一、实验目的
1、 了解 DHCP snooping 原理;
2、 熟练掌握交换机 DHCP snooping 的配置方法;
3、 了解该功能的广泛应用。
二、应用环境
1、在 DHCP 的网络环境中,管理员经常碰到的一个问题就是一些用户私自修改使用静态的 ip 地址,而不是使用动态获取 Ip 地址,而使用静态IP 又会导致一些使用动态获取 IP 的用 户无法正常使用网络,从而使网络应用环境变得复杂,管理员管理网络的难度加大,而 DHCP动态绑定是指设备在 DHCP 的过程中通过记录合法用户的 ip 获取信息,并进行相关记录,从 而进行相关的安全处理,从而引入 DHCPsnooping 地址绑定功能。DHCP snooping 地址绑定 功能就是交换机通过对 DHCP 过程的窥探,把用户获取到的 IP 和用户的 MAC 进行绑定,从而 限制只有通过 DHCP 获取 Ip 的用户才能够使用网络,从而阻止用户私设 IP。
三、实验设备
1、 DCRS-5650-28C 交换机 1 台 2、 DHCP 服务器 1 台 3、 PC 机 1-3 台 4、 Console 线 1 根 5、 直通网线若干
四、实验拓扑
五、实验要求
接入层交换机通过 26 口和 DHCP 服务器相连,在接入层交换机上配置 DHCP snooping,防止接入层所连的客户端私设 ip,导致其他用户的不能使用。
六、实验步骤
第一步:交换机全部恢复出厂设置, 开启 DHCP snooping 功能以及绑定功能
DCRS-5650-28C(config)#ip dhcp snooping enable ! 开启 DHCP snooping 功能
DCRS-5650-28C(config)#ip dhcp snooping binding enable !开启 DHCP snooping 绑定功能
第二步:进入下联口,设置不信任端口以及配置恢复时间
DCRS-5650-28C(config)#interface ethernet 0/0/1-24 !进入到下联接口模式
DCRS-5650-28C(config-if-port-range)#ip dhcp snooping binding user-control! 开启 DHCP snooping 绑定用户功能
DCRS-5650-28C(config-if-port-range)#ip dhcp snooping action blackhole recovery 60 !设置 DHCP Snooping 检测到伪装 Server 报文时的自定义过滤 mac 动作自动恢复时间为 60 S
第三步:进入上联口,设置信任端口
DCRS-5650-28C(config-if-port-range)#interface ethernet 0/0/26 !进入上联口
DCRS-5650-28C(config-if-ethernet0/0/26)#ip dhcp snooping trust !设置端口的 DHCP snooping 信任属性,即连接 DHCP server 的端口
DCRS-5650-28C(config-if-ethernet0/0/26)#exit
第四步:验证实验。
配置完成之后,发现私设。IP 的用户和私自架设 dhcp 服务器的用户不能私设 ip 了, 否则它将不能上网。
七、注意事项和排错
1、 先启动 DHCP snooping 功能。
2、 注意上联口和下联口的区分。
八、相关命令详解
ip dhcp snooping 命令:ip dhcp snooping enable no ip dhcp snooping enable
功能:开启 DHCP Snooping 功能。 参数:无。
4539
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
