深入分析關(guān)于DHCP SNOOPING的設(shè)置

雖然dhcp snooping是用來(lái)防止非法的dhcp server接入的，但是它一個(gè)重要作用是一旦客戶端獲得一個(gè)合法的dhcp offer。啟用dhcp snooping設(shè)備會(huì)在相應(yīng)的接口下面記錄所獲得IP地址和客戶端的mac地址。這個(gè)是后面另外一個(gè)技術(shù)ARP inspection檢測(cè)的一個(gè)依據(jù)。ARP inspection是用來(lái)檢測(cè)arp請(qǐng)求的，防止非法的ARP請(qǐng)求。認(rèn)為是否合法的標(biāo)準(zhǔn)的是前面dhcp snooping時(shí)建立的那張表。因?yàn)槟欠N表是dhcp server正常回應(yīng)時(shí)建立起來(lái)的，里面包括是正確的arp信息。如果這個(gè)時(shí)候有arp攻擊信息，利用ARP inspection技術(shù)就可以攔截到這個(gè)非法的arp數(shù)據(jù)包。其實(shí)利用這個(gè)方法，還可以防止用戶任意修改IP地址，造成地址沖突的問(wèn)題。

ip dhcp excluded-address 10.63.150.100 10.63.150.120    不由dhcp分配的地址  
 
!  
ip dhcp pool main      定義地址池  
 
network 10.63.144.0 255.255.255.0       定義地址池做用的網(wǎng)段及地址范圍  
default-router 10.63.144.1      定義客戶端的默認(rèn)網(wǎng)關(guān)  
domain-name nbyzzj.cn        定義客戶端所在域  
dns-server 10.60.12.11        定義客戶端的dns  
lease 7      定義地址租約時(shí)間為7天  
 
ip dhcp snooping      打開(kāi)dhcp snooping功能  
 
ip dhcp snooping vlan 10-12,101-108,315     定義snooping作用的vlan  
ip dhcp snooping database flash:dhcp-snooping.db      將綁定表保存在flash中,避免重啟設(shè)備后,重新綁定 

ip arp inspection vlan 10-12,101-108,315    定義arp inspection 作用的vlan,它是根據(jù)dhcp snooping binding表做判斷的  
ip arp inspection validate src-mac dst-mac ip     偵測(cè)有效客戶端須滿足src-mac dst-mac ip 均無(wú)錯(cuò)  
ip arp inspection log-buffer entries 1024      inspection 日志大小  
ip arp inspection log-buffer logs 1024 interval 300     inspection 日志刷新時(shí)間,interval太小會(huì)占用大量cpu時(shí)間  
!  
!  
!  
errdisable recovery cause udld  
errdisable recovery cause bpduguard  
errdisable recovery cause security-violation  
errdisable recovery cause channel-misconfig  
errdisable recovery cause pagp-flap  
errdisable recovery cause dtp-flap  
errdisable recovery cause link-flap  
errdisable recovery cause gbic-invalid  
errdisable recovery cause l2ptguard  
errdisable recovery cause psecure-violation  
errdisable recovery cause dhcp-rate-limit  
errdisable recovery cause unicast-flood  
errdisable recovery cause vmps  
errdisable recovery cause arp-inspection  
errdisable recovery interval 30 

在開(kāi)始應(yīng)用Dynamic ARP Inspection時(shí)，交換機(jī)會(huì)記錄大量的數(shù)據(jù)包，當(dāng)端口通過(guò)的數(shù)據(jù)包過(guò)多時(shí)，交換機(jī)會(huì)認(rèn)為遭受DoS攻擊，從而將端口自動(dòng)errdisable，造成通信中斷。為了解決這個(gè)問(wèn)題，我們需要加入命令errdisable recovery cause arp-inspection

no file verify auto  
 
logging on      當(dāng)logging關(guān)閉時(shí)會(huì)占用大量cpu資源,一定勿忘打開(kāi)  
 
no spanning-tree loopguard default      最好不要打開(kāi)  
 
ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11      手動(dòng)增加靜態(tài)地址的條目  
! 

interface GigabitEthernet1/0/11  
switchport trunk encapsulation dot1q  
switchport mode trunk  
ip arp inspection limit none  
arp timeout 2  
ip dhcp snooping limit rate 100 

由于下連設(shè)備,為了避免inspection讓端口errdisable,所以對(duì)arp的偵測(cè)不做限制,若直接為接入設(shè)備, 可使用ip arp inspection limit rate 100

相關(guān)命令:

sh logging       查看Dymatic Arp Inspection (DAI) 是否生效.  
sh ip dhcp snooping binding       查看snooping是否生效  
sh ip dhcp binding       看dhcp server 是否生效.  
sh arp       看arp信息是否與 dhcp snooping binding表一致 

下級(jí)設(shè)備若支持dhcp snooping 可這樣配置：

ip dhcp snooping  
int g0/1      上行端口  
switchport trunk encapsulation dot1q  
switchport mode trunk  
ip dhcp snooping trust      定義此端口為信任端口,從此口來(lái)的dhcp server數(shù)據(jù)有效,可阻止其它dhcp server發(fā)送dhcp數(shù)據(jù)。 

經(jīng)實(shí)驗(yàn)，對(duì)于已存在于綁定表中的mac和ip對(duì)于關(guān)系的億恩科技主機(jī)，不管是dhcp獲得，還是靜態(tài)指定，只要符合這個(gè)表就可以了。如果表中沒(méi)有就阻塞相應(yīng)流量。

如果使用了dhcp中繼服務(wù)，那需要在網(wǎng)關(guān)交換機(jī)上鍵入如下命令:

方法一：

inter vlan10  
ip dhcp relay information trusted 

方法二：

switch（config）# ip dhcp relay information trust-all 

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]