(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
試驗拓撲
?
環境:dhcp server和dhcp客戶端屬于同vlan,但是客戶端屬于不同的交換機,在L2和L3交換機開啟dhcp snooping后得出如下結論
?L3交換機的配置
ip dhcp pool vlan27network 172.28.27.0 255.255.255.0default-router 172.28.27.254 dns-server 172.28.28.15 ! ! ip dhcp snooping vlan 27ip dhcp snooping information option allow-untrusted //必須加此命令,因為L3交換機也開啟了dhcp snooping,具體解釋如下
ip dhcp snooping
interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
speed 1000
duplex full
no negotiation auto
ip dhcp snooping limit rate 720?
?
L2交換機配置
ip dhcp snooping vlan 27 ip dhcp snooping ! interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunkmedia-type rj45speed 1000duplex fullno negotiation auto ip dhcp snooping trust?
說明:
1、從L2交換機過來的DHCP請求報文是已經被插入了選項82信息,如果將L3的Gi0/0設置為信任端口,那么插入了82選項的DHCP請求報文是允許通過的,但不會為其建立DHCP監聽綁定表。即L3上只有win10的綁定條目,而沒
有win11的綁定條目。如果此時同時部署DAI,IPSG,由于L2交換機不支持這兩項功能,對于L3交換機來說,從L2交換機上過來的數據可能存在IP欺騙和ARP欺騙等攻擊,是不安全的。另一方面,由于L3交換機沒有PC2的綁定
條目,而DAI和IPSG必須依賴DHCP監聽綁定表。因此如果需要在L3交換機上再部署DAI或者IPSG,就不能將L3交換機的Gi0/0設置為信任端口。但是將Gi0/0口設置為非信任端口以后,默認情況下,非信任端口將會丟棄收到的插
入了82選項的DHCP請求報文。而從L2交換機過來的DHCP請求報文又正好是被插入了選項82信息的。因此必須配置ip dhcp snooping information option allow-untrusted(全局)命令,否則L3交換機將丟棄這些DHCP請求
報文,接在L2交換機上的win11將得不到IP地址。只有配置了該命令以后,L3交換機才會接收從L2交換機發送的插入了選項82的DHCP報文,并為這些信息建立綁定條目。
當然上面如果遇到交換機不支持ip dhcp snooping information option allow-untrusted命令可以有以下兩種解決辦法:
①在不支持的交換機的int vlan 內使用?ip dhcp relay information trusted(vlan內) 命令
②在接入層交換機上面關閉插入option82的功能?no ip dhcp snooping information option
2、由于思科交換機在開啟dhcp snooping后默認會打開?ip dhcp snooping limit rate 15 ?功能,上述試驗里面 L2交換機如果接滿了客戶端,但是L3連接L2的接口是非信任接口就存在limit rate 15的功能,同理L2的每個非信任接口
?都是如此,想象一種場景,某時刻48個客戶端?同時發起dhcp request請求報文,由于L3的下行口默認是限速15個包,這樣將導致大部分客戶端的dhcp request報文被丟棄,所以為了避免此情況應該在L3的下行接口適當調整
limit rate速度,計算如下:
假設2960為48口,因此簡單的設置限速為48*15=720?
注意:只有當啟用了dhcp snooping的匯聚交換機或者核心才需要設置??ip dhcp snooping limit rate。如果一個核心或者匯聚交換機下面的接入層交換機眾多,那么這個限速設置就需要注意了,因為端口最大的limit rate是2048,所以
需要調整接入層端口的limit rate,使其變小? 但是需要調整為一個合理的數值,因為太小了會導致IP地址獲取慢
?
延伸:
? ? 當不開啟L3交換機的ip dhcp snooping information option allow-untrusted時,在L3上面使用debug抓ip dhcp snoong信息會看到不斷有來自L2的報文被丟棄,因為報文攜帶giaddr字段并且是非法的
?
L3#debug ip dhcp snooping event DHCP Snooping Event debugging is on *May 25 11:05:44.102: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCPDISCOVER, MAC sa: 5000.000b.0000?
?
?
?
轉載于:https://www.cnblogs.com/sun292393989/p/9090279.html
總結
以上是生活随笔為你收集整理的(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何在网页标题栏title加入icon图
- 下一篇: NIO笔记