(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

试验拓扑

环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论

L3交换机的配置

ip dhcp pool vlan27
 network 172.28.27.0 255.255.255.0
 default-router 172.28.27.254
 dns-server 172.28.28.15
!
!
ip dhcp snooping vlan 27ip dhcp snooping information option allow-untrusted   //必须加此命令,因为L3交换机也开启了dhcp snooping,具体解释如下ip dhcp snooping

interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
speed 1000
duplex full
no negotiation auto
ip dhcp snooping limit rate 720

L2交换机配置

ip dhcp snooping vlan 27
ip dhcp snooping
!
interface GigabitEthernet0/0
 switchport trunk encapsulation dot1q
 switchport mode trunk
 media-type rj45
 speed 1000
 duplex full
 no negotiation auto
 ip dhcp snooping trust

说明:

 1、从L2交换机过来的DHCP请求报文是已经被插入了选项82信息,如果将L3的Gi0/0设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即L3上只有win10的绑定条目,而没

   有win11的绑定条目。如果此时同时部署DAI,IPSG,由于L2交换机不支持这两项功能,对于L3交换机来说,从L2交换机上过来的数据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于L3交换机没有PC2的绑定

  条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在L3交换机上再部署DAI或者IPSG,就不能将L3交换机的Gi0/0设置为信任端口。但是将Gi0/0口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插

  入了82选项的DHCP请求报文。而从L2交换机过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted(全局)命令,否则L3交换机将丢弃这些DHCP请求

  报文,接在L2交换机上的win11将得不到IP地址。只有配置了该命令以后,L3交换机才会接收从L2交换机发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。

  当然上面如果遇到交换机不支持ip dhcp snooping information option allow-untrusted命令可以有以下两种解决办法:

    ①在不支持的交换机的int vlan 内使用 ip dhcp relay information trusted(vlan内) 命令

    ②在接入层交换机上面关闭插入option82的功能 no ip dhcp snooping information option

 2、由于思科交换机在开启dhcp snooping后默认会打开 ip dhcp snooping limit rate 15  功能,上述试验里面 L2交换机如果接满了客户端,但是L3连接L2的接口是非信任接口就存在limit rate 15的功能,同理L2的每个非信任接口

    都是如此,想象一种场景,某时刻48个客户端 同时发起dhcp request请求报文,由于L3的下行口默认是限速15个包,这样将导致大部分客户端的dhcp request报文被丢弃,所以为了避免此情况应该在L3的下行接口适当调整

  limit rate速度,计算如下:

      假设2960为48口,因此简单的设置限速为48*15=720

注意:只有当启用了dhcp snooping的汇聚交换机或者核心才需要设置  ip dhcp snooping limit rate。如果一个核心或者汇聚交换机下面的接入层交换机众多,那么这个限速设置就需要注意了,因为端口最大的limit rate是2048,所以

   需要调整接入层端口的limit rate,使其变小  但是需要调整为一个合理的数值,因为太小了会导致IP地址获取慢

延伸:

当不开启L3交换机的ip dhcp snooping information option allow-untrusted时,在L3上面使用debug抓ip dhcp snoong信息会看到不断有来自L2的报文被丢弃,因为报文携带giaddr字段并且是非法的

L3#debug ip dhcp snooping event
DHCP Snooping Event debugging is on
*May 25 11:05:44.102: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCPDISCOVER, MAC sa: 5000.000b.0000

原文地址:https://www.cnblogs.com/surplus/p/11144893.html

时间: 2024-11-10 00:03:31

(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)的相关文章

(四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)

试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 172.28.28.16 ip default-gateway 172.28.28.254 L3-switch的配置 interface Vlan27 ip dh

(三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)

环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2 cisco dhcp server相关配置 ip dhcp pool vlan27 network 192.168.27.0 255.255.255.0 default-router 192.168.27.1 dns-server 192.168.27.1 interface Vlan27 ip dhcp relay information trusted

企业网cisco交换机dhcp snooping和IP source guard禁止手动配置IP

网络拓扑结构: 场景介绍: 核心层: 各个vlan接口网关均在核心层汇聚层: 两台堆叠,port-channel 上联到核心层,port-channel 下联到接入层,不运行动态路由接入层: 两端口port-channel,分别链接至两台汇聚交换机 目的:通过dhcp snooping 防止内部企业网私自接入dhcp server:通过启用IP source guard防止内部用户私自手动配置ip地址. 接入层dhcp snooping 配置: 2F-NEW-ACC-SW-1(config)#i

Cisco DHCP snooping

DHCP snooping 一.***原理:DHCP Sproofing同样是一种中间人***方式.DHCP是提供IP地址分配的服务.当局域网中的计算机设置为自动获取IP,就会在启动后发送广播包请求IP地址.DHCP服务器(如路由器)会分配一个IP地址给计算机.在分配的时候,会提供DNS服务器地址. ***者可以通过伪造大量的IP请求包,而消耗掉现有DHCP服务器的IP资源.当有计算机请求IP的时候,DHCP服务器就无法分配IP.这时,***者可以伪造一个DHCP服务器给计算机分配IP,并指定一

DHCP snooping

DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文. 通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等.而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地

DHCP snooping防范非法的服务器

一.dhcp snooping的原理 dhcp snooping在交换机上配置完成:而且必须指明在哪个vlan上进行监听,没有监听的vlan不受规则限制.交换机上开启snooping后,交换机任何一个接口的dhcp服务器都不能提供服务.因此需要在开启了dhcp snooping的交换机定义两类接口: 1.可信任接口:连接dhcp服务器的接口或上联接口 2.不可信任接口:连接客户端的接口,默认下接客户端的全为不可信任接口. 交换机只接受合法的服务器发过来的dhcp消息,drop非法的服务器发过来的

DHCP、DHCP Snooping及DHCP relay工作原理入门及实践

序:DHCP服务相对简单,写本文的目的是为了讲一些DHCP安全方面的技术. 1.DHCP基础 DHCP 全称动态主机配置协议(Dynamic Host Configuration Protocol),用于给终端设备如PC.IPad.手机等自动分配IP地址.工作过程简洁高效,易于掌握,首先借着一张图介绍DHCP基本的工作原理: 从图上可以清晰看出,客户端通过DHCP协议获取IP地址等信息的过程可以分为四个步骤: 1.1发现阶段,即DHCP客户端发现DHCP服务器的阶段. DHCP客户端发送DHCP

DHCP Relay DHCP Snooping

一.DHCP Relay简介用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机.二.DHCP Relay原理1 当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文.2 如果本地网络存在dhcp server,则可以直接进行dhcp 配置,不需要dhcp relay.3 如果本地网络没有dhcp server,则与本地网络相

交换安全三宝(DHCP Snooping+IPSG+DAI)简单实验

1 实验拓扑图 2 DHCP Snooping 2.1 基本DHCP Snooping配置: C2960#show running-config Building configuration... ! ipdhcp snooping vlan 10 ipdhcp snooping ! interface FastEthernet0/1 description ---Connected to DHCP_Server --- switchportaccess vlan 10 switchport m