Cisco交換機DHCP+Snooping功能詳解+實例

1、一、采用DHCP服務的常見問題架設DHCP艮務器可以為客戶端自動分配IP地址、掩碼、默認網關、DNS月艮務器 等網絡參數(shù)，簡化了網絡配置，提高了管理效率。但在 DHCP服務的管理上存在 一些問題，常見的有： DHCP Server 的冒充 DHCP Server的 DOS攻擊，女口 DHCP耗竭攻擊某些用戶隨便指定 IP 地址，造成 IP 地址沖突1、DHCP Server 的冒充由于DHC服務器和客戶端之間沒有認證機制，所以如果在網絡上隨意添加一 臺DHCP服務器，它就可以為客戶端分配IP地址以及其他網絡參數(shù)。只要讓該 DHCP艮務器分配錯誤的IP地址和其他網絡參數(shù)，那就會對網絡造成非常大的

2、危 害。2、DHCP Server的拒絕服務攻擊通常DHCP服務器通過檢查客戶端發(fā)送的 DHCP請求報文中的CHADDR也就是 Client MAC address )字段來判斷客戶端的 MAC地址。正常情況下該 CHADD字 段和發(fā)送請求報文的客戶端真實的 MACM址是相同的。攻擊者可以利用偽造 MAC 的方式發(fā)送DHCP請求，但這種攻擊可以使用Cisco交換機的端口安全特性來防 止。端口安全特性(Port Security )可以限制每個端口只使用唯一的 MAC地址。 但是如果攻擊者不修改 DHCP請求報文的源MAC地址，而是修改DHCP報文中的 CHADD字段來實施攻擊，那端口安全就不起

3、作用了。由于DHCP服務器認為不同的CHADD值表示請求來自不同的客戶端，所以攻擊者可以通過大量發(fā)送偽造 CHADD的DHCP#求，導致DHCP艮務器上的地址池被耗盡，從而無法為其他正 常用戶提供網絡地址，這是一種DHCP耗竭攻擊。DHCP耗竭攻擊可以是純粹的DOS 攻擊，也可以與偽造的DHCP艮務器配合使用。當正常的DHCP服務器癱瘓時，攻 擊者就可以建立偽造的DHCP服務器來為局域網中的客戶端提供地址，使它們將 信息轉發(fā)給準備截取的惡意計算機。甚至即使 DHCP#求報文的源MAC地址和CHADD字段都是正確的，但由于DHCP#求報文是廣播報文，如果大量發(fā)送的話 也會耗盡網絡帶寬，形成另一種

4、拒絕服務攻擊。3、客戶端隨意指定IP地址客戶端并非一定要使用DHCP艮務，它可以通過靜態(tài)指定的方式來設置IP地址。 如果隨便指定的話，將會大大提高網絡IP地址沖突的可能性。二、DHCP Snooping 技術介紹DHC監(jiān)聽（DHCFSnooping）是一種DHCP安全特性。Cisco交換機支持在每個VLANS礎上啟用DHCP監(jiān)聽特性。通過這種特性，交換機能夠攔截第二層VLAN 域內的所有DHCP報文。DHC監(jiān)聽將交換機端口劃分為兩類：非信任端口：通常為連接終端設備的端口，如 PC,網絡打印機等信任端口：連接合法DHCP艮務器的端口或者連接匯聚交換機的上行端口通過開啟DHCR監(jiān)聽特性，交換機限制

5、用戶端口（非信任端口）只能夠發(fā)送DHC請求，丟棄來自用戶端口的所有其它 DHCPS文，例如DHCFOffer報文等。 而且，并非所有來自用戶端口的 DHC請求都被允許通過，交換機還會比較 DHCP 請求報文的（報文頭里的）源 MAC地址和（報文內容里的）DHCI客戶機的硬件 地址（即CHADD字段），只有這兩者相同的請求報文才會被轉發(fā)，否則將被丟 棄。這樣就防止了 DHCF耗竭攻擊。信任端口可以接收所有的DHCP報文。通過只將交換機連接到合法 DHCP服務 器的端口設置為信任端口，其他端口設置為非信任端口，就可以防止用戶偽造 DHCP艮務器來攻擊網絡。DHCPS聽特性還可以對端口的 DHC報文

6、進行限速。通 過在每個非信任端口下進行限速，將可以阻止合法 DHCP請求報文的廣播攻擊。DHC監(jiān)聽還有一個 非常重要的作用 就是建立一張DHCPS聽綁定表（DHCP Sn oop ing Bin di ng ）。一旦一個連接在非信任端口的客戶端獲得一個合法的DHCPOffer，交換機就會自動在DHCP監(jiān)聽綁定表里添加一個綁定條目，內容包括了該 非信任端口的客戶端IP地址、MAC地址、端口號、VLAN編號、租期等信息。如：Switch#show ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN In terface

7、0O:OF:1F:C5:1O:O8 31 682463 dhcp-snooping 10 FastEthernetO/1這張DHCP監(jiān)聽綁定表為進一步部署IP源防護（IPSG）和動態(tài)ARP檢測（DAI） 提供了依據(jù)。說明：I. 非信任端口只允許客戶端的DHCP請求報文通過，這里只是相對于 DHCP報文來說的。其他非DHCP報文還是可以正常轉發(fā)的。這就表示客戶端可以以靜態(tài) 指定IP地址的方式通過非信任端口接入網絡。由于靜態(tài)客戶端不會發(fā)送DHCP報文，所以DHCP監(jiān)聽綁定表里也不會有該靜態(tài)客戶端的記錄。信任端口的客戶端信息不會被記錄到 DHCP監(jiān)聽綁定表里。如果有一客戶端

8、連接到了一個信任端口，即使它是通過正常的DHCPJ式獲得IP地址，DHCPS聽綁定表里也不有該客戶端的記錄。如果要求客戶端只能以動態(tài)獲得IP的方式接入網絡，則必須借助于IPSG和DAI技術。II. 交換機為了獲得高速轉發(fā)，通常只檢查報文的二層幀頭，獲得目標MAC地址后直接轉發(fā)，不會去檢查報文的內容。而 DHCP監(jiān)聽本質上就是開啟交換機對 DHCP艮文的內容部分的檢查，DHCP報文不再只是被檢查幀頭了。III. DHCP監(jiān)聽綁定表不僅用于防御DHCP攻擊，還為后續(xù)的IPSG和DAI技術 提供動態(tài)數(shù)據(jù)庫支持。IV. DHCPS聽綁定表里的Lease列就是每個客戶端對應的 DHCPS約時間。當 客戶

9、端離開網絡后，該條目并不會立即消失。當客戶端再次接入網絡，重新發(fā)起 DHC請求以后，相應的條目內容就會被更新。如上面的00F.仆C5.1008這個客戶端原本插在Fa0/1端口，現(xiàn)在插在Fa0/3端口，相應的記錄在它再次發(fā)送 DHCP 請求并獲得地址后會更新為：Switch#show ip dhcp snooping binding orSwitch#show ip source binding MacAddress IpAddress Lease(sec)TypeVLANIn terface00:0F:1F:C5:10:08 31 691023 dhcp-snoopin

10、g 10 FastEthernet0/3V.當交換機收到一個DHCPDECLIN或DHCPRELEA廣播報文，并且報文頭的源 MAC地址存在于DHCPS聽綁定表的一個條目中。但是報文的實際接收端口與綁 定表條目中的端口字段不一致時，該報文將被丟棄。 DHCPRELEA報文：此報文是客戶端主動釋放IP地址（如 Windows客戶 端使用ipconfig/release ），當DHC服務器收到此報文后就可以收回IP地址, 分配給其他的客戶端了 DHCPDECLINS文：當客戶端發(fā)現(xiàn)DHC服務器分配給它的IP地址無法使 用（如IP地址發(fā)生沖突）時，將發(fā)出此報文讓DHCfflK務器禁止使用這次分配的

11、IP地址。VI. DHCP 監(jiān)聽綁定表中的條目可以手工添加。VII. DHCPS聽綁定表在設備重啟后會丟失，需要重新綁定，但可以通過設置將綁定表保存在flash或者tftp/ftp服務器上，待設備重啟后直接讀取，而不需要客戶端再次進行綁定VIII.當前主流的Cisco交換機基本都支持DHCP Snooping功能。三、 DHCP Option 82當DHC服務器和客戶端不在同一個子網內時，客戶端要想從DHC服務器上分配到IP地址，就必須由DHC沖繼代理（DHCRRelay Age nt）來轉發(fā)DHCP 請求包。DHC中繼代理將客戶端的DHCP艮文轉發(fā)到DHCP艮務器之前，可以插 入一些選項信息

12、，以便DHC服務器能更精確的得知客戶端的信息，從而能更靈 活的按相應的策略分配 IP 地址和其他參數(shù)。 這個選項被稱為： DHCPrelay agent information option （中繼代理信息選項），選項號為 82，故又稱為 option 82， 相關標準文檔為 RFC3046。Option 82是對DHC選項的擴展應用。選項82只是一種應用擴展，是 否攜帶選項82并不會影響DHCP原有的應用。另外還要看DHCP艮務器是否支持 選項82。不支持選項82的DHCfflK務器接收到插入了選項82的報文，或者支持 選項82的DHCfflK務器接收到了沒有插入選項82的報文，這兩種情況都

13、不會對 原有的基本的DHCfflK務造成影響。要想支持選項 82帶來的擴展應用，則DHCP 服務器本身必須支持選項82以及收到的DHCP艮文必須被插入選項82信息。從非信任端口收到DHCF請求報文，不管DHC服務器和客戶端是否處于 同一子網，開啟了 DHCP監(jiān)聽功能的Cisco交換機都可以選擇是否對其插入選項 82信息。默認情況下，交換機將對從非信任端口接收到的 DHCF請求報文插入選 項 82 信息。當一臺開啟DHCP監(jiān)聽的匯聚交換機和一臺插入了選項 82信息的邊界交換機 （接入交換機）相連時：如果邊界交換機是連接到匯聚交換機的信任端口， 那么匯聚交換機會接收從 信任端口收到的插入選項82的

14、DHCP艮文信息，但是匯聚交換機不會為這些信息 建立DHCP監(jiān)聽綁定表條目。如果邊界交換機是連接到匯聚交換機的非信任端口， 那么匯聚交換機會丟棄 從該非信任端口收到的插入了選項 82的DHCF報文信息。但在IOS 12.2 （ 25）SE版本之后，匯聚交換機可以通過在全局模式下配置一條ip dhcp sn oop ingin formation allow-u ntrusted 命令。這樣匯聚交換機就會接收從邊界交換機發(fā) 來的插入選項82的DHCP艮文信息，并且也為這些信息建立 DHCPS聽綁定表條 目。在配置匯聚交換機下聯(lián)口時，將根據(jù)從邊界交換機發(fā)送過來的數(shù)據(jù)能否被信 任而設置為信任或者非信

15、任端口。四、DHCP Snooping 的配置Switch(config)#ip dhcp snooping/打開 DHCP Snooping功能Switch(config)#ip dhcp snooping vlan 10/ 設置 DHCP Snooping功能將作用于哪些VLANSwitch(config)#ip dhcp snooping verify mac-address/ 檢測非信任端口收至U的DHCP#求報文的源MAC和CHADD字段是否相同，以防止 DHCF耗竭攻擊，該功能默認 即為開啟Switch(config-if)#ip dhcp snooping trust/ 配置接口

16、為 DHCPS聽特性的信任接口，所有接口默認為非信任接口Switch(config-if)#ip dhcp snooping limit rate 15/ 限制非信任端口的 DHCPS文速率為每秒15個包(默認即為每秒15個包)如果不配該語句，則 show ip dhcpsnooping的結果里將不列出沒有該語句的端口，可選速率范圍為1-2048建議：在配置了端口的 DHCP艮文限速之后，最好配置以下兩條命令/使由于DHC報文限Switch(c on fig)#errdisable recovery cause dhcp-rate-limit 速原因而被禁用的端口能自動從err-disable

17、 狀態(tài)恢復/設置恢復時間；端口被置為/設置交換機是否為非信任Switch(c on fig)#errdisable recovery in terval 30 err-disable 狀態(tài)后，經過30秒時間才能恢復Switch(c on fig)#ip dhcp snooping in formati on opti on端口收到的DHCP艮文插入Option 82，默認即為開啟狀態(tài)聚交換機將接收從非信任端口收到的接入交換機發(fā)來的帶有選項82的DHCP艮文Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 31i

18、n terface fa0/2 expiry 692000/特權模式命令；手工添加一條 DHCPS聽綁定條目；expiry為時間值，即為監(jiān)聽綁定表中的lease (租期)Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db/ 將 DHCPS聽綁定表保存在flash中，文件名為dhcp_s no op in g.dbSwitch(c on fig)#ip dhcp snooping databaset/Switch/dhcp_snooping.db/ 將 DHCPS聽綁定表保存到 tftp

19、服務器；為tftp 服務器地址，必須事先確定可達。URL中的Switch是tftp 服務器下一個文件夾；保存后的文件名為dhcp_snooping.db，當更改保存位置后會立即執(zhí)行“寫”操作。Switch(config)#ip dhcp snooping database write-delay 30/ 指 DHCPS聽綁定表發(fā)生更新后，等待30秒，再寫入文件，默認為300秒；可選范圍為15-86400秒Switch(config)#ip dhcp snooping database timeout 60/ 指 DHC監(jiān)聽綁定表嘗試寫入操作失敗后，重新嘗試寫入操作，直到6

20、0秒后停止嘗試。默認為300秒；可選范圍為0-86400秒說明：實際上當DHCPS聽綁定表發(fā)生改變時會先等待write-delay 的時間，然后執(zhí)行寫入操作，如果寫入操作失敗(比如tftp服務器不可達)，接著就等待timeout的時 間，在此時間段內不斷重試。在 timeout時間過后，停止寫入嘗試。但由于監(jiān)聽綁定 表已經發(fā)生了改變，因此重新開始等待write-delay 時間執(zhí)行寫入操作,不斷循環(huán)， 直到寫入操作成功。Switch#re new ip dhcp snooping database flash:dhcp_s noopin g.db/特權級命令；立即從保存好的數(shù)據(jù)庫文件中讀取 D

21、HC監(jiān)聽綁定表。五、顯示DHCP Snooping的狀態(tài)Switch#show ip dhcp snooping/顯示當前DHCPS聽的各選項和各端口的配置情況Switch#show ip dhcp snooping database/顯示DHCPS聽綁定數(shù)據(jù)庫的相關信息Switch#show ip dhcp snooping statistics/顯示DHC監(jiān)聽的工作統(tǒng)計Switch#clear ip dhcp snooping binding/清除DHC監(jiān)聽綁定表；注意：本命令無法對單一條目進行清除，只能清除所有條目Switch#clear ip dhcp snooping databas

22、e statistics/清空DHC監(jiān)聽綁定數(shù)據(jù)庫的計數(shù)器Switch#clear ip dhcp snooping statistics/清空DHC監(jiān)聽的工作統(tǒng)計計數(shù)器六、DHCP Snooping 的實例1、單交換機（DHC服務器和DHCP客戶端位于同一 VLANDHCP ClientDHCP Server環(huán)境：WindowQ003 DHCP艮務器和客戶端都位于 vian 10；服務器接在faO/1， 客戶端接在faO/22960交換機相關配置：ip dhcp snooping via n 10ip dhcp snooping!in terface FastEther net0/1desc

23、ription : Connect to Win2003 DHCP Serverswitchport access via n 10switchport mode accessspa nnin g-tree portfastin terface FastEther netO/2description : Connect to DHCP Clientswitchport access via n 10switchport mode accessspa nnin g-tree portfastip dhcp snooping limit rate 15說明：本例中交換機對于客戶端的 DHCPi青求

24、報文將插入選項82信息；也可以通 過配置 no ip dhcp snooping information option 命令選擇不插入選項 82信息。 兩種情況都可以?？蛻舳硕丝谕扑]配置 spanning-tree portfast 命令，使得該端口不參與生成數(shù)計算，節(jié)省端口啟動時間，防止可能因為端口啟動時間過長導致客戶端得不 到IP地址。開啟DHCP監(jiān)聽特性的vlan并不需要該vlan的三層接口被創(chuàng)建。2、單交換機（DHC服務器和DHCP客戶端位于同一 VLANCiscoiOS DHCP Server2960 DHCP Client環(huán)境：Cisco IOS DHCP艮務器（2821路由器）和

25、PC客戶端都位于vian 10；路由器接在交換機的faO/1，客戶端接在faO/22960 交換機相關配置：ip dhcp snooping vlan 10 ip dhcp snooping in terface FastEthernetO/1 description : Co nn ect to IOS DHCP Server C2821_Gi0/0 switchport access vlan 10 switchport mode access spa nnin g-tree portfast ip dhcp snooping trust!in terface FastEthernetO/

26、2description : Conn ect to DHCP Clie ntswitchport access vlan 10switchport mode accessspa nnin g-tree portfastip dhcp snooping limit rate 152821 路由器相關配置:ip dhcp excluded-address !ip dhcp pool testnetwork default-router lease 8!in terfac

27、e GigabitEther netO/Odescription : Co nn ect to C2960_Fa0/1ip dhcp relay in formatio n trustedip address 說明：I、需要注意的是路由器連接到交換機的端口需要配置ip dhcp relay這是因為交換機配置了（默認情況）ip dhcp snooping in formatio n opti on,此時交換機會在客戶端發(fā)出的 DHCP#求報文中插入選項82信息。另一方面由于 DHCP艮務器（這里指Cisco IOS DHCP服務器）與客戶端處于

28、同一個 VLAN中， 所以請求實際上并沒有經過DHC沖繼代理。對于Cisco IOS DHCP服務器來說，如果它收到的 DHCF請求被插入了選項82 信息，那么它會認為這是一個從 DHCF中繼代理過來的請求報文，但是它檢查了 該報文的giaddr字段卻發(fā)現(xiàn)是 ，而不是一個有效的IP地址（DHC!請求 報文中的giaddr字段是該報文經過的第一個 DHCF中繼代理的IP地址，具體請 參考DHCP艮文格式），因此該報文被認為“非法”，所以將被丟棄?？梢詤⒖?路由器上的DHCPl勺debug過程。Cisco IOS里有一個命令，專門用來處理這類 DHCF#求報文：ip dhcp rel

29、ay information trusted （接口命令）或者 ip dhcp relay information trust-all（全局命令，對所有路由器接口都有效）；這兩條命令的作用就是允許被插入了 選項82信息，但其giaddr字段為的DHCP#求報文通過。II 、如果交換機不插入選項 82信息，即配置了 no ip dhcp relay in formationtrusted，那么就不會出現(xiàn)客戶端無法得到IP地址的情況，路由器也不需要配置 ip dhcp relay in formatio n trusted命令。III 、Windows DHCP艮務器應該沒有檢查這類

30、DHCF#求的機制，所以上一個 實例中不論交換機是否插入選項 82信息，客戶端總是可以得到IP地址。3、單交換機（DHC服務器和DHCP客戶端位于不同VLAN(9SCiscatOS DHCP ServerDHCCli&n：環(huán)境：Cisco IOS DHCP服務器（2821路由器）的IP地址為192.16822 , 位于vlan 2 ; DHCP客戶端位于vlan 10 ;交換機為3560,路由器接在faO/1 ,客戶端接在faO/2。3560 交換機相關配置:ip routi ng！ip dhcp snooping vlan 2,10ip dhcp snooping!in terface Fa

31、stEthernetO/1description : Co nn ect to IOS DHCP Server C2821_Gi0/0switchport access vlan 2switchport mode accessspa nnin g-tree portfastip dhcp snooping trust!in terface FastEthernet0/2description : Conn ect to DHCP Clie ntswitchport access vlan 10switchport mode accessspa nnin g-tree portfastip dh

32、cp snooping limit rate 15!in terface Vlan2ip address !in terface Vla n10ip address ip helper-address 192.168222821 路由器相關配置:no ip rout ing!ip dhcp excluded-address !ip dhcp pool testnetwork default-r

33、outer lease 8!in terface GigabitEther net0/0description : Co nn ect to C3560_Fa0/1ip address !ip default-gateway 說明:本例中的路由器不需要配置 ip dhcp relay in formation trusted命令，因為從交換機過來的DHCP#求經過了中繼代理，其報文中的 giaddr字段為，而不是，是默認正常的DHCP#求報文。4、多交換機環(huán)境（

34、DHC服務器和DHCF客戶端位于不同VLANPC呂一4SCliwolOS D-CP Ser;er環(huán)境：2611路由器作為DHCP艮務器，IP地址為192.16822，位于vlan 2;PC位于vlan 10 ; 路由器接在3560的GiO/2 , PC接2960的faO/1 口，兩交換機互連口都是gi0/1。3560 交換機相關配置:ip routi ng！in terface GigabitEthernetO/1description : Conn ect to C2960_Gi0/1switchport trunk en capsulati on dot1qswitchport mode

35、trunk!in terface GigabitEther net0/2description : Co nn ect to IOS DHCP Server C2611_Gi0/0 switchport access vla n 2switchport mode accessspa nnin g-tree portfast!in terface Vlan2ip address !in terface Vla n10ip address ip helper-address

36、ip dhcp relay in formatio n trusted2960 交換機相關配置:ip dhcp snooping vla n 10 ip dhcp snooping in terface FastEther netO/1 descripti on : Connect to PC switchport access via n 10 switchport mode access spa nnin g-tree portfast ip dhcp snooping limit rate 15 !in terface GigabitEthernetO/1 description : C

37、o nn ect to C3560_Gi0/1 switchport mode trunk ip dhcp snooping trust2611 路由器相關配置:no ip rout ing!ip dhcp excluded-address !ip dhcp pool testnetwork default-router lease 8!in terface GigabitEther net0/0description : Co nn ect to C3560_Gi0/

38、2ip address !ip default-gateway 說明:本例中3560沒有開啟DHCPS聽功能，2960開啟了該功能。需要注意的是in t vlan 10需要配置 ip dhcp relay in formation trusted，理由如同實例 2。5、多交換機環(huán)境（DHC服務器和DHCP客戶端位于同一 VLAN環(huán)境：3560交換機自身作為 DHCP艮務器；PC1 和 PC2都位于vian 10； PC1 接3560的fa0/1 口，PC2接 2960的fa0/1 口；兩交換機互連口都是 gi0/13560

39、交換機相關配置：ip dhcp excluded-address !ip dhcp pool testnetwork default-router lease 8!ip dhcp snooping vla n 10ip dhcp snooping in formatio n opti on allow- un trustedip dhcp snooping!in terface FastEther net0/1descripti on : Connect to PC1switchport acc

40、ess via n 10 switchport mode access spa nnin g-tree portfast ip dhcp snooping limit rate 15 !in terface GigabitEthernetO/1 description : Co nn ect to C2960_Gi0/1 switchport trunk encapsulation dot1q switchport mode trunkip dhcp snooping limit rate 3602960 交換機相關配置:ip dhcp snooping vla n 10ip dhcp sno

41、opingin terface FastEther net0/1descripti on : Connect to PC2 switchport access vla n 10 switchport mode access spa nnin g-tree portfast ip dhcp snooping limit rate 15!in terface GigabitEthernet0/1 description : Co nn ect to C3560_Gi0/1 switchport mode trunkip dhcp snooping trust說明:本例中3560和2960同時開啟了

42、 DHCP監(jiān)聽功能。從2960過來的DHCP請求報文是已經被插入了選項82信息，如果將3560的Gi0/1設置為信任端口，那么插入了 82選項的DHCP#求報文是允許通過的，但不會為其建立DHCPS.聽綁定表。即3560上只有PC1的綁定條目，而沒有PC2的綁定條目。如果此時同時部署DAI, IPSG,由于2960不支持這兩項功能，對于3560來說， 從2960上過來的數(shù)據(jù)可能存在IP欺騙和ARP欺騙等攻擊，是不安全的。另一方 面，由于3560沒有PC2的綁定條目，而DAI和IPSG必須依賴DHC監(jiān)聽綁定表。 因此如果需要在3560上再部署DAI或者IPSQ就不能將3560的Gi0/1設置為

43、信任端口。但是將3560的Gi0/1 口設置為非信任端口以后，默認情況下，非信任端口將 會丟棄收到的插入了 82選項的DHCF請求報文。而從2960過來的DHCF請求報文 又正好是被插入了選項82信息的。因此必須配置ip dhcp snooping information option allow-untrusted命令，否則3560將丟棄這些DHCP#求報文，接在2960上的PC2將得不到IP地址。只有配置了該命令以后，3560才會接收從2960發(fā) 送的插入了選項82的DHCP報文，并為這些信息建立綁定條目。3560下聯(lián)的Gi0/1 口由于是非信任端口，默認限速為每秒15個DHCF請求報 文

44、，如果2960上的所有PC都同時發(fā)起DHCF#求，可能此端口會被errdisable 掉。這里假設2960為24 口，因此簡單的設置限速為 24*15=360。2960 上聯(lián)的Gi0/1 口必須被配置為信任端口，否則將丟棄從3560過來的DHC應答報文，PC2將無法得到IP地址。C3560#show ip dhcp snoopingSwitch DHCP snooping is en abledDHCP snooping is con figured on follow ing VLANs:10DHCP snooping is operatio nal on follow ing VLANs:

45、10DHCP snooping is con figured on the follow ing L3 In terfaces:In serti on of optio n 82 is en abledcircuit-id format: vla n-mod-portremote-id format: MACOpti on 82 on un trusted port is allowedVerification of hwaddr field is en abledDHCP snooping trust/rate is con figured on the followi ng In terf

46、aces:In terfaceTrustedRate limit (pps)FastEthernetO/1no15GigabitEthernetO/1no360VLANIn terfaceC3560#show ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type00:0F:1F:C5:10:08 685618 dhcp-snooping 10 FastEthernet0/100:0B:DB:08:21:E0 688023 dhcp-snooping10 GigabitEther

47、net0/1C2960#show ip dhcp snoopingSwitch DHCP snooping is en abledDHCP snooping is con figured on follow ing VLANs:10In serti on of optio n 82 is en abledcircuit-id format: vla n-m od-portremote-id format: MACOpti on 82 on un trusted port is not allowedVerification of hwaddr field is enabledIn terfaceTrustedRate limit (pps)FastEthernet0/1 no15GigabitEthernet0/1yesun limitedC2960#show ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN I n terface00:0B:DB:08:21:E0 6 88023 dhcp-s nooping10 Fast