思科交換機dhcp配置命令和講解

　　這兒大家具體解讀了思科交換機dhcp配置指令和介紹的相關內容。大家對拓撲結構先實現(xiàn)一下掌握，隨后針對其在開展一下表明，以后針對配置的源代碼和指令再開展一下分析。

　　思科交換機配置DHCP一、拓撲結構

　　思科交換機配置DHCP二、表明

　　1、拓撲結構表明：聚集層交換機為CATALYST4506，匯聚交換機為CATALYST6506，連接層交換機為CATALYST2918。4506上開啟IP DHCP SNOOPING和DAI及其IPSG，4506上連和下連的端口均配置為TRUNKING;6506上配置VLAN路由器和DHCP網(wǎng)絡服務器;2918配置根據(jù)端口的VLAN。

　　2、DHCP SNOOPING如同一個工作中在非信任端口(聯(lián)接服務器或計算機設備)和信任端口(聯(lián)接DHCP SERVER或是計算機設備)中間的服務器防火墻，其DHCP SNOOPING BINDING DATABASE中儲存著非信任端口下所連機器設備的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息內容，但不儲存信任端口所連機器設備的信息內容;在網(wǎng)絡交換機上開啟IP DHCP SNOOPING后，插口將工作中在二層中繼情況，提取和維護通向二層VLAN的DHCP信息;在VLAN上開啟IP DHCP SNOOPING后，網(wǎng)絡交換機將工作中在同一個VLAN域內的二層中繼情況。

　　3、思科交換機在全局性配置方式下開啟IP DHCP SNOOPING后，全部端口默認設置處在DHCP SNOOPING UNTRUSTED方式下，非信任端口接受到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY報文格式將被丟掉;信任端口一切正常接受分享，不開展檢測。

　　4、網(wǎng)絡交換機在RELOAD或重新啟動后會遺失DHCP SNOOPING BINDING數(shù)據(jù)庫查詢，因而要將此表儲存在網(wǎng)絡交換機的FLASH或是儲存在一個TFTP服務器中，使網(wǎng)絡交換機在RELOAD或重新啟動后可以從這當中載入信息內容，再次產生DHCP SNOOPING BINDING數(shù)據(jù)庫查詢。例如下邊這條指令：renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

　　5、思科交換機在全局性配置方式下開啟IP DHCP SNOOPING后，全部的DHCP RELAY INFORMATION OPTION作用所有關掉。

　　6、依據(jù)cisco的英文資料看來，說一個聚集層交換機開啟DHCP SNOOPING后，當其下連一個具備置入DHCP option-82 information的邊沿網(wǎng)絡交換機，且下連端口為非信任端口時，聚集層交換機將丟掉此后端口接受到的具備option-82 information的DHCP報文格式;但如在聚集層交換機上開啟IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED作用后，這時下連邊沿網(wǎng)絡交換機的端口盡管仍為非信任端口，但可以一切正常此后端口接受具備option-82 information的DHCP報文格式。

　　依據(jù)以上的剖析，我了解如下所示，不清楚對不對：思科交換機在全局性配置方式下開啟IP DHCP SNOOPING后，全部端口默認設置處在DHCP SNOOPING UNTRUSTED方式下，但DHCP SNOOPING INFORMATION OPTION作用默認設置是開啟的，這時DHCP報文格式在抵達一個SNOOPING UNTRUSTED端口時將被丟掉。因而，務必在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED指令(默認設置關掉)，以容許4506從DHCP SNOOPING UNTRUSTED端口接受含有OPTION 82的DHCP REQUEST報文格式。提議在網(wǎng)絡交換機上關掉DHCP INFORMATION OPTION，即全局性配置方式下NO IP DHCP SNOOPING INFORMATION OPTION。

　　7、針對容許手工制作配置IP地址等技術參數(shù)的手機客戶端，可以手工制作加上關聯(lián)內容到DHCP SNOOPING BINDING數(shù)據(jù)庫查詢中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表明手工制作加上一條MAC地址為00d0.2bd0.d80a，IP地址為222.25.77.100，連接端口為GIG1/1，租賃期時間為600秒的關聯(lián)內容。

　　8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING作用的基本上，產生IP SOURCE BINDING表，只功效在二層端口上。開啟IPSG的端口，會查驗接受到全部IP包，只分享與此關聯(lián)表的內容相一致的IP包。默認設置IPSG只用源IP地址為標準過慮IP包，假如再加上以源MAC地址為標準過慮得話，務必開啟DHCP SNOOPING INFORMAITON OPTION 82作用。

　　9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基本的，也區(qū)別為信任和非信任端口，DAI只檢驗非信任端口的ARP包，可以提取、紀錄和丟掉與SNOOPING BINDING中IP地址到MAC地址投射關聯(lián)內容不符合的ARP包。如果不應用DHCP SNOOPING，則必須手工制作配置ARP ACL。

　　思科交換機配置DHCP三、配置

　　1、2918

　　Switch# configure terminal //全局性配置方式

　　Switch(config)# interface range fa0/1 - 12

　　Switch(config-if-range)# switchport access vlan 100

　　Switch(config-if-range)# interface range fa0/13 - 24

　　Switch(config-if-range)# switchport access vlan 200

　　Switch(config-if-range)# interface gig0/1 //上連4506的端口

　　Switch(config-if)# //這兒并不做配置，也可手工制作配置TRUNK

　　2、4506

　　Switch# configure terminal

　　Switch(config)# vtp version 2

　　Switch(config)# vtp mode client

　　Switch(config)# vtp domain gzy

　　Switch(config)# vtp password gzy123

　　Switch(config)# vlan 100

　　Switch(config)# vlan 200

　　Switch(config)# ip dhcp snooping //開啟網(wǎng)絡交換機的dhcp snooping作用

　　Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中開啟dhcp snooping功能

　　Switch(config)# no ip dhcp snooping information option //禁止在DHCP報文格式中置入和刪掉option 82信息內容

　　Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

　　//將dhcp snooping database儲存在tftp服務器(IP地址192.168.200.1)的snooping.dat文檔中

　　Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中開啟DAI作用

　　Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP檢驗ARP包是不是合理合法

　　Switch(config)# interface gig1/1 //上連6506的端口

　　Switch(config-if)# switchport trunk encapsulation dot1q

　　Switch(config-if)# switchport mode trunk

　　Switch(config-if)# ip dhcp snooping trust

　　Switch(config-if)# ip arp inspection trust

　　Switch(config-if)# interface gig2/2 //下連2918的端口

　　Switch(config-if)# switchport trunk encapsulation dot1q

　　Switch(config-if)# switchport mode trunk

　　Switch(config-if)# ip arp inspection limit none

　　Switch(config-if)# ip verify source vlan dhcp-snooping

　　Switch(config-if)# end

　　Switch(config)# copy run start

　　思科交換機配置DHCP四、備注名稱

　　寫到后邊愈來愈懶了，大部分就這樣了。6506上的配置不寫了，非常簡單。由于2918不兼容以上作用，因而只有在4506上做，但那樣就只有在4506下連2918的端口上去開啟這種作用，在2918上產生的蒙騙就沒法避免了。沒法，思科交換機的方法很怪異。如今許多中國廠商的連接層交換機都能夠完成這種作用，例如Quidway、H3C、神洲數(shù)碼科技、銳捷等。因為能力比較有限，寫的不正確的位置請大神糾正。