPSG，4506上連和下連的端口均配置為TRUNKING；6506上配置VLAN路由和DHCP服務(wù)器；2918配置基于端口的VLAN。

2、DHCP SNOOPING就像一個(gè)工作在非信任端口（連接主機(jī)或網(wǎng)絡(luò)設(shè)備）和信任端口（連接DHCP SERVER或者網(wǎng)絡(luò)設(shè)備）之間的防火墻，其DHCP SNOOPING BINDING DATABASE中保存著非信任端口下所連設(shè)備的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息，但不保存信任端口所連設(shè)備的信息；在交換機(jī)上開(kāi)啟IP DHCP SNOOPING后，接口將工作在二層橋接狀態(tài)，截取和保護(hù)通往二層VLAN的DHCP消息；在VLAN上開(kāi)啟IP DHCP SNOOPING后，交換機(jī)將工作在同一個(gè)VLAN域內(nèi)的二層橋接狀態(tài)。

3、思科交換機(jī)在全局配置模式下開(kāi)啟IP DHCP SNOOPING后，所有端口默認(rèn)處于DHCP SNOOPING UNTRUSTED模式下，非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY報(bào)文將被丟棄；信任端口正常接收轉(zhuǎn)發(fā)，不進(jìn)行監(jiān)測(cè)。

4、交換機(jī)在RELOAD或重啟后會(huì)丟失DHCP SNOOPING BINDING數(shù)據(jù)庫(kù)，因此要將此表保存在交換機(jī)的FLASH或者保存在一個(gè)TFTP服務(wù)器中，使交換機(jī)在RELOAD或重啟后可以從中讀取信息，重新形成DHCP SNOOPING BINDING數(shù)據(jù)庫(kù)。比如下面這條命令：renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

5、思科交換機(jī)在全局配置模式下開(kāi)啟IP DHCP SNOOPING后，所有的DHCP RELAY INFORMATION OPTION功能全部關(guān)閉。

6、根據(jù)思科的英文資料來(lái)看，說(shuō)一個(gè)匯聚層交換機(jī)開(kāi)啟DHCP SNOOPING后，當(dāng)其下連一個(gè)具有嵌入DHCP option-82 information的邊緣交換機(jī)，且下連端口為非信任端口時(shí)，匯聚層交換機(jī)將丟棄從此端口接收到的具有option-82 information的DHCP報(bào)文；但當(dāng)在匯聚層交換機(jī)上開(kāi)啟IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后，此時(shí)下連邊緣交換機(jī)的端口雖然仍為非信任端口，但可以正常從此端口接收具有option-82 information的DHCP報(bào)文。

根據(jù)上面的分析，我理解如下，不知道對(duì)不對(duì)：思科交換機(jī)在全局配置模式下開(kāi)啟IP DHCP SNOOPING后，所有端口默認(rèn)處于DHCP SNOOPING UNTRUSTED模式下，但DHCP SNOOPING INFORMATION OPTION功能默認(rèn)是開(kāi)啟的，此時(shí)DHCP報(bào)文在到達(dá)一個(gè)SNOOPING UNTRUSTED端口時(shí)將被丟棄。因此，必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令（默認(rèn)關(guān)閉），以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報(bào)文。建議在交換機(jī)上關(guān)閉DHCP INFORMATION OPTION，即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

7、對(duì)于允許手工配置IP地址等參數(shù)的客戶端，可以手工添加綁定條目到DHCP SNOOPING BINDING數(shù)據(jù)庫(kù)中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a，IP地址為222.25.77.100，接入端口為GIG1/1，租期時(shí)間為600秒的綁定條目。

8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎(chǔ)上，形成IP SOURCE BINDING表，只作用在二層端口上。啟用IPSG的端口，會(huì)檢查接收到所有IP包，只轉(zhuǎn)發(fā)與此綁定表的條目相符合的IP包。默認(rèn)IPSG只以源IP地址為條件過(guò)濾IP包，如果加上以源MAC地址為條件過(guò)濾的話，必須開(kāi)啟DHCP SNOOPING INFORMAITON OPTION 82功能。

9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎(chǔ)的，也區(qū)分為信任和非信任端口，DAI只檢測(cè)非信任端口的ARP包，可以截取、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關(guān)系條目不符的ARP包。如果不使用DHCP SNOOPING，則需要手工配置ARP ACL。

思科交換機(jī)配置DHCP三、配置

1、2918

Switch# configure terminal //全局配置模式

Switch(config)# interface range fa0/1 - 12

Switch(config-if-range)# switchport access vlan 100

Switch(config-if-range)# interface range fa0/13 - 24

Switch(config-if-range)# switchport access vlan 200

Switch(config-if-range)# interface gig0/1 //上連4506的端口

Switch(config-if)# //這里可不做配置，也可手工配置TRUNK

2、4506

Switch# configure terminal

Switch(config)# vtp version 2

Switch(config)# vtp mode client

Switch(config)# vtp domain gzy

Switch(config)# vtp password gzy123

Switch(config)# vlan 100

Switch(config)# vlan 200

Switch(config)# ip dhcp snooping //開(kāi)啟交換機(jī)的dhcp snooping功能

Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中開(kāi)啟dhcp snooping功能

Switch(config)# no ip dhcp snooping information option //禁止在DHCP報(bào)文中嵌入和刪除option 82信息

Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

//將dhcp snooping database保存在tftp服務(wù)器（IP地址192.168.200.1）的snooping.dat文件中

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中開(kāi)啟DAI功能

Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP檢測(cè)ARP包是否合法

Switch(config)# interface gig1/1 //上連6506的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip arp inspection trust

Switch(config-if)# interface gig2/2 //下連2918的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip arp inspection limit none

Switch(config-if)# ip verify source vlan dhcp-snooping

Switch(config-if)# end

Switch(config)# copy run start

思科交換機(jī)配置DHCP四、備注

寫到后面越來(lái)越懶了，基本上就是這樣了。6506上的配置不寫了，很簡(jiǎn)單。因?yàn)?918不支持上述功能，因此只能在4506上做，但這樣就只能在4506下連2918的端口上來(lái)啟用這些功能，在2918上發(fā)生的欺騙就無(wú)法防止了。沒(méi)辦法，思科的做法很奇怪?，F(xiàn)在很多國(guó)內(nèi)廠家的接入層交換機(jī)都可以實(shí)現(xiàn)這些功能，比如Quidway、H3C、神洲數(shù)碼、銳捷等。由于水平有限，寫的不對(duì)的地方請(qǐng)高手指正。