ipdhcpsnooping配置不當(dāng)造成pc不能正常獲取ip_第1頁(yè)
ipdhcpsnooping配置不當(dāng)造成pc不能正常獲取ip_第2頁(yè)
ipdhcpsnooping配置不當(dāng)造成pc不能正常獲取ip_第3頁(yè)
ipdhcpsnooping配置不當(dāng)造成pc不能正常獲取ip_第4頁(yè)
ipdhcpsnooping配置不當(dāng)造成pc不能正常獲取ip_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余2頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、ipdhcpsnooping配置不當(dāng)造成PC不能正常獲取IPipdhcpsnooping配置不當(dāng)造成PC不能正常獲取IP標(biāo)簽:職場(chǎng)休閑原創(chuàng)作品,允許轉(zhuǎn)載,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章原始由處、作者信息和本聲明。否則將追究法律責(zé)任。今天去一個(gè)客戶那里排查一個(gè)困擾他們半個(gè)月之久的問(wèn)題,就是網(wǎng)絡(luò)中一部分VLAN不能自動(dòng)獲取IP地址,上午去到他們那里已經(jīng)10點(diǎn)多了,天氣有點(diǎn)熱,客戶的網(wǎng)絡(luò)結(jié)構(gòu)是,思科6509兩臺(tái)做hsrp為核心層,下面的接入層交換機(jī)為思科2950,在6509上啟用了DHCP服務(wù),為每個(gè)VLAN分配IP地址。現(xiàn)問(wèn)題就由現(xiàn)在其中的幾個(gè)VLAN,PC接在這VLAN下就是獲取不到IP地址,

2、跟客戶溝通知道這幾個(gè)有問(wèn)題的VLAN,都接在同一臺(tái)交換機(jī),看了下6509的配置,沒(méi)發(fā)現(xiàn)什么問(wèn)題,就是注意到開(kāi)啟了ipdhcpsnooping,問(wèn)題由現(xiàn)在同一臺(tái)交換機(jī),那里確定方向了,走,到生產(chǎn)線上,查看問(wèn)題機(jī)器。來(lái)到問(wèn)題機(jī)器,進(jìn)入里面一看,交換機(jī)沒(méi)做什么配置,但注意至ij也配置了ipdhcpsnooping,這是時(shí)想dhcpsnooping的主要功能是:能夠攔截第二層VLAN域內(nèi)的所有DHCP報(bào)文,查看與6509所接的端口,沒(méi)有啟用dhcpsnoopingtrust,呵呵,這就是問(wèn)題所在了。DHCP監(jiān)聽(tīng)將交換機(jī)端口劃分為兩類:非信任端口:通常為連接終端設(shè)備的端口,如PC,網(wǎng)絡(luò)打印機(jī)等信任端口:

3、連接合法DHCP服務(wù)器的端口或者連接匯聚交換機(jī)的上行端口根據(jù)以上可知,我在級(jí)連接口上啟用ipdhcpsnoopingtrust后,把本地接口接上,馬上獲取到了IP地地址。下面是我在網(wǎng)上查到的關(guān)于ipdhcpsnooping的東西,總結(jié)一下:一、DHCPsnooping技術(shù)介紹DHCP監(jiān)聽(tīng)(DHCPSnooping)是一種DHCP安全特性。Cisco交換機(jī)支持在每個(gè)VLAN基礎(chǔ)上啟用DHCP監(jiān)聽(tīng)特性。通過(guò)這種特性,交換機(jī)能夠攔截第二層VLAN域內(nèi)的所有DHCP報(bào)文。通過(guò)開(kāi)啟DHCP監(jiān)聽(tīng)特性,交換機(jī)限制用戶端口(非信任端口)只能夠發(fā)送DHCP請(qǐng)求,丟棄來(lái)自用戶端口的所有其它DHCP報(bào)文,例如DHC

4、POffer報(bào)文等。而且,并非所有來(lái)自用戶端口的DHCP請(qǐng)求都被允許通過(guò),交換機(jī)還會(huì)比較DHCP請(qǐng)求報(bào)文的(報(bào)文頭里的)源MAC地址和(報(bào)文內(nèi)容里的)DHCP客戶機(jī)的硬件地址(即CHADDR字段),只有這兩者相同的請(qǐng)求報(bào)文才會(huì)被轉(zhuǎn)發(fā),否則將被丟棄。這樣就防止了DHCP耗竭攻擊。信任端口可以接收所有的DHCP報(bào)文。通過(guò)只將交換機(jī)連接到合法DHCP服務(wù)器的端口設(shè)置為信任端口,其他端口設(shè)置為非信任端口,就可以防止用戶偽造DHCP服務(wù)器來(lái)攻擊網(wǎng)絡(luò)。DHCP監(jiān)聽(tīng)特性還可以對(duì)端口的DHCP報(bào)文進(jìn)行限速。通過(guò)在每個(gè)非信任端口下進(jìn)行限速,將可以阻止合法DHCP請(qǐng)求報(bào)文的廣播攻擊。DHCP監(jiān)聽(tīng)還有一個(gè)非常重要的

5、作用就是建立一張DHCP監(jiān)聽(tīng)綁定表(DHCPSnoopingBinding)。一旦一個(gè)連接在非信任端口的客戶端獲得一個(gè)合法的DHCPOffer,交換機(jī)就會(huì)自動(dòng)在DHCP監(jiān)聽(tīng)綁定表里添加一個(gè)綁定條目,內(nèi)容包括了該非信任端口的客戶端IP地址、MAC地址、端口號(hào)、VLAN編號(hào)、租期等信息。二、DHCPsnooping配置Switch(config)#ipdhcpsnooping/打開(kāi)DHCPSnooping功臺(tái)匕目匕Switch(config)#ipdhcpsnoopingvlan10/設(shè)置DHCPSnooping功能將作用于哪些VLANSwitch(config)#ipdhcpsnoopingve

6、rifymac-adress檢測(cè)非信任端口收到的DHCP請(qǐng)求報(bào)文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻擊,該功能默認(rèn)即為開(kāi)啟Switch(config-if)#ipdhcpsnoopingtrust配置接口為DHCP監(jiān)聽(tīng)特性的信任接口,所有接口默認(rèn)為非信任接口Switch(config-if)#ipdhcpsnoopinglimitrate15限制非信任端口的DHCP報(bào)文速率為每秒15個(gè)包(默認(rèn)即為每秒15個(gè)包)如果不配該語(yǔ)句,則showipdhcpsnooping的結(jié)果里將不列由沒(méi)有該語(yǔ)句的端口,可選速率范圍為1-2048建議:在配置了端口的DHCP報(bào)文限速之后,最好配置

7、以下兩條命令Switch(config)#errdisablerecoverycausedhcp-rate-limit使由于DHCP報(bào)文限速原因而被禁用的端口能自動(dòng)從err-disable狀態(tài)恢復(fù)Switch(config)#errdisablerecoveryinterval30設(shè)置恢復(fù)時(shí)間;端口被置為err-disable狀態(tài)后,經(jīng)過(guò)30秒時(shí)間才能恢復(fù)Switch(config)#ipdhcpsnoopinginformationoption設(shè)置交換機(jī)是否為非信任端口收到的DHCP報(bào)文插入Option82,默認(rèn)即為開(kāi)啟狀態(tài)Switch(config)#ipdhcpsnoopinginfor

8、mationoptionallow-untrusted設(shè)置匯聚交換機(jī)將接收從非信任端口收到的接入交換機(jī)發(fā)來(lái)的帶有選項(xiàng)82的DHCP報(bào)文Switch#ipdhcpsnoopingbinding000f.1fc5.1008vlan1031interfacefa0/2expiry692000特權(quán)模式命令;手工添加一條DHCP監(jiān)聽(tīng)綁定條目;expiry為時(shí)間值,即為監(jiān)聽(tīng)綁定表中的lease(租期)Switch(config)#ipdhcpsnoopingdatabaseflash:dhcp_snooping.db將DHCP監(jiān)聽(tīng)綁定表保存在flash中,文件名為dhcp_snoo

9、ping.dbSwitch(config)#ipdhcpsnoopingdatabasetftp:/Switch/dhcp_snooping.db將DHCP監(jiān)聽(tīng)綁定表保存到tftp服務(wù)器;為tftp服務(wù)器地址,必須事先確定可達(dá)。URL中的Switch是tftp服務(wù)器下一個(gè)文件夾;保存后的文件名為dhcp_snooping.db,當(dāng)更改保存位置后會(huì)立即執(zhí)行“寫”操作。Switch(config)#ipdhcpsnoopingdatabasewrite-delay30指DHCP監(jiān)聽(tīng)綁定表發(fā)生更新后,等待30秒,再寫入文件,默認(rèn)為300秒;可選范圍為15-86400秒Switch(config)#ipdhcpsnoopingdatabasetimeout60指DHCP監(jiān)聽(tīng)綁定表嘗試寫入操作失敗后,重新嘗試寫入操作,直到60秒后停止嘗試。默認(rèn)為300秒;可選范圍為0-86400秒說(shuō)明:實(shí)際上當(dāng)DHCP監(jiān)聽(tīng)綁定表發(fā)生改變時(shí)會(huì)先等待write-delay的時(shí)間,然后執(zhí)行寫入操作,如果寫入操作失敗(比如tftp服務(wù)器不可達(dá)),接著就等待timeout的時(shí)間,在此時(shí)間段內(nèi)不斷重試。在timeout時(shí)間過(guò)后

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論