在路由器中或者是交换机中,DHCP服务器的使用非常广泛。那么这里我们就来讲解一下这方面的知识吧。首先让我们看看3750配置DHCP snooping的内容吧。(无用的部分已经删除了)具体操作如下:

  1. clock timezone WST 8  
  2. switch 1 provision ws-c3750g-48ts  
  3. system mtu routing 1500  
  4. ip subnet-zero  
  5. ip dhcp excluded-address 192.168.1.1 (保留地址)  
  6. !  
  7. ip dhcp pool test                            (启动DHCP)  
  8. network 192.168.1.0 255.255.255.0  
  9. default-router 192.168.1.1   
  10. dns-server 192.168.1.1   
  11. !  
  12. ip dhcp snooping vlan 1                (指定DHCP snooping防护的vlan)  
  13. ip dhcp snooping information option allow-untrusted  
  14. ip dhcp snooping database flash:snooping   (指定数据库路径)   
  15. ip dhcp snooping                      (3750配置DHCP snooping中首先启动DHCP snooping)  
  16. !  
  17. !  
  18. interface GigabitEthernet1/0/1  
  19. !  
  20. interface GigabitEthernet1/0/31 (正常的端口)  
  21. switchport mode access  
  22. spanning-tree portfast  
  23. !  
  24. interface GigabitEthernet1/0/32  
  25. !  
  26. interface GigabitEthernet1/0/42  
  27. !  
  28. interface GigabitEthernet1/0/43   (启用IP DHCP snooping端口)  
  29. switchport mode access  
  30. switchport port-security  
  31. spanning-tree portfast  
  32. ip verify source      

 

(启用IP地址效验,此端口用户不能自己设置地址,只能通过DHCP获得,但没有mac层安全控制。

3750配置DHCP snooping的测试发现,假如g1/0/43口的用户分得地址=192.168.1.2,g1/0/42用户故意修改IP为192.168.1.2,也会影响 g1/0/43的用户,虽然g1/0/42修改IP不能访问网络,但g1/0/43会提示IP冲突,所以必须结合DAI才能保护mac层)

  1. !  
  2. interface GigabitEthernet1/0/44  
  3. !  
  4. interface GigabitEthernet1/0/45  
  5. switchport mode access  
  6. switchport port-security  
  7. switchport port-security violation restrict  
  8. spanning-tree portfast  
  9. ip verify source port-security     

(启用后此端口无法DHCP注册地址,分析原因由于port-security的安全限制无法注册MAC)

  1. (ip verify source port-security是配合启动IP soure binding使用  
  2. ip source binding 001b.a111.5e11 vlan 1 192.168.1.200 interface Gi1/0/45,注意ip source binding和动态DHCP不能同时用)  
  3. !  
  4. interface GigabitEthernet1/0/46 

以上就是3750配置DHCP snooping的具体内容了。