思科交换机dhcp配置命令介绍【详细讲解】
搜狗高速浏览器是一款集高效、稳定于一身的现代化网络浏览工具。利用先进的渲染引擎和优化算法,搜狗高速浏览器确保了卓越的页面加载速度和流畅的多媒体体验。具备全方位的安全防护特性,能有效防御各类网络威胁,同时支持HTML5和CSS3,确保了与最新网络技术标准的完美兼容。欲了解更多或立即下载,请访问https://sogou.37moyu.com/这里我们主要讲解了思科交换机dhcp配置命令和讲解的相关内容。我们对网络拓扑先进行一下了解,然后对于其在进行一下说明,之后对于配置的代码和命令再进行一下解析。
思科交换机配置DHCP一、网络拓扑
思科交换机配置DHCP二、说明
1、拓扑说明:汇聚层交换机为CATALYST4506,核心交换机为CATALYST6506,接入层交换机为CATALYST2918。4506上启用IP DHCP SNOOPING和DAI以及IPSG,4506上连和下连的端口均配置为TRUNKING;6506上配置VLAN路由和DHCP服务器;2918配置基于端口的VLAN。
2、DHCP SNOOPING就像一个工作在非信任端口(连接主机或网络设备)和信任端口(连接DHCP SERVER或者网络设备)之间的防火墙,其DHCP SNOOPING BINDING DATABASE中保存着非信任端口下所连设备的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息,但不保存信任端口所连设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,截取和保护通往二层VLAN的DHCP消息;在VLAN上开启IP DHCP SNOOPING后,交换机将工作在同一个VLAN域内的二层桥接状态。
3、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收转发,不进行监测。
4、交换机在RELOAD或重启后会丢失DHCP SNOOPING BINDING数据库,因此要将此表保存在交换机的FLASH或者保存在一个TFTP服务器中,使交换机在RELOAD或重启后可以从中读取信息,重新形成DHCP SNOOPING BINDING数据库。比如下面这条命令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。
5、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有的DHCP RELAY INFORMATION OPTION功能全部关闭。
6、根据思科的英文资料来看,说一个汇聚层交换机开启DHCP SNOOPING后,当其下连一个具有嵌入DHCP option-82 information的边缘交换机,且下连端口为非信任端口时,汇聚层交换机将丢弃从此端口接收到的具有option-82 information的DHCP报文;但当在汇聚层交换机上开启IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后,此时下连边缘交换机的端口虽然仍为非信任端口,但可以正常从此端口接收具有option-82 information的DHCP报文。
根据上面的分析,我理解如下,不知道对不对:思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此,必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。
7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒的绑定条目。
8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IP SOURCE BINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。
9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。
思科交换机配置DHCP三、配置
1、2918
Switch# configure terminal //全局配置模式
Switch(config)# interface range fa0/1 - 12
Switch(config-if-range)# switchport access vlan 100
Switch(config-if-range)# interface range fa0/13 - 24
Switch(config-if-range)# switchport access vlan 200
Switch(config-if-range)# interface gig0/1 //上连4506的端口
Switch(config-if)# //这里可不做配置,也可手工配置TRUNK
2、4506
Switch# configure terminal
Switch(config)# vtp version 2
Switch(config)# vtp mode client
Switch(config)# vtp domain gzy
Switch(config)# vtp password gzy123
Switch(config)# vlan 100
Switch(config)# vlan 200
Switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能
Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能
Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文中嵌入和删除option 82信息
Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat
//将dhcp snooping database保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中
Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能
Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法
Switch(config)# interface gig1/1 //上连6506的端口
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust
Switch(config-if)# interface gig2/2 //下连2918的端口
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# ip arp inspection limit none
Switch(config-if)# ip verify source vlan dhcp-snooping
Switch(config-if)# end
Switch(config)# copy run start
思科交换机配置DHCP四、备注
写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功能,比如Quidway、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。
总结而言,搜狗高速浏览器是一款为满足现代网络需求而精心打造的浏览器。其专业的开发团队不仅注重提供一流的用户体验,还致力于不断优化网页执行速度,增强安全性,以及支持各类扩展插件,从而实现高度个性化的浏览体验。如果您在寻找一款可靠、高效和技术先进的浏览器,搜狗高速浏览器将是您的理想选择。请访问官方网站https://sogou.37moyu.com/ 下载并体验搜狗高速浏览器,感受由先进技术所驱动的非凡浏览体验。
绛旓細锛堣鍛戒护鍦ㄤ互澶綉鎺ュ彛鍜孷LAN2 192.168.2.254闂村缓绔嬩竴鏉¢潤鎬佽矾鐢憋級璁剧疆濂戒箣鍚庯紝鍦閰嶇疆妯″紡涓敭鍏XIT鍛戒护鍥炲埌鐗规潈妯″紡涓嬶紝Ping涓涓媀LAN1鍜孷LAN2鐨処P鍦板潃�192.168.1.254鍜192.168.2.254銆锛屽鏋滆兘澶烶ing閫氬垯琛ㄦ槑閰嶇疆姝g‘锛屽彲浠ョ洿鎺ヨ繘鍏ヤ笅涓姝ョ殑淇濆瓨杩囩▼銆傚湪浜ゆ崲鏈涓婁负涓嶅悓鐨刅LAN鎸囧畾DHCP鏈...
绛旓細涓夊眰浜ゆ崲鏈洪厤缃锛歴witch (config)#interface vlan1 锛堥厤缃甐LAN1锛塻witch (config-if)#ip helper-address 192.168.11.4锛堟寚瀹DHCP鏈嶅姟鍣ㄧ殑鍦板潃锛屽嵆璺敱鍣ㄧ殑鍦板潃锛塻witch (config)#interface vlan2 銆锛堥厤缃甐LAN2锛塻witch (config-if)#ip helper-address 192.168.11.4 璺敱鍣ㄩ厤缃細Router(config)# ...
绛旓細鍦ㄦ暣涓綉缁滀腑鏈変簩涓猇LAN锛屼负绠鍖栨弿杩帮紝鍋囪姣忎釜VLAN閮介噰鐢24浣嶇綉缁滃湴鍧锛屽叾涓璙LAN1鐨処P鍦板潃涓192.168.1.254锛孷LAN2鐨処P鍦板潃涓192.168.2.254銆傚湪Cisco璁惧涓婂疄鐜癐OS DHCP Server鍔熻兘浠ヤ娇鍚刅LAN涓殑涓绘満鑷姩鑾峰緱IP鍦板潃銆侰isco璺敱鍣浜ゆ崲鏈洪厤缃懡浠璇﹁В(1)Cisco璺敱鍣ㄥ畨鍏ㄩ厤缃柟妗CISCO璺敱鍣ㄧ殑涓鑸厤缃笌...
绛旓細(鐒跺悗寮鍚疍HNP鍔熻兘锛屽湴鍧姹閰嶇疆鍛戒护濡備笅):SWA(config)#ip dhcp pool Vlan10 锛堝湴鍧姹犲悕绉帮級SWA(dhcp-config)#network 172.16.10.0 255.255.255.0 锛DHCP鍦板潃姹犺寖鍥达級SWA(dhcp-config)#default-router 172.16.10.254 锛堢綉鍏冲湴鍧锛塖WA(dhcp-config)#dns-server 8.8.8.8 (DNS鍙互鏍规嵁...
绛旓細Router(config)#ip dhcp pool WOLF 鍚敤DHCP鍔熻兘锛岃捣涓悕瀛 Router(dhcp-config)#network 192.168.1.0 255.255.255.0 鍦板潃姹 Router(dhcp-config)#default-router 192.168.1.1 閰嶇疆缃戝叧 Router(dhcp-config)#dns-server 202.96.128.68 閰嶇疆DNS Router(dhcp-config)#lease 10 淇...
绛旓細Router1(config-if)#ip helper-address 172.25.1.1 /*鎸囧畾dhcp鏈嶅姟鍣ㄧ殑鍦板潃锛岃〃绀洪氳繃Ethernet0鍚戣鏈嶅姟鍣ㄥ彂閫DHCP璇锋眰鍖*/浜ゆ崲鏈鐨勫吀鍨閰嶇疆鍛戒护鏈夛細Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#interface Ethernet0Router1(config-if)#ip...
绛旓細涓夊眰浜ゆ崲鏈烘槸涓嶆槸缁忓父璁╀綘鏈哄櫒涓嶅ソ浣匡紝鐪嬬湅涓嬮潰鐨勪笁灞浜ゆ崲鏈洪厤缃鏂囩珷锛屼竴鍒囬棶棰橀兘鑳借В鍐炽傛湰鏂囪缁浠嬬粛瀹炰緥璁茶В锛氬叏闈㈢殑涓夊眰浜ゆ崲鏈洪厤缃瘮杈冨叏闈㈢殑涓夊眰浜ゆ崲鏈洪厤缃疄渚嬶紝甯鍛戒护瑙i噴鍝燂紒涓夊眰浜ゆ崲鏈洪厤缃細Enable //杩涘叆绉佹湁妯″紡 Configure terminal //杩涘叆鍏ㄥ眬妯″紡 service password-encryption //瀵瑰瘑鐮佽繘琛屽姞瀵 hos...
绛旓細1銆侀殢鎰忛夋嫨璺敱鍣ㄣ浜ゆ崲鏈鍜屽鍙颁富鏈恒2銆佺敤鐩寸嚎杩炴帴銆3銆佸弻鍑昏矾鐢卞櫒锛岄夋嫨physical鈫抍li锛屾偍灏嗙湅鍒颁互涓嬭閰嶇疆鐨勭晫闈4銆佹墦寮鐢佃剳锛岄夋嫨鈥滄闈⑩濃斺淚P閰嶇疆鈥濓紝鐒跺悗閫夋嫨DHCP銆5銆佹渶鍚庯紝浣跨敤ping娴嬭瘯瀹冿紝瀹屾垚浜嗐
绛旓細1銆佸厛閰峷lan锛2銆閰嶇疆VSI鎺ュ彛鍙奍P鍦板潃锛3銆侀厤dhcp鍦板潃姹犮傚涓嬶細vlan10 interface Vlan10 ip address 192.168.10.1 255.255.255.0 ip dhcp pool vlan10 network 192.168.10.0 255.255.255.0 default-router 192.18.10.1 dns-server 192.168.4.1 ...
绛旓細3锛閰嶇疆DHCP Relay鍒癉HCP Server鐨勬帴鍙e湴鍧 [H3C]vlan 2 [H3C-vlan2]port e1/0/2 [H3C]int vlan 2 [H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0 4锛庨厤缃瓺HCP Relay鍒癙C鐨勬帴鍙e湴鍧 [H3C]vlan 3 [H3C-vlan3]port e1/0/3 [H3C]int vlan 3 [H3C-Vlan-interface3]ip ...
