深入分析關(guān)于DHCP SNOOPING的設(shè)置
關(guān)于DHCP SNOOPING的問題,我們都講解了不少內(nèi)容。為了進(jìn)一步深入了解這個DHCP的應(yīng)用,接下來我們主要分析的是ip dhcp snooping在cisco設(shè)備中的配置。在cisco網(wǎng)絡(luò)環(huán)境下,boot request在經(jīng)過了啟用DHCP SNOOPING特性的設(shè)備上時,會在DHCP數(shù)據(jù)包中插入option 82的選項(具體見RFC3046)。這個時候,boot request中數(shù)據(jù)包中的gateway ip address:為全0,所以一旦dhcp relay 設(shè)備檢測到這樣的數(shù)據(jù)包,就會丟棄。
雖然dhcp snooping是用來防止非法的dhcp server接入的,但是它一個重要作用是一旦客戶端獲得一個合法的dhcp offer。啟用dhcp snooping設(shè)備會在相應(yīng)的接口下面記錄所獲得IP地址和客戶端的mac地址。這個是后面另外一個技術(shù)ARP inspection檢測的一個依據(jù)。ARP inspection是用來檢測arp請求的,防止非法的ARP請求。認(rèn)為是否合法的標(biāo)準(zhǔn)的是前面dhcp snooping時建立的那張表。因為那種表是dhcp server正常回應(yīng)時建立起來的,里面包括是正確的arp信息。如果這個時候有arp攻擊信息,利用ARP inspection技術(shù)就可以攔截到這個非法的arp數(shù)據(jù)包。其實利用這個方法,還可以防止用戶任意修改IP地址,造成地址沖突的問題。
- ip dhcp excluded-address 10.63.150.100 10.63.150.120 不由dhcp分配的地址
- !
- ip dhcp pool main 定義地址池
- network 10.63.144.0 255.255.255.0 定義地址池做用的網(wǎng)段及地址范圍
- default-router 10.63.144.1 定義客戶端的默認(rèn)網(wǎng)關(guān)
- domain-name nbyzzj.cn 定義客戶端所在域
- dns-server 10.60.12.11 定義客戶端的dns
- lease 7 定義地址租約時間為7天
- ip dhcp snooping 打開dhcp snooping功能
- ip dhcp snooping vlan 10-12,101-108,315 定義snooping作用的vlan
- ip dhcp snooping database flash:dhcp-snooping.db 將綁定表保存在flash中,避免重啟設(shè)備后,重新綁定
- ip arp inspection vlan 10-12,101-108,315 定義arp inspection 作用的vlan,它是根據(jù)dhcp snooping binding表做判斷的
- ip arp inspection validate src-mac dst-mac ip 偵測有效客戶端須滿足src-mac dst-mac ip 均無錯
- ip arp inspection log-buffer entries 1024 inspection 日志大小
- ip arp inspection log-buffer logs 1024 interval 300 inspection 日志刷新時間,interval太小會占用大量cpu時間
- !
- !
- !
- errdisable recovery cause udld
- errdisable recovery cause bpduguard
- errdisable recovery cause security-violation
- errdisable recovery cause channel-misconfig
- errdisable recovery cause pagp-flap
- errdisable recovery cause dtp-flap
- errdisable recovery cause link-flap
- errdisable recovery cause gbic-invalid
- errdisable recovery cause l2ptguard
- errdisable recovery cause psecure-violation
- errdisable recovery cause dhcp-rate-limit
- errdisable recovery cause unicast-flood
- errdisable recovery cause vmps
- errdisable recovery cause arp-inspection
- errdisable recovery interval 30
在開始應(yīng)用Dynamic ARP Inspection時,交換機(jī)會記錄大量的數(shù)據(jù)包,當(dāng)端口通過的數(shù)據(jù)包過多時,交換機(jī)會認(rèn)為遭受DoS攻擊,從而將端口自動errdisable,造成通信中斷。為了解決這個問題,我們需要加入命令errdisable recovery cause arp-inspection
- no file verify auto
- logging on 當(dāng)logging關(guān)閉時會占用大量cpu資源,一定勿忘打開
- no spanning-tree loopguard default 最好不要打開
- ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11 手動增加靜態(tài)地址的條目
- !
- interface GigabitEthernet1/0/11
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip arp inspection limit none
- arp timeout 2
- ip dhcp snooping limit rate 100
由于下連設(shè)備,為了避免inspection讓端口errdisable,所以對arp的偵測不做限制,若直接為接入設(shè)備, 可使用ip arp inspection limit rate 100
相關(guān)命令:
- sh logging 查看Dymatic Arp Inspection (DAI) 是否生效.
- sh ip dhcp snooping binding 查看snooping是否生效
- sh ip dhcp binding 看dhcp server 是否生效.
- sh arp 看arp信息是否與 dhcp snooping binding表一致
下級設(shè)備若支持dhcp snooping 可這樣配置:
- ip dhcp snooping
- int g0/1 上行端口
- switchport trunk encapsulation dot1q
- switchport mode trunk
- ip dhcp snooping trust 定義此端口為信任端口,從此口來的dhcp server數(shù)據(jù)有效,可阻止其它dhcp server發(fā)送dhcp數(shù)據(jù)。
經(jīng)實驗,對于已存在于綁定表中的mac和ip對于關(guān)系的主機(jī),不管是dhcp獲得,還是靜態(tài)指定,只要符合這個表就可以了。如果表中沒有就阻塞相應(yīng)流量。
如果使用了dhcp中繼服務(wù),那需要在網(wǎng)關(guān)交換機(jī)上鍵入如下命令:
方法一:
- inter vlan10
- ip dhcp relay information trusted
方法二:
- switch(config)# ip dhcp relay information trust-all
