|
關于DHCP SNOOPING的問題,我們都講解了不少內(nèi)容�����。為了進一步深入了解這個DHCP的應用����,接下來我們主要分析的是ip dhcp snooping在cisco設備中的配置。在cisco網(wǎng)絡環(huán)境下����,boot request在經(jīng)過了啟用DHCP SNOOPING特性的設備上時,會在DHCP數(shù)據(jù)包中插入option 82的選項(具體見RFC3046)����。這個時候,boot request中數(shù)據(jù)包中的gateway ip address:為全0��,所以一旦dhcp relay 設備檢測到這樣的數(shù)據(jù)包��,就會丟棄。
雖然dhcp snooping是用來防止非法的dhcp server接入的����,但是它一個重要作用是一旦客戶端獲得一個合法的dhcp offer。啟用dhcp snooping設備會在相應的接口下面記錄所獲得IP地址和客戶端的mac地址��。這個是后面另外一個技術ARP inspection檢測的一個依據(jù)���。ARP inspection是用來檢測arp請求的,防止非法的ARP請求���。認為是否合法的標準的是前面dhcp snooping時建立的那張表�����。因為那種表是dhcp server正����;貞獣r建立起來的���,里面包括是正確的arp信息�����。如果這個時候有arp攻擊信息����,利用ARP inspection技術就可以攔截到這個非法的arp數(shù)據(jù)包。其實利用這個方法����,還可以防止用戶任意修改IP地址,造成地址沖突的問題�����。
- ip dhcp excluded-address 10.63.150.100 10.63.150.120 不由dhcp分配的地址
-
- !
- ip dhcp pool main 定義地址池
-
- network 10.63.144.0 255.255.255.0 定義地址池做用的網(wǎng)段及地址范圍
- default-router 10.63.144.1 定義客戶端的默認網(wǎng)關
- domain-name nbyzzj.cn 定義客戶端所在域
- dns-server 10.60.12.11 定義客戶端的dns
- lease 7 定義地址租約時間為7天
-
- ip dhcp snooping 打開dhcp snooping功能
-
- ip dhcp snooping vlan 10-12,101-108,315 定義snooping作用的vlan
- ip dhcp snooping database flash:dhcp-snooping.db 將綁定表保存在flash中,避免重啟設備后,重新綁定
- ip arp inspection vlan 10-12,101-108,315 定義arp inspection 作用的vlan,它是根據(jù)dhcp snooping binding表做判斷的
- ip arp inspection validate src-mac dst-mac ip 偵測有效客戶端須滿足src-mac dst-mac ip 均無錯
- ip arp inspection log-buffer entries 1024 inspection 日志大小
- ip arp inspection log-buffer logs 1024 interval 300 inspection 日志刷新時間,interval太小會占用大量cpu時間
- !
- !
- !
- errdisable recovery cause udld
- errdisable recovery cause bpduguard
- errdisable recovery cause security-violation
- errdisable recovery cause channel-misconfig
- errdisable recovery cause pagp-flap
- errdisable recovery cause dtp-flap
- errdisable recovery cause link-flap
- errdisable recovery cause gbic-invalid
- errdisable recovery cause l2ptguard
- errdisable recovery cause psecure-violation
- errdisable recovery cause dhcp-rate-limit
- errdisable recovery cause unicast-flood
- errdisable recovery cause vmps
- errdisable recovery cause arp-inspection
- errdisable recovery interval 30
在開始應用Dynamic ARP Inspection時���,交換機會記錄大量的數(shù)據(jù)包����,當端口通過的數(shù)據(jù)包過多時����,交換機會認為遭受DoS攻擊,從而將端口自動errdisable����,造成通信中斷�。為了解決這個問題���,我們需要加入命令errdisable recovery cause arp-inspection
- no file verify auto
-
- logging on 當logging關閉時會占用大量cpu資源,一定勿忘打開
-
- no spanning-tree loopguard default 最好不要打開
-
- ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11 手動增加靜態(tài)地址的條目
- !
- interface GigabitEthernet1/0/11
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip arp inspection limit none
- arp timeout 2
- ip dhcp snooping limit rate 100
由于下連設備,為了避免inspection讓端口errdisable,所以對arp的偵測不做限制,若直接為接入設備, 可使用ip arp inspection limit rate 100
相關命令:
- sh logging 查看Dymatic Arp Inspection (DAI) 是否生效.
- sh ip dhcp snooping binding 查看snooping是否生效
- sh ip dhcp binding 看dhcp server 是否生效.
- sh arp 看arp信息是否與 dhcp snooping binding表一致
下級設備若支持dhcp snooping 可這樣配置:
- ip dhcp snooping
- int g0/1 上行端口
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip dhcp snooping trust 定義此端口為信任端口,從此口來的dhcp server數(shù)據(jù)有效,可阻止其它dhcp server發(fā)送dhcp數(shù)據(jù)����。
經(jīng)實驗���,對于已存在于綁定表中的mac和ip對于關系的億恩科技主機�����,不管是dhcp獲得,還是靜態(tài)指定��,只要符合這個表就可以了���。如果表中沒有就阻塞相應流量�。
如果使用了dhcp中繼服務����,那需要在網(wǎng)關交換機上鍵入如下命令:
方法一:
- inter vlan10
- ip dhcp relay information trusted
方法二:
- switch(config)# ip dhcp relay information trust-all
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
