12:09
公司领导要实现二层的安全,其中有一项是DHCP Snooping,我负责实施。实施很简单,在接入层交换机做如下的配置:
ip dhcp snooping
ip dhcp snooping vlan 603-608
ip dhcp snooping trust (上行链路端口)
ip dhcp snooping limit rate 15 (untrust)
errdisable recovery cause dhcp-rate-limit
errdisable recovery interval 300
但是配置完成后发现有的客户机启动后无法获取IP地址,手工却指定正常,这个让人很郁闷,百思不得骑姐,各种资料后发现,原来默认情况下2960交换机的ip dhcp snooping information option 是打开的,交换机会在PC来的DHCP请求报文中插入option82内容,服务器收到的DHCP请求被插入了option82,那么它会认为这是一个从中继代理过来的请求报文,但是它检查了该报文的giaddr字段却又发现是0.0.0.0,而不是一个有效的IP地址,因此该报文被认为无效,将被丢弃。会出现客户端请求失败的情况,解决办法有两种:
1、在服务器开启中继代理信任
(config)#ip dhcp relay information
2、在2960上关闭option82
(config)#no ip dhcp snooping information option
我用第二个办法,现在客户端已恢复正常,作为一次实施经验,和大家分享
