(三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)

环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2

cisco dhcp server相关配置

ip dhcp pool vlan27
   network 192.168.27.0 255.255.255.0
   default-router 192.168.27.1
   dns-server 192.168.27.1 

interface Vlan27
 ip dhcp relay information trusted    //必须配置,否则客户端获取不到地址
 ip address 192.168.27.1 255.255.255.0

access-switch交换机相关配置

ip dhcp snooping vlan 27
ip dhcp snooping

interface GigabitEthernet0/1
 switchport access vlan 27
 switchport mode access
 media-type rj45
 speed 100
 duplex full
 no negotiation auto
 spanning-tree portfast edge
 ip dhcp snooping trust

说明:

  1、路由器连接交换机的三层接口或者interface vlan里面必须配置 ip dhcp relay information trusted,否则客户端无法获取地址

因为access-switch接入层交换机默认开启了ip dhcp snooping information option,此时接入层交换机会在客户端发出的dhcp请求报文中插入option82信息(关于option82请看这里),由于dhcp server和客户端处于同一个网段中并没有经过dhcp中继代理,对于cisco的dhcp server而言,如果收到了一个插入了option82的请求报文,那么就会认为是一个从dhcp中继代理过来的请求报文,此时就会检查该报文的giaddr字段,但是由于属于同网段该字段是0.0.0.0 dhcp server会认为是一个不合法的地址,此时就会将该报文丢弃,导致客户端获取不到IP地址

针对此情况cisco ios就有一条专门处理的命令来避免此问题 ip dhcp relay information trusted(接口命令)或者ip dhcp relay information trust-all(全局命令,对所有路由器接口都有效);这两条命令的作用就是允许被插入了选项82信息,但其giaddr字段为0.0.0.0的DHCP请求报文通过。

注:

  1、上述的情况还可以在接入层交换机上面关闭插入option82选项的功能,这样即使dhcp不信任giaddr字段是0.0.0.0 也可以获得ip地址。命令是 no ip dhcp snooping information option

  2、Windows DHCP服务器应该没有检查这类DHCP请求的机制,所以上面的实例中不论交换机是否插入选项82信息,客户端总是可以得到IP地址。

原文地址:https://www.cnblogs.com/surplus/p/11144889.html

时间: 2024-11-05 12:14:39

(三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)的相关文章

(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 ! ! ip dhcp snooping vlan 27ip dhcp snooping informat

(四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)

试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 172.28.28.16 ip default-gateway 172.28.28.254 L3-switch的配置 interface Vlan27 ip dh

DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping

一.DHCP简介DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议.DHCP使用客户端/服务器模式,请求配置信息的计算机叫做DHCP客户端,而提供信息的叫做DHCP的服务器.DHCP为客户端分配地址的方法有三种:手工配置.自动配置.动态配置.DHCP最重要的功能就是动态分配.除了IP地址,DHCP分组还为客户端提供其他的

DHCP、DHCP Snooping及DHCP relay工作原理入门及实践

序:DHCP服务相对简单,写本文的目的是为了讲一些DHCP安全方面的技术. 1.DHCP基础 DHCP 全称动态主机配置协议(Dynamic Host Configuration Protocol),用于给终端设备如PC.IPad.手机等自动分配IP地址.工作过程简洁高效,易于掌握,首先借着一张图介绍DHCP基本的工作原理: 从图上可以清晰看出,客户端通过DHCP协议获取IP地址等信息的过程可以分为四个步骤: 1.1发现阶段,即DHCP客户端发现DHCP服务器的阶段. DHCP客户端发送DHCP

DHCP snooping防范非法的服务器

一.dhcp snooping的原理 dhcp snooping在交换机上配置完成:而且必须指明在哪个vlan上进行监听,没有监听的vlan不受规则限制.交换机上开启snooping后,交换机任何一个接口的dhcp服务器都不能提供服务.因此需要在开启了dhcp snooping的交换机定义两类接口: 1.可信任接口:连接dhcp服务器的接口或上联接口 2.不可信任接口:连接客户端的接口,默认下接客户端的全为不可信任接口. 交换机只接受合法的服务器发过来的dhcp消息,drop非法的服务器发过来的

Cisco DHCP snooping

DHCP snooping 一.***原理:DHCP Sproofing同样是一种中间人***方式.DHCP是提供IP地址分配的服务.当局域网中的计算机设置为自动获取IP,就会在启动后发送广播包请求IP地址.DHCP服务器(如路由器)会分配一个IP地址给计算机.在分配的时候,会提供DNS服务器地址. ***者可以通过伪造大量的IP请求包,而消耗掉现有DHCP服务器的IP资源.当有计算机请求IP的时候,DHCP服务器就无法分配IP.这时,***者可以伪造一个DHCP服务器给计算机分配IP,并指定一

[Cisco] DHCP snooping 测试

测试环境:一台已经配置好DHCP的DHCP Server ,一台Cisco交换机(IOS版本:12.4),两台PC. 拓扑图为图:1-1. 测试目的:Cisco交换机开启dhcp snooping功能,默认的所有端口都为需要在DHCP Server和PC对应的端口设置 dhcp snooing trust. 图:1-1 测试步骤: 1. 在 switch上启用DHCP snooping ,将vlan 1加入到snooping,其他接口G0/1,F0/1,F0/2不做ip dhcp snoopin

企业网cisco交换机dhcp snooping和IP source guard禁止手动配置IP

网络拓扑结构: 场景介绍: 核心层: 各个vlan接口网关均在核心层汇聚层: 两台堆叠,port-channel 上联到核心层,port-channel 下联到接入层,不运行动态路由接入层: 两端口port-channel,分别链接至两台汇聚交换机 目的:通过dhcp snooping 防止内部企业网私自接入dhcp server:通过启用IP source guard防止内部用户私自手动配置ip地址. 接入层dhcp snooping 配置: 2F-NEW-ACC-SW-1(config)#i

交换安全三宝(DHCP Snooping+IPSG+DAI)简单实验

1 实验拓扑图 2 DHCP Snooping 2.1 基本DHCP Snooping配置: C2960#show running-config Building configuration... ! ipdhcp snooping vlan 10 ipdhcp snooping ! interface FastEthernet0/1 description ---Connected to DHCP_Server --- switchportaccess vlan 10 switchport m