DHCP-snooping的原理、配置、案例
DHCP監聽被開啟後,交換機限制使用者埠(非信任埠)只能夠傳送DHCP請求,丟棄來自使用者埠的所有其它DHCP報文。DHCP-snooping還有一個非常重要的作用就是建立一張DHCP監聽繫結表,既然DHCP-snooping這麼重要,那麼讓我們來看看他是怎麼樣配置的!
案例需求
1.PC可以從指定DHCP Server獲取到IP地址;
2.防止其他非法的DHCP Server影響網路中的主機。
網路拓撲:
DHCP Snooping配置步驟
<H3C>system-view //進入系統檢視
[H3C]dhcp-snooping //全域性使能dhcp-snooping功能
[H3C] interface Ethernet 1/0/2 //進入埠E1/0/2
[H3C-Ethernet1/0/2]dhcp-snooping trust //將埠E1/0/2配置為trust埠
DHCP Snooping配置關鍵點(原理)
1.當交換機開啟了 DHCP-Snooping後,會對DHCP報文進行偵聽,並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址資訊。另外,DHCP-Snooping允許將某個物理埠設定為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文,而不信任埠會將接收到的DHCPOffer報文丟棄。這樣,可以完成交換機對假冒DHCP Server的遮蔽作用,確保客戶端從合法的DHCP Server獲取IP地址;
2.由於DHCP伺服器提供給使用者包含了伺服器分配給使用者的IP地址的報文―“dhcp offer”報文,由E1/0/2埠進入交換機並進行轉發,因此需要將埠E1/0/2配置為“trust”埠。
如果交換機上行介面配置為Trunk 埠,並且連線到DHCP中繼裝置,也需要將上行埠配置為“trust”埠。案例如下:
H3C開啟了dhcp-snooping後客戶端獲取不到ip地址的解決方案
網路拓撲:
一般的網路結構是dhcp-server放在核心交換機H3C5500上面,但是有時候特殊原因,dhcp-server伺服器必須接在H3C3110的2層交換機上面,同時企業內部為了防止員工私自接入非法的dhcp-server又必須在接入層交換機3110上面開啟dhcp-snooping功能。那麼問題來了,一旦3110上面開啟dhcp-snooping後,所有使用者就會獲取不到ip地址。解決方案有2個:
方案一:dhcp-server如接到3層的5500核心交換機,在5500和3110互聯的trunk口上加上dhcp-snooping trust no-user-binding 。
方案二:dhcp-server如接在2層3110的接入交換機,在dhcp-server連線的交換機將埠配置為“trust”埠。
具體配置如下:
方案一:
5500:
【5500】dhcp-snooping
[5500]interface bridge-aggregation 1
[5500-interface bridge-aggregation 1]dhcp-snooping trust no-user-binding
3110:
[3110]dhcp-snooping
[3110]interface bridge-aggrration 1
[3110-bridge-aggrration 1]dhcp-snooping trust no-user-binding
方案二:
[3110]dhcp-snooping
[3110]interface ethernet 1/0/4
[3110-ethernet1/0/4]dhcp-snooping trust
如果2層和3層的裝置都是思科的裝置的話,就不需要這麼麻煩,直接設定ip dhcp snooping和ip dhcp snooping trust就可以了。