-----此实验简单的演示DHCP Snooping的配置过程----
1. 实验与拓扑图及相关说明
- DHCP Snooping 的应用场景:如图,此时存在2个DHCP服务器,但是受信的只有DHCPServer1,无法验证DHCPServer2的安全性。所以PC1只需要从DHCPServer1处获得IP地址即可,拒绝Server2处的DHCP ack 应答报文。
- 拓扑图说明:实验使用2台AR2220路由器充当DHCP服务器,且均已配置全局地址池模式(之前博文有提到详细配置),DHCP Snooping的配置主要再交换机S5700上。
- 实验前的验证:可以再两台路由器配置好DHCP地址池后,再交换机LSW1上分别宕掉GE0/0/1接口和GE0/0/2以验证PC1(开启PC后将IPv4配置切换为DHCP模式,在命令行使用 ipconfig 命令可查看PC的IP地址,切换DHCP服务器后PC的IP地址不能立即更新,所以需要使用 ipconfig /lease 释放原有的IP地址,然后再用 ipconfig /renew 命令重新获取IP地址)是否能正常获取2个地址池的地址,若都能则表示DHCP服务器能正常工作,即可开始本次实验。
2. 实验配置命令
① 使能交换机的 DHCP
[LSW1] dhcp enable
② 使能交换机的 DHCP Snooping
[LSW1] dhcp snooping enable
③ 进入VLAN1 并在VLAN1 下使能DHCP snooping (由于2台路由器与交换机直连的接口未进行VLAN的分配,所以默认属于VLAN1)
[LSW1] vlan 1
[LSW1-vlan1] dhcp snooping enable
④ 进入接口GE0/0/1,并将其设置为信任接口,从而使PC1 只能通过此接口获取DHCP服务器所分配的IP地址
[LSW1] int g0/0/1
[LSW1-vlan1] dhcp snooping enable
3. 实验验证
实验完成后可以先查看PC1获取到的IP地址,应该是192.168.1.0/24 网段的,然后再交换机上宕掉GE0/0/1,重新获取DHCP服务器的地址,此时尽管PC1与DHCPServer2连接,但是无法获取到DHCPServer2所分配的IP地址。然后重新连接GE0/0/1接口,PC1重新获取地址,成功向DHCPServer1请求到地址,试验成功。
.
本文部分内容含有作者的个人观点和理解,若有错误还望指出,共同学习,共同进步