试验拓扑

环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论

L3交换机的配置

ip dhcp pool vlan27

 network 172.28.27.0 255.255.255.0

 default-router 172.28.27.254

 dns-server 172.28.28.15

!

!

ip dhcp snooping vlan 27
ip dhcp snooping information option allow-untrusted   //必须加此命令,因为L3交换机也开启了dhcp snooping,具体解释如下
ip dhcp snooping

interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
speed 1000
duplex full
no negotiation auto
ip dhcp snooping limit rate 720

L2交换机配置

ip dhcp snooping vlan 27

ip dhcp snooping

!

interface GigabitEthernet0/0

 switchport trunk encapsulation dot1q

 switchport mode trunk

 media-type rj45

 speed 1000

 duplex full

 no negotiation auto

 ip dhcp snooping trust

说明:

 1、从L2交换机过来的DHCP请求报文是已经被插入了选项82信息,如果将L3的Gi0/0设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即L3上只有win10的绑定条目,而没

   有win11的绑定条目。如果此时同时部署DAI,IPSG,由于L2交换机不支持这两项功能,对于L3交换机来说,从L2交换机上过来的数据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于L3交换机没有PC2的绑定

  条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在L3交换机上再部署DAI或者IPSG,就不能将L3交换机的Gi0/0设置为信任端口。但是将Gi0/0口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插

  入了82选项的DHCP请求报文。而从L2交换机过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted(全局)命令,否则L3交换机将丢弃这些DHCP请求

  报文,接在L2交换机上的win11将得不到IP地址。只有配置了该命令以后,L3交换机才会接收从L2交换机发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。

  当然上面如果遇到交换机不支持ip dhcp snooping information option allow-untrusted命令可以有以下两种解决办法:

    ①在不支持的交换机的int vlan 内使用 ip dhcp relay information trusted(vlan内) 命令

    ②在接入层交换机上面关闭插入option82的功能 no ip dhcp snooping information option

 2、由于思科交换机在开启dhcp snooping后默认会打开 ip dhcp snooping limit rate 15  功能,上述试验里面 L2交换机如果接满了客户端,但是L3连接L2的接口是非信任接口就存在limit rate 15的功能,同理L2的每个非信任接口

    都是如此,想象一种场景,某时刻48个客户端 同时发起dhcp request请求报文,由于L3的下行口默认是限速15个包,这样将导致大部分客户端的dhcp request报文被丢弃,所以为了避免此情况应该在L3的下行接口适当调整

  limit rate速度,计算如下:

      假设2960为48口,因此简单的设置限速为48*15=720

注意:只有当启用了dhcp snooping的汇聚交换机或者核心才需要设置  ip dhcp snooping limit rate。如果一个核心或者汇聚交换机下面的接入层交换机众多,那么这个限速设置就需要注意了,因为端口最大的limit rate是2048,所以

   需要调整接入层端口的limit rate,使其变小  但是需要调整为一个合理的数值,因为太小了会导致IP地址获取慢

延伸:

当不开启L3交换机的ip dhcp snooping information option allow-untrusted时,在L3上面使用debug抓ip dhcp snoong信息会看到不断有来自L2的报文被丢弃,因为报文携带giaddr字段并且是非法的

L3#debug ip dhcp snooping event

DHCP Snooping Event debugging is on

*May 25 11:05:44.102: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCPDISCOVER, MAC sa: 5000.000b.0000

(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)的更多相关文章

  1. (四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)

    试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27. ...

  2. (三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)

    环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2 cisco dhcp server相关配置 ip dhcp ...

  3. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  4. (二)Cisco dhcp snooping配置解释

    #配置dhcp snooping相关命令 Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能Switch(config)#ip dhcp snoo ...

  5. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  6. dhcp snooping、ARP防护、

    应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...

  7. DHCP、DHCP Snooping及DHCP relay工作原理入门及实践(转)

    原文https://blog.51cto.com/5167020/2312718 序:DHCP服务相对简单,写本文的目的是为了讲一些DHCP安全方面的技术. 1.DHCP基础 DHCP 全称动态主机配 ...

  8. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  9. 网络拓扑实例之交换机处于同一网络作为DHCP中继与服务器(八)

    组网图形 DHCP中继简介 DHCP中继用于在DHCP服务器和客户端之间转发DHCP报文.当DHCP服务器与客户端不在同一个网段时,需要配置DHCP中继.对于DHCP客户端来说,DHCP中继就是DHC ...

随机推荐

  1. 07、MySQL—时间日期类型

    时间日期类型 1.Date 日期类型:系统使用三个字节来存储数据,对应的格式为:YYYY-mm-dd,能表示的范围是从1000-01-01 到9999-12-12,初始值为0000-00-00 2.T ...

  2. ora121 tips

    1. 900929 - Linux: STORAGE_PARAMETERS_WRONG_SET and "mmap() failed" Solution Increase the ...

  3. Spring 实例化Bean的3种方式

    要使用Spring中的Bean,需要先创建这个Bean的实例. 实例化Bean有3种方式: 构造器方式 静态工厂方式 实例工厂方式 构造器方式 构造器方式是最常用的.在Bean中写构造函数,然后在配置 ...

  4. php 函数阶乘理解

    <?php //函数阶乘 函数调用自身,函数在执行的时候每次都会开辟一个空间,如 /** * $a =3的话,首先判断 3>1 为真 $r=3*demo(3-1) 开辟一个空间调用自身. ...

  5. Python学习日记(三十二) hmac检验客户端的合法性和socketsever模块

    Hmac模块 其实这个模块类似hashlib模块,它能将一些重要的信息通过算法加密成密文,让信息更具有安全性. 关于hmac加密算法的了解:它的全名是哈希运算消息认证码(Hash-based Mess ...

  6. Django-模型层(多表操作)

    目录 1.创建模型 1.1方式一:自行创建第三张表 1.2方式二:通过ManyToManyField自动创建第三张表 1.3关于db_column和verbose_name 1.4关于on_delet ...

  7. equals与hashCode

    当我们需要将自己的类存入HashMap或HashSet时一般都要重写其equals与hashCode方法,但在重写时要符合规范否则会出问题. 1.equals方法 首先equals方法需要满足如下几点 ...

  8. 一个线上JVM的CPU资源占用过高问题的排查

    原文:https://www.iteye.com/blog/tyrion-2293369 上午线上某应用的一台JVM的CPU占比突然飙高到192%,并且一直下不来,导致监控一直告警,好久没处理这种问题 ...

  9. 个人第5次作业-Alpha2项目的测试

    这个作业属于哪个课程 系统分析与设计 这个作业要求在哪里 作业要求 团队名称 卓越Code 这个作业的目标 选取3个非自己所在团队进行项目测试,协助该团队进行项目改进 前言 魏家田 201731062 ...

  10. 基于Java+Selenium的WebUI自动化测试框架(一)---页面元素定位器

    对于自动化测试,尤其是UI的自动化测试.是很多做黑盒功能测试的同学,入门自动化测试一个最为直观的或者说最容易理解的途径之一. 对于手工测试和自动化测试的优劣,网上有很多论述,在这里不作展开讨论.但是, ...