思科交换机dhcp配置命令和讲解

　　这里我们主要讲解了思科交换机dhcp配置命令和讲解的相关内容。我们对网络拓扑先进行一下了解，然后对于其在进行一下说明，之后对于配置的代码和命令再进行一下解析。

　　思科交换机配置dhcp一、网络拓扑

　　思科交换机配置dhcp二、说明

　　1、拓扑说明：汇聚层交换机为catalyst4506，核心交换机为catalyst6506，接入层交换机为catalyst2918。4506上启用ip dhcp snooping和dai以及ipsg，4506上连和下连的端口均配置为trunking;6506上配置vlan路由和dhcp服务器;2918配置基于端口的vlan。

　　2、dhcp snooping就像一个工作在非信任端口(连接主机或网络设备)和信任端口(连接dhcp server或者网络设备)之间的防火墙，其dhcp snooping binding database中保存着非信任端口下所连设备的mac address, the ip address, the lease time, the binding type, the vlan number, and the interface information等信息，但不保存信任端口所连设备的信息;在交换机上开启ip dhcp snooping后，接口将工作在二层桥接状态，截取和保护通往二层vlan的dhcp消息;在vlan上开启ip dhcp snooping后，交换机将工作在同一个vlan域内的二层桥接状态。

　　3、思科交换机在全局配置模式下开启ip dhcp snooping后，所有端口默认处于dhcp snooping untrusted模式下，非信任端口接收到的dhcp offer、dhcp ack、dhcp nak、dhcp leasequery报文将被丢弃;信任端口正常接收转发，不进行监测。

　　4、交换机在reload或重启后会丢失dhcp snooping binding数据库，因此要将此表保存在交换机的flash或者保存在一个tftp服务器中，使交换机在reload或重启后可以从中读取信息，重新形成dhcp snooping binding数据库。比如下面这条命令：renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

　　5、思科交换机在全局配置模式下开启ip dhcp snooping后，所有的dhcp relay information option功能全部关闭。

　　6、根据思科的英文资料来看，说一个汇聚层交换机开启dhcp snooping后，当其下连一个具有嵌入dhcp option-82 information的边缘交换机，且下连端口为非信任端口时，汇聚层交换机将丢弃从此端口接收到的具有option-82 information的dhcp报文;但当在汇聚层交换机上开启ip dhcp snooping information option allow-untrusted功能后，此时下连边缘交换机的端口虽然仍为非信任端口，但可以正常从此端口接收具有option-82 information的dhcp报文。

　　根据上面的分析，我理解如下，不知道对不对：思科交换机在全局配置模式下开启ip dhcp snooping后，所有端口默认处于dhcp snooping untrusted模式下，但dhcp snooping information option功能默认是开启的，此时dhcp报文在到达一个snooping untrusted端口时将被丢弃。因此，必须在4506配置ip dhcp snooping information option allow-untrusted命令(默认关闭)，以允许4506从dhcp snooping untrusted端口接收带有option 82的dhcp request报文。建议在交换机上关闭dhcp information option，即全局配置模式下no ip dhcp snooping information option。

　　7、对于允许手工配置ip地址等参数的客户端，可以手工添加绑定条目到dhcp snooping binding数据库中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条mac地址为00d0.2bd0.d80a，ip地址为222.25.77.100，接入端口为gig1/1，租期时间为600秒的绑定条目。

　　8、ipsg即ip source guard是在dhcp snooping功能的基础上，形成ip source binding表，只作用在二层端口上。启用ipsg的端口，会检查接收到所有ip包，只转发与此绑定表的条目相符合的ip包。默认ipsg只以源ip地址为条件过滤ip包，如果加上以源mac地址为条件过滤的话，必须开启dhcp snooping informaiton option 82功能。

　　9、dai即dynamic arp inspection也是以dhcp snooping binding database为基础的，也区分为信任和非信任端口，dai只检测非信任端口的arp包，可以截取、记录和丢弃与snooping binding中ip地址到mac地址映射关系条目不符的arp包。如果不使用dhcp snooping，则需要手工配置arp acl。

　　思科交换机配置dhcp三、配置

　　1、2918

　　switch# configure terminal //全局配置模式

　　switch(config)# interface range fa0/1 - 12

　　switch(config-if-range)# switchport access vlan 100

　　switch(config-if-range)# interface range fa0/13 - 24

　　switch(config-if-range)# switchport access vlan 200

　　switch(config-if-range)# interface gig0/1 //上连4506的端口

　　switch(config-if)# //这里可不做配置，也可手工配置trunk

　　2、4506

　　switch# configure terminal

　　switch(config)# vtp version 2

　　switch(config)# vtp mode client

　　switch(config)# vtp domain gzy

　　switch(config)# vtp password gzy123

　　switch(config)# vlan 100

　　switch(config)# vlan 200

　　switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能

　　switch(config)# ip dhcp snooping vlan 100,200 //在vlan100和200中开启dhcp snooping功能

　　switch(config)# no ip dhcp snooping information option //禁止在dhcp报文中嵌入和删除option 82信息

　　switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

　　//将dhcp snooping database保存在tftp服务器(ip地址192.168.200.1)的snooping.dat文件中

　　switch(config)# ip arp inspection vlan 100,200 //在vlan100和200中开启dai功能

　　switch(config)# ip arp inspection validate src-mac ip //以源mac和ip检测arp包是否合法

　　switch(config)# interface gig1/1 //上连6506的端口

　　switch(config-if)# switchport trunk encapsulation dot1q

　　switch(config-if)# switchport mode trunk

　　switch(config-if)# ip dhcp snooping trust

　　switch(config-if)# ip arp inspection trust

　　switch(config-if)# interface gig2/2 //下连2918的端口

　　switch(config-if)# switchport trunk encapsulation dot1q

　　switch(config-if)# switchport mode trunk

　　switch(config-if)# ip arp inspection limit none

　　switch(config-if)# ip verify source vlan dhcp-snooping

　　switch(config-if)# end

　　switch(config)# copy run start

　　思科交换机配置dhcp四、备注

　　写到后面越来越懒了，基本上就是这样了。6506上的配置不写了，很简单。因为2918不支持上述功能，因此只能在4506上做，但这样就只能在4506下连2918的端口上来启用这些功能，在2918上发生的欺骗就无法防止了。没办法，思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功能，比如quidway、h3c、神洲数码、锐捷等。由于水平有限，写的不对的地方请高手指正。