DHCP Snooping的实现

DHCP Snooping的实现

主要作用:
1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;
2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;
3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址;

前提:
在讲这个技术前，首先我们按理想中的网络结构划分，分为核心层、汇聚层、接入层；核心设备与汇聚设备之间启动了路由协议，汇聚成为它下连vlan的DHCP Server，接入层是纯2层设备。

汇聚交换机:
全局配置模式下
全局启用dhcp snooping
ip dhcp snooping

在vlan上启用dhcp snooping,这里需要将相关vlan全部启用dhcp snooping，启用该服务之后,该VLAN内的所有接口,全部被置为非信任状态,丢弃所有不信任端口接收到的DHCP offer包，所以可以阻止内网私架的DHCP服务器
ip dhcp snooping vlan 100
　　
启动防止手工指定IP地址可以上网
Ip arp inspection vlan 100
指定检查源MAC地址与目的MAC地址与IP地址的对应关系，看是否与DHCP Snooping生成的表匹配
Ip arp inspection validate src-mac dst-mac ip

此配置之后,由于没有配端口信任,交换机会收到大量非法的DHCP信息包,交换机的自动防护会导致接口处于errdisable状态,为了使接口能正常工作,需要在全局下配置
errdisable recovery cause arp-inspection

接口配置模式下
在汇聚交换机下连访问交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip arp inspection limit none
配置此命令的目的是为了信任下连交换机传上来的ARP inspection包
ip arp inspection trust


接入交换机:
全局配置模式下
ip dhcp snooping
ip dhcp snooping vlan 100

errdisable recovery cause arp-inspection

接口配置模式下
在访问交换机上连汇聚交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip arp inspection limit none

来自为知笔记(Wiz)