ipdhcpsnooping配置不當(dāng)造成pc不能正常獲取ip

1、ipdhcpsnooping配置不當(dāng)造成PC不能正常獲取IPipdhcpsnooping配置不當(dāng)造成PC不能正常獲取IP標(biāo)簽：職場休閑原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請務(wù)必以超鏈接形式標(biāo)明文章原始由處、作者信息和本聲明。否則將追究法律責(zé)任。今天去一個(gè)客戶那里排查一個(gè)困擾他們半個(gè)月之久的問題，就是網(wǎng)絡(luò)中一部分VLAN不能自動(dòng)獲取IP地址，上午去到他們那里已經(jīng)10點(diǎn)多了，天氣有點(diǎn)熱，客戶的網(wǎng)絡(luò)結(jié)構(gòu)是，思科6509兩臺(tái)做hsrp為核心層，下面的接入層交換機(jī)為思科2950,在6509上啟用了DHCP服務(wù)，為每個(gè)VLAN分配IP地址?，F(xiàn)問題就由現(xiàn)在其中的幾個(gè)VLAN,PC接在這VLAN下就是獲取不到IP地址，

2、跟客戶溝通知道這幾個(gè)有問題的VLAN,都接在同一臺(tái)交換機(jī)，看了下6509的配置，沒發(fā)現(xiàn)什么問題，就是注意到開啟了ipdhcpsnooping，問題由現(xiàn)在同一臺(tái)交換機(jī)，那里確定方向了，走，到生產(chǎn)線上，查看問題機(jī)器。來到問題機(jī)器，進(jìn)入里面一看，交換機(jī)沒做什么配置，但注意至ij也配置了ipdhcpsnooping,這是時(shí)想dhcpsnooping的主要功能是：能夠攔截第二層VLAN域內(nèi)的所有DHCP報(bào)文，查看與6509所接的端口，沒有啟用dhcpsnoopingtrust,呵呵，這就是問題所在了。DHCP監(jiān)聽將交換機(jī)端口劃分為兩類：非信任端口:通常為連接終端設(shè)備的端口，如PC,網(wǎng)絡(luò)打印機(jī)等信任端口：

3、連接合法DHCP服務(wù)器的端口或者連接匯聚交換機(jī)的上行端口根據(jù)以上可知，我在級連接口上啟用ipdhcpsnoopingtrust后，把本地接口接上，馬上獲取到了IP地地址。下面是我在網(wǎng)上查到的關(guān)于ipdhcpsnooping的東西，總結(jié)一下：一、DHCPsnooping技術(shù)介紹DHCP監(jiān)聽(DHCPSnooping)是一種DHCP安全特性。Cisco交換機(jī)支持在每個(gè)VLAN基礎(chǔ)上啟用DHCP監(jiān)聽特性。通過這種特性，交換機(jī)能夠攔截第二層VLAN域內(nèi)的所有DHCP報(bào)文。通過開啟DHCP監(jiān)聽特性，交換機(jī)限制用戶端口（非信任端口）只能夠發(fā)送DHCP請求，丟棄來自用戶端口的所有其它DHCP報(bào)文，例如DHC

4、POffer報(bào)文等。而且，并非所有來自用戶端口的DHCP請求都被允許通過，交換機(jī)還會(huì)比較DHCP請求報(bào)文的（報(bào)文頭里的）源MAC地址和（報(bào)文內(nèi)容里的）DHCP客戶機(jī)的硬件地址（即CHADDR字段），只有這兩者相同的請求報(bào)文才會(huì)被轉(zhuǎn)發(fā)，否則將被丟棄。這樣就防止了DHCP耗竭攻擊。信任端口可以接收所有的DHCP報(bào)文。通過只將交換機(jī)連接到合法DHCP服務(wù)器的端口設(shè)置為信任端口，其他端口設(shè)置為非信任端口，就可以防止用戶偽造DHCP服務(wù)器來攻擊網(wǎng)絡(luò)。DHCP監(jiān)聽特性還可以對端口的DHCP報(bào)文進(jìn)行限速。通過在每個(gè)非信任端口下進(jìn)行限速，將可以阻止合法DHCP請求報(bào)文的廣播攻擊。DHCP監(jiān)聽還有一個(gè)非常重要的

5、作用就是建立一張DHCP監(jiān)聽綁定表（DHCPSnoopingBinding）。一旦一個(gè)連接在非信任端口的客戶端獲得一個(gè)合法的DHCPOffer,交換機(jī)就會(huì)自動(dòng)在DHCP監(jiān)聽綁定表里添加一個(gè)綁定條目，內(nèi)容包括了該非信任端口的客戶端IP地址、MAC地址、端口號、VLAN編號、租期等信息。二、DHCPsnooping配置Switch(config)#ipdhcpsnooping/打開DHCPSnooping功臺(tái)匕目匕Switch(config)#ipdhcpsnoopingvlan10/設(shè)置DHCPSnooping功能將作用于哪些VLANSwitch(config)#ipdhcpsnoopingve

6、rifymac-adress檢測非信任端口收到的DHCP請求報(bào)文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻擊，該功能默認(rèn)即為開啟Switch(config-if)#ipdhcpsnoopingtrust配置接口為DHCP監(jiān)聽特性的信任接口，所有接口默認(rèn)為非信任接口Switch(config-if)#ipdhcpsnoopinglimitrate15限制非信任端口的DHCP報(bào)文速率為每秒15個(gè)包(默認(rèn)即為每秒15個(gè)包)如果不配該語句，則showipdhcpsnooping的結(jié)果里將不列由沒有該語句的端口，可選速率范圍為1-2048建議：在配置了端口的DHCP報(bào)文限速之后，最好配置

7、以下兩條命令Switch(config)#errdisablerecoverycausedhcp-rate-limit使由于DHCP報(bào)文限速原因而被禁用的端口能自動(dòng)從err-disable狀態(tài)恢復(fù)Switch(config)#errdisablerecoveryinterval30設(shè)置恢復(fù)時(shí)間；端口被置為err-disable狀態(tài)后，經(jīng)過30秒時(shí)間才能恢復(fù)Switch(config)#ipdhcpsnoopinginformationoption設(shè)置交換機(jī)是否為非信任端口收到的DHCP報(bào)文插入Option82，默認(rèn)即為開啟狀態(tài)Switch(config)#ipdhcpsnoopinginfor

8、mationoptionallow-untrusted設(shè)置匯聚交換機(jī)將接收從非信任端口收到的接入交換機(jī)發(fā)來的帶有選項(xiàng)82的DHCP報(bào)文Switch#ipdhcpsnoopingbinding000f.1fc5.1008vlan1031interfacefa0/2expiry692000特權(quán)模式命令；手工添加一條DHCP監(jiān)聽綁定條目；expiry為時(shí)間值，即為監(jiān)聽綁定表中的lease(租期)Switch(config)#ipdhcpsnoopingdatabaseflash:dhcp_snooping.db將DHCP監(jiān)聽綁定表保存在flash中，文件名為dhcp_snoo

9、ping.dbSwitch(config)#ipdhcpsnoopingdatabasetftp:/Switch/dhcp_snooping.db將DHCP監(jiān)聽綁定表保存到tftp服務(wù)器；為tftp服務(wù)器地址，必須事先確定可達(dá)。URL中的Switch是tftp服務(wù)器下一個(gè)文件夾；保存后的文件名為dhcp_snooping.db,當(dāng)更改保存位置后會(huì)立即執(zhí)行“寫”操作。Switch(config)#ipdhcpsnoopingdatabasewrite-delay30指DHCP監(jiān)聽綁定表發(fā)生更新后，等待30秒，再寫入文件，默認(rèn)為300秒；可選范圍為15-86400秒Switch(config)#ipdhcpsnoopingdatabasetimeout60指DHCP監(jiān)聽綁定表嘗試寫入操作失敗后，重新嘗試寫入操作，直到60秒后停止嘗試。默認(rèn)為300秒；可選范圍為0-86400秒說明：實(shí)際上當(dāng)DHCP監(jiān)聽綁定表發(fā)生改變時(shí)會(huì)先等待write-delay的時(shí)間，然后執(zhí)行寫入操作，如果寫入操作失?。ū热鐃ftp服務(wù)器不可達(dá)），接著就等待timeout的時(shí)間，在此時(shí)間段內(nèi)不斷重試。在timeout時(shí)間過后