Cisco交換機(jī)DHCP+Snooping功能詳解+實(shí)例VIP

1、一、采用 DHCP服務(wù)的常見問題架設(shè) DHCP服務(wù)器可以為客戶端自動(dòng)分配IP 地址、掩碼、默認(rèn)網(wǎng)關(guān)、 DNS服務(wù)器等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了網(wǎng)絡(luò)配置，提高了管理效率。但在 DHCP服務(wù)的管理上存在一些問題，常見的有：DHCP Server 的冒充DHCP Server 的 DOS攻擊，如 DHCP耗竭攻擊某些用戶隨便指定IP 地址，造成 IP 地址沖突1、DHCP Server 的冒充由于 DHCP服務(wù)器和客戶端之間沒有認(rèn)證機(jī)制，所以如果在網(wǎng)絡(luò)上隨意添加一臺(tái) DHCP服務(wù)器，它就可以為客戶端分配IP 地址以及其他網(wǎng)絡(luò)參數(shù)。 只要讓該DHCP服務(wù)器分配錯(cuò)誤的IP 地址和其他網(wǎng)絡(luò)參數(shù)， 那就會(huì)對(duì)網(wǎng)絡(luò)造成非

2、常大的危害。2、DHCP Server 的拒絕服務(wù)攻擊通常 DHCP服務(wù)器通過檢查客戶端發(fā)送的DHCP請(qǐng)求報(bào)文中的 CHADDR（也就是 Client MAC address ）字段來判斷客戶端的 MAC地址。正常情況下該 CHADDR字段和發(fā)送請(qǐng)求報(bào)文的客戶端真實(shí)的 MAC地址是相同的。攻擊者可以利用偽造MAC的方式發(fā)送 DHCP請(qǐng)求，但這種攻擊可以使用 Cisco 交換機(jī)的端口安全特性來防止。端口安全特性（Port Security）可以限制每個(gè)端口只使用唯一的MAC地址。但是如果攻擊者不修改DHCP請(qǐng)求報(bào)文的源MAC地址，而是修改 DHCP報(bào)文中的 CHADDR字段來實(shí)施攻擊， 那端口安

3、全就不起作用了。 由于 DHCP服務(wù)器認(rèn)為不同的 CHADDR值表示請(qǐng)求來自不同的客戶端，所以攻擊者可以通過大量發(fā)送偽造 CHADDR的 DHCP請(qǐng)求，導(dǎo)致 DHCP服務(wù)器上的地址池被耗盡，從而無法為其他正常用戶提供網(wǎng)絡(luò)地址，這是一種 DHCP耗竭攻擊。 DHCP耗竭攻擊可以是純粹的DOS攻擊，也可以與偽造的DHCP服務(wù)器配合使用。 當(dāng)正常的 DHCP服務(wù)器癱瘓時(shí)，攻擊者就可以建立偽造的DHCP服務(wù)器來為局域網(wǎng)中的客戶端提供地址，使它們將信息轉(zhuǎn)發(fā)給準(zhǔn)備截取的惡意計(jì)算機(jī)。甚至即使DHCP請(qǐng)求報(bào)文的源 MAC地址和1/22CHADDR字段都是正確的，但由于DHCP請(qǐng)求報(bào)文是廣播報(bào)文，如果大量發(fā)送的

4、話也會(huì)耗盡網(wǎng)絡(luò)帶寬，形成另一種拒絕服務(wù)攻擊。3、客戶端隨意指定IP 地址客戶端并非一定要使用DHCP服務(wù)，它可以通過靜態(tài)指定的方式來設(shè)置IP地址。如果隨便指定的話，將會(huì)大大提高網(wǎng)絡(luò)IP 地址沖突的可能性。二、 DHCP Snooping 技術(shù)介紹DHCP監(jiān)聽（ DHCPSnooping）是一種 DHCP安全特性。 Cisco 交換機(jī)支持在每個(gè) VLAN基礎(chǔ)上啟用 DHCP監(jiān)聽特性。通過這種特性，交換機(jī)能夠攔截第二層VLAN域內(nèi)的所有 DHCP報(bào)文。DHCP監(jiān)聽將交換機(jī)端口劃分為兩類：非信任端口：通常為連接終端設(shè)備的端口，如PC，網(wǎng)絡(luò)打印機(jī)等信任端口：連接合法DHCP服務(wù)器的端口或者連接匯聚交換

5、機(jī)的上行端口通過開啟 DHCP監(jiān)聽特性，交換機(jī)限制用戶端口（非信任端口）只能夠發(fā)送DHCP請(qǐng)求，丟棄來自用戶端口的所有其它 DHCP報(bào)文，例如 DHCPOffer 報(bào)文等。而且，并非所有來自用戶端口的 DHCP請(qǐng)求都被允許通過，交換機(jī)還會(huì)比較 DHCP 請(qǐng)求報(bào)文的（報(bào)文頭里的）源 MAC地址和（報(bào)文內(nèi)容里的） DHCP客戶機(jī)的硬件地址（即 CHADDR字段），只有這兩者相同的請(qǐng)求報(bào)文才會(huì)被轉(zhuǎn)發(fā)，否則將被丟棄。這樣就防止了 DHCP耗竭攻擊。信任端口可以接收所有的 DHCP報(bào)文。通過只將交換機(jī)連接到合法 DHCP服務(wù)器的端口設(shè)置為信任端口，其他端口設(shè)置為非信任端口，就可以防止用戶偽造DHCP服務(wù)

6、器來攻擊網(wǎng)絡(luò)。 DHCP監(jiān)聽特性還可以對(duì)端口的 DHCP報(bào)文進(jìn)行限速。 通過在每個(gè)非信任端口下進(jìn)行限速，將可以阻止合法 DHCP請(qǐng)求報(bào)文的廣播攻擊。DHCP監(jiān)聽還有一個(gè) 非常重要的作用 就是建立一張 DHCP監(jiān)聽綁定表（ DHCPSnooping Binding ）。一旦一個(gè)連接在非信任端口的客戶端獲得一個(gè)合法的DHCP2/22Offer ，交換機(jī)就會(huì)自動(dòng)在DHCP監(jiān)聽綁定表里添加一個(gè)綁定條目，內(nèi)容包括了該非信任端口的客戶端IP 地址、 MAC地址、端口號(hào)、 VLAN編號(hào)、租期等信息。如：Switch#show ip dhcp snooping bindingMacAddressIpAddre

7、ssLease(sec) TypeVLANInterface- - - - -這張 DHCP監(jiān)聽綁定表為進(jìn)一步部署IP 源防護(hù)（IPSG）和動(dòng)態(tài) ARP檢測(cè)（ DAI）提供了依據(jù)。說明：I.非信任端口只允許客戶端的DHCP請(qǐng)求報(bào)文通過，這里只是相對(duì)于DHCP報(bào)文來說的。其他非DHCP報(bào)文還是可以正常轉(zhuǎn)發(fā)的。這就表示客戶端可以以靜態(tài)指定 IP 地址的方式通過非信任端口接入網(wǎng)絡(luò)。 由于靜態(tài)客戶端不會(huì)發(fā)送 DHCP 報(bào)文，所以 DHCP監(jiān)聽綁定表里也不會(huì)有該靜態(tài)客戶端的記錄。信任端口的客戶端信息不會(huì)被記錄到DHCP監(jiān)聽綁定表里。如果有一客戶端連接到了一個(gè)信任端口，即使它是通過正常的DHCP方式獲得

8、IP 地址， DHCP監(jiān)聽綁定表里也不有該客戶端的記錄。如果要求客戶端只能以動(dòng)態(tài)獲得IP 的方式接入網(wǎng)絡(luò)，則必須借助于IPSG和 DAI 技術(shù)。II. 交換機(jī)為了獲得高速轉(zhuǎn)發(fā)，通常只檢查報(bào)文的二層幀頭，獲得目標(biāo) MAC 地址后直接轉(zhuǎn)發(fā)，不會(huì)去檢查報(bào)文的內(nèi)容。而 DHCP監(jiān)聽本質(zhì)上就是開啟交換機(jī)對(duì) DHCP報(bào)文的內(nèi)容部分的檢查， DHCP報(bào)文不再只是被檢查幀頭了。III. DHCP 監(jiān)聽綁定表不僅用于防御 DHCP攻擊，還為后續(xù)的 IPSG和 DAI 技術(shù)提供動(dòng)態(tài)數(shù)據(jù)庫支持。3/22IV. DHCP 監(jiān)聽綁定表里的Lease 列就是每個(gè)客戶端對(duì)應(yīng)的DHCP租約時(shí)間。當(dāng)客戶端離開網(wǎng)絡(luò)后， 該條目并

9、不會(huì)立即消失。 當(dāng)客戶端再次接入網(wǎng)絡(luò)， 重新發(fā)起 DHCP請(qǐng)求以后，相應(yīng)的條目?jī)?nèi)容就會(huì)被更新。如上面的這個(gè)客戶端原本插在Fa0/1 端口，現(xiàn)在插在Fa0/3 端口，相應(yīng)的記錄在它再次發(fā)送DHCP請(qǐng)求并獲得地址后會(huì)更新為：Switch#show ip dhcp snooping bindingorSwitch#show ip source bindingMacAddressIpAddressLease(sec)TypeVLANInterface-V. 當(dāng)交換機(jī)收到一個(gè)DHCPDECLINE或 DHCPRELEASE廣播報(bào)文，并且報(bào)文頭的源 MAC地址存在于 DHCP監(jiān)聽綁定表的一個(gè)條目中。但是報(bào)

10、文的實(shí)際接收端口與綁定表?xiàng)l目中的端口字段不一致時(shí)，該報(bào)文將被丟棄。DHCPRELEASE報(bào)文：此報(bào)文是客戶端主動(dòng)釋放IP 地址（如 Windows 客戶端使用 ipconfig/release），當(dāng) DHCP服務(wù)器收到此報(bào)文后就可以收回IP 地址，分配給其他的客戶端了DHCPDECLINE報(bào)文：當(dāng)客戶端發(fā)現(xiàn) DHCP服務(wù)器分配給它的 IP 地址無法使用（如 IP 地址發(fā)生沖突） 時(shí)，將發(fā)出此報(bào)文讓 DHCP服務(wù)器禁止使用這次分配的 IP 地址。VI. DHCP 監(jiān)聽綁定表中的條目可以手工添加。VII. DHCP 監(jiān)聽綁定表在設(shè)備重啟后會(huì)丟失，需要重新綁定，但可以通過設(shè)置將綁定表保存在flash

11、或者 tftp/ftp服務(wù)器上，待設(shè)備重啟后直接讀取，而不需要客戶端再次進(jìn)行綁定4/22VIII.當(dāng)前主流的 Cisco 交換機(jī)基本都支持DHCP Snooping功能。三、 DHCP Option 82當(dāng) DHCP服務(wù)器和客戶端不在同一個(gè)子網(wǎng)內(nèi)時(shí)，客戶端要想從 DHCP服務(wù)器上分配到 IP 地址，就必須由 DHCP中繼代理（ DHCPRelay Agent ）來轉(zhuǎn)發(fā) DHCP 請(qǐng)求包。 DHCP中繼代理將客戶端的 DHCP報(bào)文轉(zhuǎn)發(fā)到 DHCP服務(wù)器之前，可以插入一些選項(xiàng)信息，以便 DHCP服務(wù)器能更精確的得知客戶端的信息，從而能更靈活的按相應(yīng)的策略分配IP 地址和其他參數(shù)。 這個(gè)選項(xiàng)被稱為：

12、 DHCPrelayagentinformationoption （中繼代理信息選項(xiàng)），選項(xiàng)號(hào)為82，故又稱為 option82，相關(guān)標(biāo)準(zhǔn)文檔為RFC3046。Option 82 是對(duì) DHCP選項(xiàng)的擴(kuò)展應(yīng)用。選項(xiàng)82 只是一種應(yīng)用擴(kuò)展，是否攜帶選項(xiàng) 82 并不會(huì)影響 DHCP原有的應(yīng)用。另外還要看 DHCP服務(wù)器是否支持選項(xiàng) 82。不支持選項(xiàng) 82 的 DHCP服務(wù)器接收到插入了選項(xiàng) 82 的報(bào)文，或者支持選項(xiàng) 82 的 DHCP服務(wù)器接收到了沒有插入選項(xiàng) 82 的報(bào)文，這兩種情況都不會(huì)對(duì)原有的基本的 DHCP服務(wù)造成影響。要想支持選項(xiàng) 82 帶來的擴(kuò)展應(yīng)用，則 DHCP 服務(wù)器本身必須支持

13、選項(xiàng) 82 以及收到的 DHCP報(bào)文必須被插入選項(xiàng) 82 信息。從非信任端口收到 DHCP請(qǐng)求報(bào)文，不管 DHCP服務(wù)器和客戶端是否處于同一子網(wǎng)，開啟了 DHCP監(jiān)聽功能的 Cisco 交換機(jī)都可以選擇是否對(duì)其插入選項(xiàng) 82 信息。默認(rèn)情況下， 交換機(jī)將對(duì)從非信任端口接收到的 DHCP請(qǐng)求報(bào)文插入選項(xiàng) 82 信息。當(dāng)一臺(tái)開啟 DHCP監(jiān)聽的匯聚交換機(jī)和一臺(tái)插入了選項(xiàng) 82信息的邊界交換機(jī)（接入交換機(jī)）相連時(shí)：如果邊界交換機(jī)是連接到匯聚交換機(jī)的信任端口， 那么匯聚交換機(jī)會(huì)接收從信任端口收到的插入選項(xiàng) 82 的 DHCP報(bào)文信息，但是匯聚交換機(jī)不會(huì)為這些信息建立 DHCP監(jiān)聽綁定表?xiàng)l目。如果邊界交

14、換機(jī)是連接到匯聚交換機(jī)的非信任端口，那么匯聚交換機(jī)會(huì)丟棄從該非信任端口收到的插入了選項(xiàng)82 的 DHCP報(bào)文信息。但在 IOS 12.2 （ 25）5/22SE版本之后，匯聚交換機(jī)可以通過在全局模式下配置一條ip dhcp snoopinginformationallow-untrusted命令。這樣匯聚交換機(jī)就會(huì)接收從邊界交換機(jī)發(fā)來的插入選項(xiàng) 82 的 DHCP報(bào)文信息，并且也為這些信息建立DHCP監(jiān)聽綁定表?xiàng)l目。在配置匯聚交換機(jī)下聯(lián)口時(shí)， 將根據(jù)從邊界交換機(jī)發(fā)送過來的數(shù)據(jù)能否被信任而設(shè)置為信任或者非信任端口。四、 DHCP Snooping 的配置Switch(config)#ip dhc

15、p snooping/打開 DHCP Snooping功能Switch(config)#ip dhcp snooping vlan 10/ 設(shè)置 DHCP Snooping功能將作用于哪些 VLANSwitch(config)#ip dhcp snooping verify mac-address/ 檢測(cè)非信任端口收到的DHCP請(qǐng)求報(bào)文的源 MAC和 CHADDR字段是否相同，以防止DHCP耗竭攻擊， 該功能默認(rèn)即為開啟Switch(config-if)#ip dhcp snooping trust/ 配置接口為 DHCP監(jiān)聽特性的信任接口， 所有接口默認(rèn)為非信任接口Switch(config

16、-if)#ip dhcp snooping limit rate 15/ 限制非信任端口的DHCP報(bào)文速率為每秒15 個(gè)包（默認(rèn)即為每秒15 個(gè)包）如果不配該語句，則show ip dhcpsnooping 的結(jié)果里將不列出沒有該語句的端口，可選速率范圍為1-2048建議：在配置了端口的DHCP報(bào)文限速之后，最好配置以下兩條命令Switch(config)#errdisable recovery cause dhcp-rate-limit/ 使由于 DHCP報(bào)文限速原因而被禁用的端口能自動(dòng)從err-disable狀態(tài)恢復(fù)Switch(config)#errdisable recovery in

17、terval 30/設(shè)置恢復(fù)時(shí)間；端口被置為 err-disable 狀態(tài)后，經(jīng)過 30 秒時(shí)間才能恢復(fù)Switch(config)#ip dhcp snooping information option/ 設(shè)置交換機(jī)是否為非信任端口收到的DHCP報(bào)文插入 Option 82 ，默認(rèn)即為開啟狀態(tài)Switch(config)#ip dhcp snooping information option allow-untrusted/ 設(shè)置6/22匯聚交換機(jī)將接收從非信任端口收到的接入交換機(jī)發(fā)來的帶有選項(xiàng)82 的 DHCP報(bào)文interface fa0/2 expiry 692000/ 特權(quán)模式命令

18、；手工添加一條DHCP監(jiān)聽綁定條目； expiry為時(shí)間值，即為監(jiān)聽綁定表中的lease （租期）Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db/ 將 DHCP監(jiān)聽綁定表保存在flash中，文件名為 dhcp_snooping.dbSwitch(config)#ip dhcp snooping database/ 將 DHCP監(jiān)聽綁定表保存到tftp服務(wù)器；為 tftp服務(wù)器地址， 必須事先確定可達(dá)。 URL中的 Switch 是 tftp服務(wù)器下一個(gè)文件夾；保存后的文件名為dhcp_snooping.db ，當(dāng)更

19、改保存位置后會(huì)立即執(zhí)行“寫”操作。Switch(config)#ip dhcp snooping database write-delay 30/ 指 DHCP監(jiān)聽綁定表發(fā)生更新后，等待30 秒，再寫入文件，默認(rèn)為300 秒；可選范圍為15-86400 秒Switch(config)#ip dhcp snooping database timeout 60/ 指 DHCP監(jiān)聽綁定表嘗試寫入操作失敗后，重新嘗試寫入操作，直到60 秒后停止嘗試。默認(rèn)為300 秒；可選范圍為 0-86400 秒說明：實(shí)際上當(dāng) DHCP監(jiān)聽綁定表發(fā)生改變時(shí)會(huì)先等待 write-delay 的時(shí)間，然后執(zhí)行寫入操作，如

20、果寫入操作失敗（比如 tftp 服務(wù)器不可達(dá)），接著就等待 timeout 的時(shí)間，在此時(shí)間段內(nèi)不斷重試。在 timeout 時(shí)間過后，停止寫入嘗試。但由于監(jiān)聽綁定表已經(jīng)發(fā)生了改變， 因此重新開始等待 write-delay 時(shí)間執(zhí)行寫入操作不斷循環(huán)，直到寫入操作成功。Switch#renew ip dhcp snooping database flash:dhcp_snooping.db/ 特權(quán)級(jí)命令；立即從保存好的數(shù)據(jù)庫文件中讀取DHCP監(jiān)聽綁定表。五、顯示 DHCP Snooping 的狀態(tài)Switch#show ip dhcp snooping/顯示當(dāng)前 DHCP監(jiān)聽的各選項(xiàng)和各端口的

21、配置情況Switch#show ip dhcp snooping binding/ 顯示當(dāng)前的 DHCP監(jiān)聽綁定表7/22Switch#show ip dhcp snooping database/ 顯示 DHCP監(jiān)聽綁定數(shù)據(jù)庫的相關(guān)信息Switch#show ip dhcp snooping statistics/ 顯示 DHCP監(jiān)聽的工作統(tǒng)計(jì)Switch#clear ip dhcp snooping binding/ 清除 DHCP監(jiān)聽綁定表；注意：本命令無法對(duì)單一條目進(jìn)行清除，只能清除所有條目Switch#clear ip dhcp snooping database statistic

22、s/ 清空 DHCP監(jiān)聽綁定數(shù)據(jù)庫的計(jì)數(shù)器Switch#clear ip dhcp snooping statistics/ 清空 DHCP監(jiān)聽的工作統(tǒng)計(jì)計(jì)數(shù)器六、 DHCP Snooping 的實(shí)例1、單交換機(jī)（ DHCP服務(wù)器和 DHCP客戶端位于同一VLAN）環(huán)境：Windows2003 DHCP服務(wù)器和客戶端都位于 vlan 10；服務(wù)器接在 fa0/1 ，客戶端接在 fa0/22960 交換機(jī)相關(guān)配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/1description : Connect to W

23、in2003 DHCP Serverswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!8/22interface FastEthernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15說明：本例中交換機(jī)對(duì)于客戶端的DHCP請(qǐng)求報(bào)文將插入

24、選項(xiàng)82 信息；也可以通過配置 no ip dhcp snooping information option命令選擇不插入選項(xiàng)82信息。兩種情況都可以。客戶端端口推薦配置spanning-tree portfast命令，使得該端口不參與生成數(shù)計(jì)算，節(jié)省端口啟動(dòng)時(shí)間， 防止可能因?yàn)槎丝趩?dòng)時(shí)間過長(zhǎng)導(dǎo)致客戶端得不到 IP 地址。開啟 DHCP監(jiān)聽特性的 vlan 并不需要該 vlan 的三層接口被創(chuàng)建。2、單交換機(jī)（ DHCP服務(wù)器和 DHCP客戶端位于同一VLAN）環(huán)境： Cisco IOS DHCP服務(wù)器（ 2821 路由器）和 PC客戶端都位于 vlan 10；路由器接在交換機(jī)的 fa0/1

25、 ，客戶端接在 fa0/22960 交換機(jī)相關(guān)配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/19/22description : Connect to IOS DHCP Server C2821_Gi0/0switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEthernet0/2description : Connect to DHCP Clien

26、tswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 152821 路由器相關(guān)配置：!ip dhcp pool testlease 8!interface GigabitEthernet0/0description : Connect to C2960_Fa0/1ip dhcp relay information trusted說明：I 、需要注意的是路由器連接到交換機(jī)的端口需要配置 ip dhcp relay information trusted ，

27、否則客戶端將無法得到 IP 地址。10/22這是因?yàn)榻粨Q機(jī)配置了 （默認(rèn)情況） ip dhcp snooping informationoption ，此時(shí)交換機(jī)會(huì)在客戶端發(fā)出的DHCP請(qǐng)求報(bào)文中插入選項(xiàng)82 信息。另一方面由于DHCP服務(wù)器（這里指Cisco IOS DHCP 服務(wù)器）與客戶端處于同一個(gè)VLAN中，所以請(qǐng)求實(shí)際上并沒有經(jīng)過DHCP中繼代理。對(duì)于 Cisco IOS DHCP 服務(wù)器來說，如果它收到的 DHCP請(qǐng)求被插入了選項(xiàng) 82 信息，那么它會(huì)認(rèn)為這是一個(gè)從 DHCP中繼代理過來的請(qǐng)求報(bào)文，但是它檢查了該報(bào)文的 giaddr 字段卻發(fā)現(xiàn)是，而不是一個(gè)有效的 IP 地址（ D

28、HCP 請(qǐng)求報(bào)文中的 giaddr 字段是該報(bào)文經(jīng)過的第一個(gè) DHCP中繼代理的 IP 地址，具體請(qǐng)參考 DHCP報(bào)文格式），因此該報(bào)文被認(rèn)為“非法”，所以將被丟棄?？梢詤⒖悸酚善魃系腄HCP的 debug 過程。Cisco IOS 里有一個(gè)命令， 專門用來處理這類 DHCP請(qǐng)求報(bào)文： ip dhcp relay information trusted （接口命令）或者 ip dhcp relay information trust-all（全局命令， 對(duì)所有路由器接口都有效）；這兩條命令的作用就是允許被插入了選項(xiàng) 82 信息，但其 giaddr 字段為的 DHCP請(qǐng)求報(bào)文通過。II 、如果交

29、換機(jī)不插入選項(xiàng)82 信息，即配置了 no ip dhcp relayinformationtrusted ，那么就不會(huì)出現(xiàn)客戶端無法得到IP 地址的情況，路由器也不需要配置ip dhcp relay information trusted命令。III 、Windows DHCP服務(wù)器應(yīng)該沒有檢查這類 DHCP請(qǐng)求的機(jī)制，所以上一個(gè)實(shí)例中不論交換機(jī)是否插入選項(xiàng) 82 信息，客戶端總是可以得到 IP 地址。3、單交換機(jī)（ DHCP服務(wù)器和 DHCP客戶端位于不同VLAN）11/22環(huán)境： Cisco IOS DHCP 服務(wù)器（ 2821 路由器）的 IP 地址為，位于 vlan 2 ；DHCP客戶

30、端位于 vlan 10 ；交換機(jī)為 3560，路由器接在 fa0/1 ，客戶端接在 fa0/2 。3560 交換機(jī)相關(guān)配置：ip routing！ip dhcp snooping vlan 2,10ip dhcp snooping!interface FastEthernet0/1description : Connect to IOS DHCP Server C2821_Gi0/0switchport access vlan 2switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEt

31、hernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15!interface Vlan2!interface Vlan1012/222821 路由器相關(guān)配置：no ip routing!ip dhcp pool testlease 8!interface GigabitEthernet0/0description : Connect to C3560_Fa0/1!說

32、明：本例中的路由器不需要配置ip dhcp relay information trusted命令，因?yàn)閺慕粨Q機(jī)過來的DHCP請(qǐng)求經(jīng)過了中繼代理，其報(bào)文中的giaddr 字段為，而不是，是默認(rèn)正常的DHCP請(qǐng)求報(bào)文。4、多交換機(jī)環(huán)境（ DHCP服務(wù)器和 DHCP客戶端位于不同VLAN）13/22環(huán)境：2611 路由器作為 DHCP服務(wù)器， IP 地址為，位于 vlan 2；PC位于 vlan 10 ； 路由器接在 3560 的 Gi0/2 ，PC接 2960 的 fa0/1 口，兩交換機(jī)互連口都是 gi0/1 。3560 交換機(jī)相關(guān)配置：ip routing！interface Gigabit

33、Ethernet0/1description : Connect to C2960_Gi0/1switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/2description : Connect to IOS DHCP Server C2611_Gi0/0switchport access vlan 2switchport mode accessspanning-tree portfast!interface Vlan2!interface Vlan10ip dhcp relay

34、information trusted2960 交換機(jī)相關(guān)配置：ip dhcp snooping vlan 10ip dhcp snooping14/22interface FastEthernet0/1description : Connect to PCswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15！interface GigabitEthernet0/1description : Connect to C3560_Gi0/1switchp

35、ort mode trunkip dhcp snooping trust2611 路由器相關(guān)配置：no ip routing!ip dhcp pool testlease 8!interface GigabitEthernet0/0description : Connect to C3560_Gi0/2!說明：15/22本例中 3560 沒有開啟 DHCP監(jiān)聽功能， 2960 開啟了該功能。需要注意的是 int vlan 10需要配置 ip dhcp relay information trusted，理由如同實(shí)例2。5、多交換機(jī)環(huán)境（ DHCP服務(wù)器和 DHCP客戶端位于同一VLAN）環(huán)境：

36、 3560 交換機(jī)自身作為DHCP服務(wù)器； PC1和 PC2都位于 vlan 10； PC1接 3560 的 fa0/1 口， PC2接 2960 的 fa0/1 口；兩交換機(jī)互連口都是gi0/13560 交換機(jī)相關(guān)配置：!ip dhcp pool testlease 8!ip dhcp snooping vlan 10ip dhcp snooping information option allow-untrustedip dhcp snooping!interface FastEthernet0/116/22description : Connect to PC1switchport ac

37、cess vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15!interface GigabitEthernet0/1description : Connect to C2960_Gi0/1switchport trunk encapsulation dot1qswitchport mode trunkip dhcp snooping limit rate 3602960 交換機(jī)相關(guān)配置：ip dhcp snooping vlan 10ip dhcp snoopinginterfac

38、e FastEthernet0/1description : Connect to PC2switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15！interface GigabitEthernet0/1description : Connect to C3560_Gi0/1switchport mode trunkip dhcp snooping trust說明：17/22本例中 3560 和 2960 同時(shí)開啟了 DHCP監(jiān)聽功能。從 2960 過來

39、的 DHCP請(qǐng)求報(bào)文是已經(jīng)被插入了選項(xiàng) 82 信息，如果將 3560 的 Gi0/1 設(shè)置為信任端口， 那么插入了 82 選項(xiàng)的 DHCP請(qǐng)求報(bào)文是允許通過的，但不會(huì)為其建立 DHCP監(jiān)聽綁定表。即 3560 上只有 PC1的綁定條目，而沒有 PC2的綁定條目。如果此時(shí)同時(shí)部署 DAI，IPSG，由于 2960 不支持這兩項(xiàng)功能，對(duì)于 3560 來說，從 2960 上過來的數(shù)據(jù)可能存在 IP 欺騙和 ARP欺騙等攻擊， 是不安全的。 另一方面，由于 3560 沒有 PC2的綁定條目，而 DAI 和 IPSG必須依賴 DHCP監(jiān)聽綁定表。因此如果需要在 3560 上再部署 DAI 或者 IPSG

40、，就不能將 3560 的 Gi0/1 設(shè)置為信任端口。但是將 3560 的 Gi0/1 口設(shè)置為非信任端口以后，默認(rèn)情況下，非信任端口將會(huì)丟棄收到的插入了82 選項(xiàng)的 DHCP請(qǐng)求報(bào)文。而從 2960 過來的 DHCP請(qǐng)求報(bào)文又正好是被插入了選項(xiàng)82 信息的。因此必須配置 ip dhcp snoopinginformation option allow-untrusted命令，否則 3560 將丟棄這些 DHCP請(qǐng)求報(bào)文，接在 2960 上的 PC2將得不到 IP 地址。只有配置了該命令以后， 3560 才會(huì)接收從 2960 發(fā)送的插入了選項(xiàng)82 的 DHCP報(bào)文，并為這些信息建立綁定條目。3

41、560 下聯(lián)的 Gi0/1 口由于是非信任端口， 默認(rèn)限速為每秒 15 個(gè) DHCP請(qǐng)求報(bào)文，如果 2960 上的所有 PC都同時(shí)發(fā)起 DHCP請(qǐng)求，可能此端口會(huì)被 errdisable 掉。這里假設(shè) 2960 為 24 口，因此簡(jiǎn)單的設(shè)置限速為 24*15=360。2960 上聯(lián)的 Gi0/1 口必須被配置為信任端口，否則將丟棄從 3560 過來的DHCP應(yīng)答報(bào)文， PC2將無法得到 IP 地址。C3560#show ip dhcp snoopingSwitch DHCP snooping is enabledDHCP snooping is configured on following

42、VLANs:10DHCP snooping is operational on following VLANs:10DHCP snooping is configured on the following L3 Interfaces:Insertion of option 82 is enabled18/22circuit-id format: vlan-mod-portremote-id format: MACOption 82 on untrusted port is allowedVerification of hwaddr field is enabledDHCP snooping t

43、rust/rate is configured on the following Interfaces:InterfaceTrustedRate limit (pps)-FastEthernet0/1no15GigabitEthernet0/1no360C3560#show ip dhcp snooping bindingMacAddress IpAddressLease(sec)TypeVLANInterface-C2960#show ip dhcp snoopingSwitch DHCP snooping is enabledDHCP snooping is configured on f

44、ollowing VLANs:10Insertion of option 82 is enabledcircuit-id format: vlan-mod-portremote-id format: MACOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterfaceTrustedRate limit (pps)-FastEthernet0/1no15GigabitEthernet0/1yesunlimited19/22C2960#show ip dhcp snooping bindingMacAddressIpAddressLease(sec)TypeVLAN Interface-00:0B:DB:08:21:E088023dhcp-snooping10FastEthernet0/16、多交換機(jī)環(huán)境（ DHCP服務(wù)器和 DHCP客戶端位于同一VLAN）環(huán)