组网要求: SwitchA是接入交换机,下挂的PC采用DHCP获取IP地址。SwitchB是核心交换机,部署了DHCP服务器功能。为了防止有用户将非法的DHCP服务器接入网络,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或者导致正常用户获取到冲突的地址,需要部署DHCP Snooping功能。
视频加载中...
一、 主要知识点:
DHCP Snooping 简介
在一次DHCP客户端动态获取IP地址的过程中,DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤。通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。当您的网络中存在DHCP服务器欺骗的时候就可以考虑采用这个功能,比如:网络中有个别终端用的是Windows Server 2003或者2008系统,默认开启了DHCP分配IP的服务。一些接入层的端口连接有开启了DHCP分配IP服务的无线路由器。我们推荐在用户接入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制得越准确。而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。
二、配置思路:
1. 在核心交换机SwitchB上部署DHCP服务器功能。
2. 在接入交换机SwitchA上全局使能DHCP Snooping,然后 在连接PC的接口使能
DHCP Snooping ,同时 将上联核心交换机的接口配置为信任接口 (信任接口正常接收DHCP服务器响应的DHCP报文。另外,接入交换机只会将PC的DHCP请求报文通过信任接口发送给核心交换机)。
三、IP设置:
1、PC1:DHCP动态获取IP地址。
PC2:DHCP动态获取IP地址。
2、SwitchA:Vlan10
3、SwitchB:Vlanif10:192.168.10.254/24
四、switchA交换机的主要配置文件:
#
sysname SwitchA
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
dhcp snooping enable
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
dhcp snooping enable
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10
dhcp snooping trusted
#
return
五、SwitchB的主要配置文件:
#
sysname SwitchB
#
vlan batch 10
#
dhcp enable
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
return
六、 验证配置结果:
1、在SwitchA上执行命令 display dhcp snooping configuration ,查看DHCP
Snooping的配置信息。
<SwitchA>display dhcp snooping configuration
#
dhcp snooping enable
#
interface GigabitEthernet0/0/1
dhcp snooping enable
#
interface GigabitEthernet0/0/2
dhcp snooping enable
#
interface GigabitEthernet0/0/4
dhcp snooping trusted
2、在SwitchB上执行命令 display ip pool interface vlanif10 used ,查看地址池中已
经使用的IP地址信息。
<SwitchB>display ip pool interface vlanif10 used
Pool-name : vlanif10
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 192.168.10.254
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
192.168.10.1 192.168.10.254 253 2 251(0) 0 0
-----------------------------------------------------------------------------
Network section :
--------------------------------------------------------------------------
Index IP MAC Lease Status
--------------------------------------------------------------------------
251 192.168.10.252 5489-98df-2b9a 1091 Used
252 192.168.10.253 5489-9862-710d 1133 Used
--------------------------------------------------------------------------
3、在SwitchA上执行命令 display dhcp snooping user-bind all ,查看DHCP
Snooping绑定表信息。
<SwitchA>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
192.168.10.253 5489-9862-710d 10 /-- /-- GE0/0/1 2020.10.29-18:22
192.168.10.252 5489-98df-2b9a 10 /-- /-- GE0/0/2 2020.10.29-18:23
--------------------------------------------------------------------------------
print count: 2 total count: 2
本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。