IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類(lèi)|軟件專(zhuān)題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)管理 → ip dhcp snooping 配置不當(dāng) PC不能正常獲取IP

ip dhcp snooping 配置不當(dāng) PC不能正常獲取IP

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

??? 客戶(hù)的網(wǎng)絡(luò)結(jié)構(gòu)是,思科6509兩臺(tái)做hsrp為核心層,下面的接入層交換機(jī)為思科2950,在6509上啟用了DHCP服務(wù),為每個(gè)VLAN分配IP地址?,F(xiàn)問(wèn)題就出現(xiàn)在其中的幾個(gè)VLAN,PC接在這VLAN下就是獲取不到IP地址,這幾個(gè)有問(wèn)題的VLAN,都接在同一臺(tái)交換機(jī),看了下6509的配置,沒(méi)發(fā)現(xiàn)什么問(wèn)題,就是注意到開(kāi)啟了ip dhcp snooping ,問(wèn)題出現(xiàn)在同一臺(tái)交換機(jī),那就確定方向了.

??? 來(lái)到問(wèn)題機(jī)器,交換機(jī)沒(méi)做什么配置,網(wǎng)絡(luò)中一部分VLAN不能自動(dòng)獲取IP地址,但注意到也配置了ip dhcp snooping ,dhcp snooping 的主要功能是:能夠攔截第二層VLAN域內(nèi)的所有DHCP報(bào)文,查看與6509所接的端口,沒(méi)有啟用dhcp snooping trust ,這就是問(wèn)題所在了。

??? DHCP監(jiān)聽(tīng)將交換機(jī)端口劃分為兩類(lèi):
? ●非信任端口:通常為連接終端設(shè)備的端口,如PC,網(wǎng)絡(luò)打印機(jī)等
? ●信任端口:連接合法DHCP服務(wù)器的端口或者連接匯聚交換機(jī)的上行端口

??? 根據(jù)以上可知,我在級(jí)連接口上啟用ip dhcp snooping trust 后,把本地接口接上,馬上獲取到了IP地地址。

??? 下面是我在網(wǎng)上查到的關(guān)于ip dhcp snooping 的東西,總結(jié)一下:

??? 一、DHCP snooping 技術(shù)介紹

??? DHCP監(jiān)聽(tīng)(DHCP Snooping)是一種DHCP安全特性。Cisco交換機(jī)支持在每個(gè)VLAN基礎(chǔ)上啟用DHCP監(jiān)聽(tīng)特性。通過(guò)這種特性,交換機(jī)能夠攔截第二層VLAN域內(nèi)的所有DHCP報(bào)文。

??? 通過(guò)開(kāi)啟DHCP監(jiān)聽(tīng)特性,交換機(jī)限制用戶(hù)端口(非信任端口)只能夠發(fā)送DHCP請(qǐng)求,丟棄來(lái)自用戶(hù)端口的所有其它DHCP報(bào)文,例如DHCP Offer報(bào)文等。而且,并非所有來(lái)自用戶(hù)端口的DHCP請(qǐng)求都被允許通過(guò),交換機(jī)還會(huì)比較DHCP 請(qǐng)求報(bào)文的(報(bào)文頭里的)源MAC地址和(報(bào)文內(nèi)容里的)DHCP客戶(hù)機(jī)的硬件地址(即CHADDR字段),只有這兩者相同的請(qǐng)求報(bào)文才會(huì)被轉(zhuǎn)發(fā),否則將被丟棄。這樣就防止了DHCP耗竭攻擊。信任端口可以接收所有的DHCP報(bào)文。通過(guò)只將交換機(jī)連接到合法DHCP服務(wù)器的端口設(shè)置為信任端口,其他端口設(shè)置為非信任端口,就可以防止用戶(hù)偽造DHCP服務(wù)器來(lái)攻擊網(wǎng)絡(luò)。DHCP監(jiān)聽(tīng)特性還可以對(duì)端口的DHCP報(bào)文進(jìn)行限速。通過(guò)在每個(gè)非信任端口下進(jìn)行限速,將可以阻止合法DHCP請(qǐng)求報(bào)文的廣播攻擊。DHCP監(jiān)聽(tīng)還有一個(gè)非常重要的作用就是建立一張DHCP監(jiān)聽(tīng)綁定表(DHCP Snooping Binding)。一旦一個(gè)連接在非信任端口的客戶(hù)端獲得一個(gè)合法的DHCP Offer,交換機(jī)就會(huì)自動(dòng)在DHCP監(jiān)聽(tīng)綁定表里添加一個(gè)綁定條目,內(nèi)容包括了該非信任端口的客戶(hù)端IP地址、MAC地址、端口號(hào)、VLAN編號(hào)、租期等信息。

??? 二、DHCP snooping 配置

??? Switch(config)#ip dhcp snooping //打開(kāi)DHCP Snooping功能
??? Switch(config)#ip dhcp snooping vlan 10 //設(shè)置DHCP Snooping功能將作用于哪些VLAN
??? Switch(config)#ip dhcp snooping verify mac-adress

??? //檢測(cè)非信任端口收到的DHCP請(qǐng)求報(bào)文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻擊,該功能默認(rèn)即為開(kāi)啟

??? Switch(config-if)#ip dhcp snooping trust

??? //配置接口為DHCP監(jiān)聽(tīng)特性的信任接口,所有接口默認(rèn)為非信任接口

??? Switch(config-if)#ip dhcp snooping limit rate 15

??? //限制非信任端口的DHCP報(bào)文速率為每秒15個(gè)包(默認(rèn)即為每秒15個(gè)包)如果不配該語(yǔ)句,則show ip dhcp snooping的結(jié)果里將不列出沒(méi)有該語(yǔ)句的端口,可選速率范圍為1-2048

??? 建議:在配置了端口的DHCP報(bào)文限速之后,最好配置以下兩條命令
??? Switch(config)#errdisable recovery cause dhcp-rate-limit
??? //使由于DHCP報(bào)文限速原因而被禁用的端口能自動(dòng)從err-disable狀態(tài)恢復(fù)

??? Switch(config)#errdisable recovery interval 30
??? //設(shè)置恢復(fù)時(shí)間;端口被置為err-disable狀態(tài)后,經(jīng)過(guò)30秒時(shí)間才能恢復(fù)

??? Switch(config)#ip dhcp snooping information option
??? //設(shè)置交換機(jī)是否為非信任端口收到的DHCP報(bào)文插入Option 82,默認(rèn)即為開(kāi)啟狀態(tài)
??? Switch(config)#ip dhcp snooping information option allow-untrusted
??? //設(shè)置匯聚交換機(jī)將接收從非信任端口收到的接入交換機(jī)發(fā)來(lái)的帶有選項(xiàng)82的DHCP報(bào)文

??? Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000????? //特權(quán)模式命令;手工添加一條DHCP監(jiān)聽(tīng)綁定條目;expiry為時(shí)間值,即為監(jiān)聽(tīng)綁定表中的lease(租期)
??? Switch(config)#ip dhcp snooping database
??? flash:dhcp_snooping.db
??? //將DHCP監(jiān)聽(tīng)綁定表保存在flash中,文件名為dhcp_snooping.db

??? Switch(config)#ip dhcp snooping database
??? tftp://192.168.2.5/Switch/dhcp_snooping.db
??? //將DHCP監(jiān)聽(tīng)綁定表保存到tftp服務(wù)器;192.168.2.5為tftp服務(wù)器地址,必須事先確定可達(dá)。URL中的Switch是tftp服務(wù)器下一個(gè)文件夾;保存后的文件名為dhcp_snooping.db,當(dāng)更改保存位置后會(huì)立即執(zhí)行"寫(xiě)"操作。

??? Switch(config)#ip dhcp snooping database write-delay 30

??? //指DHCP監(jiān)聽(tīng)綁定表發(fā)生更新后,等待30秒,再寫(xiě)入文件,默認(rèn)為300秒;可選范圍為15-86400秒
??? Switch(config)#ip dhcp snooping database timeout 60
??? //指DHCP監(jiān)聽(tīng)綁定表嘗試寫(xiě)入操作失敗后,重新嘗試寫(xiě)入操作,直到60秒后停止嘗試。默認(rèn)為300秒;可選范圍為0-86400秒

??? 說(shuō)明:實(shí)際上當(dāng)DHCP監(jiān)聽(tīng)綁定表發(fā)生改變時(shí)會(huì)先等待write-delay的時(shí)間,然后執(zhí)行寫(xiě)入操作,如果寫(xiě)入操作失?。ū热鐃ftp服務(wù)器不可達(dá)),接著就等待timeout的時(shí)間,在此時(shí)間段內(nèi)不斷重試。在timeout時(shí)間過(guò)后,停止寫(xiě)入嘗試。但由于監(jiān)聽(tīng)綁定表已經(jīng)發(fā)生了改變,因此重新開(kāi)始等待write-delay時(shí)間執(zhí)行寫(xiě)入操作……不斷循環(huán),直到寫(xiě)入操作成功。
??? Switch#renew ip dhcp snooping database flash:dhcp_snooping.db

??? /特權(quán)級(jí)命令;立即從保存好的數(shù)據(jù)庫(kù)文件中讀取DHCP監(jiān)聽(tīng)綁定表。

關(guān)鍵詞標(biāo)簽:ip,dhcp,snooping

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠(chǎng)默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠(chǎng)默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠(chǎng)默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線(xiàn)負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量