科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道代码示例:IP dhcp snooping配置(1)

代码示例:IP dhcp snooping配置(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP 包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP 

2010年8月30日

关键字: 网络

  • 评论
  • 分享微博
  • 分享邮件

下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP

前面的文章中我们也讲解过dhcp snooping的有关知识,对于它的理解,配置以及相关的调制,应用我们都介绍过了。这里我们再来对IP dhcp snooping的具体配置以及案例分析进行一下介绍,希望对大家能够有所帮助。

1、3750配置DHCP服务,配置DHCP snooping

如下:(无用的部分已经删除了)

clock timezone WST 8

switch 1 provision ws-c3750g-48ts

system mtu routing 1500

ip subnet-zero

ip dhcp excluded-address 192.168.1.1 (保留地址)

!

ip dhcp pool test (启动DHCP)

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

dns-server 192.168.1.1

!

ip dhcp snooping vlan 1 (指定DHCP snooping防护的vlan)

ip dhcp snooping information option allow-untrusted

ip dhcp snooping database flash:snooping (指定数据库路径)

ip dhcp snooping (启动DHCP snooping)

!

!

interface GigabitEthernet1/0/1

!

interface GigabitEthernet1/0/31 (正常的端口)

switchport mode access

spanning-tree portfast

!

interface GigabitEthernet1/0/32

!

interface GigabitEthernet1/0/42

!

interface GigabitEthernet1/0/43 (启用IP DHCP snooping端口)

switchport mode access

switchport port-security

spanning-tree portfast

ip verify source

(启用IP地址效验,此端口用户不能自己设置地址,只能通过DHCP获得,但没有mac层安全控制。

测试发现,假如g1/0/43口的用户分得地址=192.168.1.2,g1/0/42用户故意修改IP为192.168.1.2,也会影响 g1/0/43的用户,虽然g1/0/42修改IP不能访问网络,但g1/0/43会提示IP冲突,所以必须结合DAI才能保护mac层)

!

interface GigabitEthernet1/0/44

!

interface GigabitEthernet1/0/45

switchport mode access

switchport port-security

switchport port-security violation restrict

spanning-tree portfast

ip verify source port-security

(启用后此端口无法DHCP注册地址,分析原因由于port-security的安全限制无法注册MAC)

(ip verify source port-security是配合启动IP soure binding使用

ip source binding 001b.a111.5e11 vlan 1 192.168.1.200 interface Gi1/0/45,注意ip source binding和动态DHCP不能同时用)

!

interface GigabitEthernet1/0/46

!

编辑推荐

TCP/IP协议专题

TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..

下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP

2、静态IP dhcp snooping和IP Source Guard

clock timezone WST 8

switch 1 provision ws-c3750g-48ts

system mtu routing 1500

ip subnet-zero

!

ip dhcp snooping vlan 1 (指定DHCP snooping防护的vlan)

ip dhcp snooping information option allow-untrusted

ip dhcp snooping database flash:snooping (指定数据库路径)

ip dhcp snooping database write-delay 15

ip dhcp snooping (启动DHCP snooping)

!

!

!

interface GigabitEthernet1/0/45 (启动IP Source Guard的端口)

switchport mode access

switchport port-security

switchport port-security violation restrict

spanning-tree portfast

ip verify source port-security

(ip verify source port-security是配合启动IP soure binding使用

ip source binding 000A.E439.5F55 vlan 1 192.168.1.200 interface Gi1/0/45,说明ip source binding和动态DHCP不能同时用)

!

!

interface Vlan1

ip address 192.168.1.1 255.255.255.0

!

ip classless

ip http server

ip http secure-server

!

!

ip source binding 000A.E439.5F55 vlan 1 192.168.1.200 interface Gi1/0/45

!

control-plane

!

!

注意使用如下命令查看工作状态:

Switch#sh ip ver source

Switch#sh ip dhcp binding

Switch#sh ip dhcp snooping binding

编辑推荐

TCP/IP协议专题

TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..

下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP

3、启动dai

ip subnet-zero

ip dhcp excluded-address 192.168.1.1

!

ip dhcp pool test

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

dns-server 192.168.1.1

lease infinite

!

ip dhcp snooping vlan 1 (需要DHCP为基础)

ip dhcp snooping information option allow-untrusted

ip dhcp snooping database flash:snooping(指定snooping 数据保存位置)

ip dhcp snooping (启动DHCP snooping)

ip arp inspection vlan 1 (启动DAI)

ip arp inspection validate src-mac dst-mac ip (检测项目)

!

!

!

interface GigabitEthernet1/0/31

switchport mode access

ip arp inspection trust (如果设置trust可以改IP,设置untrust不可以改IP,因为DAI检测)

spanning-tree portfast

!

interface GigabitEthernet1/0/32

!

nterface GigabitEthernet1/0/44

!

interface GigabitEthernet1/0/45

switchport mode access

switchport port-security

switchport port-security violation restrict

spanning-tree portfast

ip verify source port-security

!

!

Switch#sh ip arp inspection

编辑推荐

TCP/IP协议专题

TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..

下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP

4、DHCP设置,分配固定IP

有时我们需要控制IP分配,可以使用下面方法!

system mtu routing 1500

ip subnet-zero

ip dhcp excluded-address 192.168.1.1

!

ip dhcp pool test

host 192.168.1.18 255.255.255.0 (分给用户的IP)

client-identifier 0101.0bf5.395e.55(用户端mac)

client-name test

!

ip dhcp pool go

network 192.168.1.0 255.255.255.0 (启动网内DHCP)

!

Switch#sh ip dhcp binding

IP address Client-ID/ Lease expiration Type

Hardware address

192.168.1.18 0101.0bf5.395e.55 Infinite Manual

时间仓促,没能进行很好的测试,希望大家能够讨论,给与指正!

佟媛微

编辑推荐

TCP/IP协议专题

TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章