DHCP Snooping的實現

DHCP Snooping的實現

主要作用:
1.防止在動態獲得IP地址的網絡環境中用戶手動配置PC的IP地址;
2.防止A用戶的PC靜態配置的IP地址頂掉B用戶PC動態獲得的IP地址的網絡訪問權;
3.防止在動態獲得IP地址的網絡環境中,內網私自架設非法的DHCP服務器,導致內網合法用戶得到沒有訪問網絡能力的IP地址;

前提:
在講這個技術前，首先我們按理想中的網絡結構划分，分為核心層、匯聚層、接入層；核心設備與匯聚設備之間啟動了路由協議，匯聚成為它下連vlan的DHCP Server，接入層是純2層設備。

匯聚交換機:
全局配置模式下
全局啟用dhcp snooping
ip dhcp snooping

在vlan上啟用dhcp snooping,這里需要將相關vlan全部啟用dhcp snooping，啟用該服務之后,該VLAN內的所有接口,全部被置為非信任狀態,丟棄所有不信任端口接收到的DHCP offer包，所以可以阻止內網私架的DHCP服務器
ip dhcp snooping vlan 100
　　
啟動防止手工指定IP地址可以上網
Ip arp inspection vlan 100
指定檢查源MAC地址與目的MAC地址與IP地址的對應關系，看是否與DHCP Snooping生成的表匹配
Ip arp inspection validate src-mac dst-mac ip

此配置之后,由於沒有配端口信任,交換機會收到大量非法的DHCP信息包,交換機的自動防護會導致接口處於errdisable狀態,為了使接口能正常工作,需要在全局下配置
errdisable recovery cause arp-inspection

接口配置模式下
在匯聚交換機下連訪問交換機的trunk接口上,配置接口信任DHCP信息包
ip dhcp snooping trust
配置此命令的目的是為了防止過多的非法ARP包,沖到trunk接口上,致使接口進入err-disable狀態
ip arp inspection limit none
配置此命令的目的是為了信任下連交換機傳上來的ARP inspection包
ip arp inspection trust


接入交換機:
全局配置模式下
ip dhcp snooping
ip dhcp snooping vlan 100

errdisable recovery cause arp-inspection

接口配置模式下
在訪問交換機上連匯聚交換機的trunk接口上,配置接口信任DHCP信息包
ip dhcp snooping trust
配置此命令的目的是為了防止過多的非法ARP包,沖到trunk接口上,致使接口進入err-disable狀態
ip arp inspection limit none

來自為知筆記(Wiz)