在路由器中或者是交换机中,DHCP服务器的使用非常广泛。那么这里我们就来讲解一下这方面的知识吧。首先让我们看看3750配置DHCP snooping的内容吧。(无用的部分已经删除了)具体操作如下:
clocktimezoneWST8 switch1provisionws-c3750g-48ts systemmturouting1500 ipsubnet-zero ipdhcpexcluded-address192.168.1.1(保留地址) ! ipdhcppooltest(启动DHCP) network192.168.1.0255.255.255.0 default-router192.168.1.1 dns-server192.168.1.1 ! ipdhcpsnoopingvlan1(指定DHCPsnooping防护的vlan) ipdhcpsnoopinginformationoptionallow-untrusted ipdhcpsnoopingdatabaseflash:snooping(指定数据库路径) ipdhcpsnooping(3750配置DHCPsnooping中首先启动DHCPsnooping) ! ! interfaceGigabitEthernet1/0/1 ! interfaceGigabitEthernet1/0/31(正常的端口) switchportmodeaccess spanning-treeportfast ! interfaceGigabitEthernet1/0/32 ! interfaceGigabitEthernet1/0/42 ! interfaceGigabitEthernet1/0/43(启用IPDHCPsnooping端口) switchportmodeaccess switchportport-security spanning-treeportfast ipverifysource
(启用IP地址效验,此端口用户不能自己设置地址,只能通过DHCP获得,但没有mac层安全控制。
3750配置DHCP snooping的测试发现,假如g1/0/43口的用户分得地址=192.168.1.2,g1/0/42用户故意修改IP为192.168.1.2,也会影响 g1/0/43的用户,虽然g1/0/42修改IP不能访问网络,但g1/0/43会提示IP冲突,所以必须结合DAI才能保护mac层)
! interfaceGigabitEthernet1/0/44 ! interfaceGigabitEthernet1/0/45 switchportmodeaccess switchportport-security switchportport-securityviolationrestrict spanning-treeportfast ipverifysourceport-security
(启用后此端口无法DHCP注册地址,分析原因由于port-security的安全限制无法注册MAC)
(ipverifysourceport-security是配合启动IPsourebinding使用 ipsourcebinding001b.a111.5e11vlan1192.168.1.200interfaceGi1/0/45,注意ipsourcebinding和动态DHCP不能同时用) ! interfaceGigabitEthernet1/0/46
以上就是3750配置DHCP snooping的具体内容了。