DHCP监听
原理:
--启用后,可以将交换机的端口分为trusted接口和Untrusted接口,默认在交换机上启用后,所有接口变为Untrusted接口,需要手动设置trusted接口。
> 对于Untrusted接口,只能接收DHCP的请求消息,不会向这个接口发送出DHCP的请求消息。并且drop掉接口进来的DHCP的响应消息。
> 对于trusted接口,没有任何限制,也不做检测。
注意:早期的IOS不支持
配置实例:
建议:在合法DHCP服务器端以及接入层交换机和分布层交换机之间的互联端口启用信任
DHCP Snooping的配置
Switch(config)#ip dhcp snooping //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10 //设置DHCP Snooping功能将作用于哪些VLAN
Switch(config-if)#ip dhcp snooping trust //配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15 //限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句,则show ip dhcp snooping的结果里将不列出没有该语句的端口,可选速率范围为1-2048
Switch(config)#ip dhcp snooping information option //设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态
显示DHCP Snooping的状态
Switch#show ip dhcp snooping //显示当前DHCP监听的各选项和各端口的配置情况
Switch#show ip dhcp snooping binding //显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics //显示DHCP监听的工作统计
Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表;注意:本命令无法对单一条目进行清除,只能清除所有条目
Switch#clear ip dhcp snooping database statistics //清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics //清空DHCP监听的工作统计计数器
第一步:
SW1(config)#ip dhcp snooping 必须先开启这一命令,相当于总开关
SW1(config)#ip dhcp snooping vlan 1 再指定VLAN,这一步也必须要
第二步:指定trusted接口,通常是trunk接口vb 、连接真实DHCP服务器的接口。
SW1(config-if)#ip dhcp snooping trust
第三步:还要在被信任的DHCP服务器上打上下列命令:(如果是用路由器做DHCP服务器的话才需要)
R1(config)#ip dhcp relay information trust-all
SW1#show ip dhcp snooping
关键点:DHCP snooping会在接入的交换机上建立一个DHCP绑定表,为每一个分配的IP建立一个表项,其中包括客户端的IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等信息。也可手动向这个绑定表中添加表项。
SW1#show ip dhcp snooping binding 只显示动态的绑定项
SW1#show ip dhcp snooping database
SW1#show ip source binding 显示动态和静态绑定项
SW1(config)#ip dhcp snooping binding 1234.5678.abcd vlan 20 172.16.1.1 interface f0/5 静态绑定一个条目
其它命令:
SW1(config)#ip dhcp snooping information option //启用option82选项,默认就已开启
SW1(config)#ip dhcp snooping limit rate 100 //限定接口每秒可收多少个DHCP请求包