2

配置如下：

一般我们配置的时候，都是会先建立 DHCP 服务器啊，开启这个 DHCP 服务： service dhcp ，就 OK 了。下面就是根据要求建立各个不同的 DHCP POOL 。并且设置好 IP 地址的分配范围，网关， DNS 服务器，租赁时间这些经常使用的配置信息。然后下面服务器建设好了，就是为这个服务器的安全着想了，开启这个安全特性，在全局配置模式下利用命令： ip dhcp snooping vlan [id] ，意思是说在某个特性的 vlan 或者某些 vlan 中使用这个特性，在这个特性中，牵涉到俩个概念：信任端口和非信任端口。使用了这个特性后，我们就可以设置这些端口上的接收 DHCP 包的速率，默认的情况下是不做任何限制的。对于非信任接口，我们建议的速度上限为 100 ，而对信任接口，我们想尽量的增加点。如果超速了，就会被认为是攻击了，那怎么办呢？端口就会进入到 errdiable 状态，这样的话就可以防止 DOS 攻击了。这个时候呢，因为牵涉到了端口在发现这种类似的攻击的时候，采取了进入 errdisable 状态，所以呢，我们得设定一下：在什么情况下，可以让端口从 errdisable 状态下恢复到转发状态。一般有两种方式：手动的和自动的。手动的就是 shutdown 和 no shutdown 。这样的就 OK 了。自动的就是设置那个超时的时间：全局模式下 -----errdisable recovery interval  [value] 。这里牵涉到的这个 errdisable ，以后还会详细的进行叙述，也算是一种对网络的保护手段，就是当触犯了什么条件的时候，端口就会进入到这个状态，当然了，我们还得让这个端口回到正常的状态，这样一来还得实施恢复状态的命令。

启用这个 errdisable 的检测： errdisable detec cause [ 具体的导致原因，也可以全部启用 ]

            对于这个功能的启用，有的特性是默认使用这种对端口的处理方式的。

启用这个 errdisable 的恢复机制： errdisable recovery cause [ 具体的导致原因 ]

                           或者 errdisable recovery interval [value]

                           或者 手动搞定！！！

对于上面我们讲述的这个特性，有些应用对故障的处理方式就是默认的这种，而有的却不是，但是我们可以进行设置，利用命令： errdisable detection cause _____ 。当然了，这样一来，我们就得设备这种故障的恢复手段了，自动也行，手动也罢。

 

昨晚，重新看了下 DHCP Snooping 特性和 DAI 。有了更加清晰的认识。

对于启用 snooping 特性的设备、 VLAN 来说，这些这个设备或者这个 VLAN 就会对经过的 DHCP 报文，进行侦听。在这个特性中，我们说是可以把特定的端口设置为信任的口或者非信任的端口。对于信任的端口，无论是那种类型的 DHCP 报文，都会让他通过。如果是在一个非信任端口上接收到 DHCP 报文的话，交换机就会对目的 MAC 地址和 DHCP 客户端的地址进行比较，如果符合规则就 OK ，否则就丢弃掉。这个包如果是 DHCP 请求包的话，那目的 MAC 是广播的，肯定会允许的了。如果是非 DHCP 请求包的话，那就算是属于 DHCP 回应包的范畴了，如果这样一来的话，那这个报文的目的 MAC 地址肯定就必须得是 DHCP 服务器的 MAC 地址了。这个时候，交换机就会检查这个数据报的目的 MAC 地址和 DHCP 客户端的地址（说的也就是查看 DHCP 绑定表中的客户端的地址），如果对的话，那就说明是合法的 DHCP 服务器，如果不对的话，那就是非法的 DHCP 服务器咯。并且，我们在设计的时候，除了连接 DHCP 服务器的端口设置为信任口，其他的口都设置为非信任口的，并且非信任口是丢弃、不转发 dhcp offer 报文的。所以呢，这个非信任口下的设备开启了 DHCP 服务，想做个冒牌的 DHCP 服务器，也是成功不了的啊 ~~~ 因为即使你开启了这个 DHCP 服务，你可以接收到那些 DHCP 请求包了，但是第一个回合的 DHCP OFFER 就从这个端口中发不出去。这样的话，这个通过 DHCP 获取 IP 地址就是不完整的，就获得不了 IP 了，这个冒牌的 DHCP 服务器就不 OK 了。同时，我们设置了俩种不同类型的端口，其中每种类型的端口都可以进行速度的限制。