|
關于DHCP SNOOPING的問題,我們都講解了不少內容。為了進一步深入了解這個DHCP的應用,接下來我們主要分析的是ip dhcp snooping在cisco設備中的配置。在cisco網絡環境下,boot request在經過了啟用DHCP SNOOPING特性的設備上時,會在DHCP數據包中插入option 82的選項(具體見RFC3046)。這個時候,boot request中數據包中的gateway ip address:為全0,所以一旦dhcp relay 設備檢測到這樣的數據包,就會丟棄。
雖然dhcp snooping是用來防止非法的dhcp server接入的,但是它一個重要作用是一旦客戶端獲得一個合法的dhcp offer。啟用dhcp snooping設備會在相應的接口下面記錄所獲得IP地址和客戶端的mac地址。這個是后面另外一個技術ARP inspection檢測的一個依據。ARP inspection是用來檢測arp請求的,防止非法的ARP請求。認為是否合法的標準的是前面dhcp snooping時建立的那張表。因為那種表是dhcp server正常回應時建立起來的,里面包括是正確的arp信息。如果這個時候有arp攻擊信息,利用ARP inspection技術就可以攔截到這個非法的arp數據包。其實利用這個方法,還可以防止用戶任意修改IP地址,造成地址沖突的問題。
- ip dhcp excluded-address 10.63.150.100 10.63.150.120 不由dhcp分配的地址
-
- !
- ip dhcp pool main 定義地址池
-
- network 10.63.144.0 255.255.255.0 定義地址池做用的網段及地址范圍
- default-router 10.63.144.1 定義客戶端的默認網關
- domain-name nbyzzj.cn 定義客戶端所在域
- dns-server 10.60.12.11 定義客戶端的dns
- lease 7 定義地址租約時間為7天
-
- ip dhcp snooping 打開dhcp snooping功能
-
- ip dhcp snooping vlan 10-12,101-108,315 定義snooping作用的vlan
- ip dhcp snooping database flash:dhcp-snooping.db 將綁定表保存在flash中,避免重啟設備后,重新綁定
- ip arp inspection vlan 10-12,101-108,315 定義arp inspection 作用的vlan,它是根據dhcp snooping binding表做判斷的
- ip arp inspection validate src-mac dst-mac ip 偵測有效客戶端須滿足src-mac dst-mac ip 均無錯
- ip arp inspection log-buffer entries 1024 inspection 日志大小
- ip arp inspection log-buffer logs 1024 interval 300 inspection 日志刷新時間,interval太小會占用大量cpu時間
- !
- !
- !
- errdisable recovery cause udld
- errdisable recovery cause bpduguard
- errdisable recovery cause security-violation
- errdisable recovery cause channel-misconfig
- errdisable recovery cause pagp-flap
- errdisable recovery cause dtp-flap
- errdisable recovery cause link-flap
- errdisable recovery cause gbic-invalid
- errdisable recovery cause l2ptguard
- errdisable recovery cause psecure-violation
- errdisable recovery cause dhcp-rate-limit
- errdisable recovery cause unicast-flood
- errdisable recovery cause vmps
- errdisable recovery cause arp-inspection
- errdisable recovery interval 30
在開始應用Dynamic ARP Inspection時,交換機會記錄大量的數據包,當端口通過的數據包過多時,交換機會認為遭受DoS攻擊,從而將端口自動errdisable,造成通信中斷。為了解決這個問題,我們需要加入命令errdisable recovery cause arp-inspection
- no file verify auto
-
- logging on 當logging關閉時會占用大量cpu資源,一定勿忘打開
-
- no spanning-tree loopguard default 最好不要打開
-
- ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11 手動增加靜態地址的條目
- !
- interface GigabitEthernet1/0/11
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip arp inspection limit none
- arp timeout 2
- ip dhcp snooping limit rate 100
由于下連設備,為了避免inspection讓端口errdisable,所以對arp的偵測不做限制,若直接為接入設備, 可使用ip arp inspection limit rate 100
相關命令:
- sh logging 查看Dymatic Arp Inspection (DAI) 是否生效.
- sh ip dhcp snooping binding 查看snooping是否生效
- sh ip dhcp binding 看dhcp server 是否生效.
- sh arp 看arp信息是否與 dhcp snooping binding表一致
下級設備若支持dhcp snooping 可這樣配置:
- ip dhcp snooping
- int g0/1 上行端口
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip dhcp snooping trust 定義此端口為信任端口,從此口來的dhcp server數據有效,可阻止其它dhcp server發送dhcp數據。
經實驗,對于已存在于綁定表中的mac和ip對于關系的億恩科技主機,不管是dhcp獲得,還是靜態指定,只要符合這個表就可以了。如果表中沒有就阻塞相應流量。
如果使用了dhcp中繼服務,那需要在網關交換機上鍵入如下命令:
方法一:
- inter vlan10
- ip dhcp relay information trusted
方法二:
- switch(config)# ip dhcp relay information trust-all
本文出自:億恩科技【www.czbl888.cn】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]
|
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
