DHCP下私自指定ip和私自搭建dhcp

　　接下来配置Dynamic ARPInspection

　　1 show cdp neighbors 检查交换机之间的连接情况

　　Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

　　S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

　　Device ID Local Intrfce Holdtme Capability Platform Port ID

　　ap Gig 1/0/23 149 T AIR-AP1230Fas 0

　　hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1

　　1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25

　　2 configure terminal 进入全局配置模式

　　3 ip arp inspection vlan103 在VLAN 103上启用Dynamic ARP Inspection

　　4 interface GigabitEthernet1/0/28 进入第28端口

　　5 ip arp inspection trust 将端口设置为受信任端口

　　The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.

　　6 end

　　配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况

　　show arp access-list[acl-name] Displays detailed information about ARP ACLs.

　　show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.

　　Interface Trust State Rate (pps) Burst Interval

　　--------------- ----------- ---------- --------------

　　Gi1/0/21 Untrusted 15 1

　　Gi1/0/22 Trusted None N/A

　　Gi1/0/23 Untrusted 15 1

　　Gi1/0/24 Trusted None N/A

　　Gi1/0/25 Untrusted 15 1

　　Gi1/0/26 Untrusted 15 1

　　Gi1/0/27 Trusted None N/A

　　Gi1/0/28 Untrusted None N/A

　　show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.

　　yql-2#-3750#sh ip arp inspection vlan 103

　　Source Mac Validation : Disabled

　　Destination Mac Validation : Disabled

　　IP Address Validation : Disabled

　　Vlan Configuration Operation ACL Match Static ACL

　　---- ------------- --------- --------- ----------

　　103 Enabled Active

　　Vlan ACL Logging DHCP Logging

　　---- ----------- ------------

　　103 Deny Deny

　　注意事项：

　　DHCP Snooping

　　l 在配置DHCP Snooping以前，必须确认该设备作为DHCP服务器。

　　l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口，需要适当增加

　　Dynamic ARP Inspection

　　必须限制trunk端口处理ARP包的数量

　　五、一些问题的讨论

　　在实际使用过程中我们发现，在配置完上述命令后，Cisco3750交换机会在运行一段时间以后变得缓慢，CPU利用率达到100％，性能严重下降。经过分析我们发现，在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause arp-inspection。

　　由于Cisco 3750交换机能力有限，因此我们建议在使用Cisco 3750交换机配置上述命令时应逐级增大port limit rate。

　　六、小结

　　DHCP服务在网络中的广泛应用，极大地减轻了网络管理员的负担，方便了用户使用网络。但是由于有些用户私自指定IP地址，造成了IP地址自动分配时引起的IP地址冲突，进而影响其他用户的使用。我们经过实际测试，给出了上述解决方案，本方法不仅适合于Cisco的3750交换机，也适用于Cisco的65系列交换机。

　　DHCP防指定IP地址的方法在我校已经得到了成功的应用，经过实践检验，我们认为这是一个非常实用的功能。在系统设置好以后，网络中的用户只有设置为自动获取IP地址才能上网，否则将无法上网。从而解决了在使用DHCP的网络中，用户私自指定IP地址而带来的IP地址冲突问题。

　　如果公司内网由于用户自行安装了WindowsServer版本的操作系统而小心启用了DHCP服务，或其他因素在内网中出现了非授权的DHCP服务器，会给网络造成什么样的影响呢？

　　DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但是，此时如果服务器和客户端没有认证机制，网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱，导致主机无法连接到外部网络。出现这种情况，如何解决这些问题呢？

　　作为客户端计算机来说，可以尝试使用ipconfig /release释放获得的网络参数后，然后用ipconfig /renew重新尝试获取正确的DHCP服务器配置服务，但这种方法很被动，往往要十几次甚至几十次才偶尔有可能成功一次，不能从根本解决问题。

　　另外一个解决办法，在windows系统组建的网络中，如果非法DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM查询包，如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。

　　授权合法DHCP的过程如下：

　　第一步：开始->程序->管理工具->DHCP

　　第二步：选择DHCP root, 用鼠标右键单击，然后浏览选择需要认证的服务器。

　　第三步：点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。

　　但是该方法只适用于非法DHCP服务器是windows系统，需要用到域和活动目录，配置较复杂，另外对于非Windows的操作系统,就显得力不从心了。

　　还有更好的方法，就是利用交换机的DHCP监听，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口，将DHCP服务器所连接的端口定义为信任端口，其它连接到普通客户端的端口全部定义为不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，drop掉来自这些端口的非正常 DHCP 报文，从而达到过滤非法DHCP服务器的目的。

　　基本配置示例：

　　switch(config)#ip dhcp snooping vlan 100,200

　　/* 定义哪些 VLAN 启用 DHCP 嗅探

　　switch(config)#ip dhcp snooping

　　switch(config)#int fa4/10 /* dhcp服务器所在端口

　　switch(config-if)#ip dhcp snooping trust

　　switch(config)#int range fa3/1 - 48 /* 其它端口

　　switch(config-if)#no ip dhcp snooping trust (Default)

　　switch(config-if)#ip dhcp snooping limit rate 10 (pps)

　　/* 一定程度上防止 DHCP 拒绝服 /* 务攻击