參考資料:
在網段中,如果不小心打開了 "寬頻分享器" DHCP Server 功能。
通常這些 DHCP 服務預設都是打開的,而且都是 192.168.1.0/24 這個網段。所以這些怪怪的 IP 位址, 通常都是類似這樣 : 192.168.1.X。
整個網段, 通常會"部分取得正確, 部分取得錯誤".
Cisco 2950 以上的 Switch 支援 DHCP Snooping 功能,只要啟動這個功能,不管再有誰做這種事,也不會發生錯誤取得IP位址的問題
DHCP Snooping 的原理簡單的來說,Switch 會監看 DHCP 的活動,就是只允許指定的部分 Switch Port 放行 DHCP伺服器的回應封包,其他的一律不准。
所以只會取得指定 Server 回應的 DHCP 內容。
CISCO 交換機可攔截來自不信任埠口的 DHCP 要求,任何來自不信任埠口之 DHCP 封包將被丟棄。進入errdisable狀態。
在收到合法回應時,並可記錄已完成的 DHCP 資訊庫,內有 MAC位置 / IP位置 / 租用時間 等等資訊。
注意: 有一點很重要, 如果 DHCP Server 不是接在本 Switch 時, Uplink port 就必須要允許 DHCP Server 回應,不然整台 Switch 上的 PC 都會收不到動態的 IP位址資訊!
另外, 因為設定過程會影響 DHCP 運作, 建議最好是在離峰時間再啟動這個功能!
以下是一般的設定:
Global,啟動 DHCP Snooping,這行一定要。
 ip dhcp snooping
假設只對 VLAN 100 和 VLAN 200 作 DHCP 設限, 這行也一定要,可以是單一 vlan,也可以是一個 range x-x"
 ip dhcp snooping vlan 100 200
DHCP Server 埠,或是 Uplink,這邊是重點所在,不然會全部都收不到!
interface GigabitEthernet0/1
  ip dhcp trust
一般使用者埠,這是預設值,可以不用下,啟動 DHCP Snooping 後,預設所有埠口為不信任狀態。
 interface FastEthernet 0/1
  no ip dhcp trust
針對不信任埠口,可以限制 DHCP 封包流量速率。使用下列指令:
 ip dhcp snooping limit rate "流量,1-4294967294 / 封包"
倘若在不信任埠口偵測到 DHCP 要求,交換機可把本身 MAC / 交換埠識別字 加入到該封包的 選項82 之下。
使其可以順利的到達可信任的 DHCP 伺服器。此功能預設啟用。可以使用以下指令控制:
 [no] ip dhcp snooping information option
DHCP SNOOPING 檢查指令,如果後面加上 bining 字串,將可顯示所有已被監聽到且儲存在交換機裡的 DHCP 租用狀況。
show ip dhcp snooping [binding]
創作者介紹

多肉大叔的小花園

bonvoyagelin 發表在 痞客邦 留言(0) 人氣()