使用交换机的dhcp snooping拒绝非法dhcp服务

转载地址:http://chenpengpeng.blog.51cto.com/1117737/564356

:以前不知道怎么处理多DHCP问题,现在有方向了。

我在 20108月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配 ip地址变更为 DHCP自动获取。
其实此次变更还是蛮顺利的,在将核心交换机上配置了 DHCP的服务之后, 3栋公寓楼的 vlan101-106总共 6vlan,大部分计算机都可以正常获取到 ip地址正常上网了,在 vlan101中,计算机数量并不多,该 vlan提供的 dhcp pool 10.20.101.0,正常情况下,该 vlan的所有计算机,获取到的 ip地址应该是 10.20.101.x地址。有用户反映说,计算机获取到地址,但是不能上网。
当时我很纳闷,把自己的笔记本电脑,接入到属于 vlan101的接口上,看到获取到的地址后,我乐了,我获取到了 192.168.1.101ip地址,一开始我还考虑过,应该使用 sniffer抓包工具,抓取下,是谁在发送 DHCP的报文,影响到了交换机的 dhcp的服务,后来打消了这个念头。很显然,不用测试,只去看 192.168.1.101这个 ip地址,就不难想到,这个地址是平常我们家用的 soho的路由器提供的地址,可能是某个宿舍的哥们儿,因为宿舍信息口不够用,自己私自接了个小路由器,当交换机用,他哪里知道,影响了整个 vlanDHCP的服务。
如图:
懒得去管到底是哪个宿舍的兄弟影响了网络的 dhcp的正常服务。
配置 DHCP Snooping
DHCP 监听( DHCP Snooping )是一种 DHCP 安全特性。 Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性,交换机能够拦截第二层 VLAN 域内的所有 DHCP 报文。
    DHCP
监听将交换机端口划分为两类:
非信任端口:通常为连接终端设备的端口,如 PC ,网络打印机等
    ●
信任端口:连接合法 DHCP 服务器的端口或者连接汇聚交换机的上行端口
    
通过开启 DHCP 监听特性,交换机限制用户端口(非信任端口)只能够发送 DHCP 请求,丢弃来自用户端口的所有其它 DHCP 报文,
  我对接入交换机进行了如下配置:
Switch(config)#ip dhcp snooping                  // 打开 DHCP Snooping 功能
Switch(config)#ip dhcp snooping vlan 10                  //
设置 DHCP Snooping 功能将作用于哪些 VLAN
做了以上配置以后,打开了交换机得 dhcp snooping 功能,则所有接口默认状态下,变成了 untrust 端口,即非信任接口,只能够通过 dhcp 的请求报文,但是不能通过 dhcp 的其他报文,例如 dhcp offer 报文。这样就能够在图中的 G0/3 口拒绝了来自 soho 路由器的 DHCP offer 报文。
如果此时你接入一台笔记本上满怀信心的去获取 ip 地址,那你就会发现, pc 是根本无法获取到 ip 地址的,因为进行了以上的配置以后,所有的接口默认都会把 dhcp offer 的报文拒绝掉,包括和核心交换机连接的 G0/24 口,还需要进行以下配置
Config t
Int G0/24
IP dhcp snooping trust      将该接口设置为信任接口,开始正常接收 dhcp 的报文
此时电脑可以正确的获取到 ip 地址,正常上网了。

 

你可能感兴趣的:(DHCP,DHCP,Snooping)