一、文章背景
本文介绍了使用华为路由器和交换机组网络,
https://www.toutiao.com/i6949536363691639303/,实现DHCP Snooping许多粉丝鼓励功能,有粉丝建议用交换机组网实现这个功能,最好简单实用。
以下是一个满足一些粉丝要求的案例。
简单理解一下DHCP Snooping
在一次DHCP动态获取客户端IP在地址过程中,DHCP Snooping客户端端和服务器之间DHCP分析和过滤报纸,防止用户非法获取DHCP无法上网的服务器提供的地址。
一般来说,企业网络中存在私人建筑DHCP有两种常见的服务器现象来源:
· ?
一般来说,企业网络中存在私人建筑DHCP有两种常见的服务器现象来源:
· ?个别终端在网络中使用Windows Server 默认打开2003或2008系统DHCP分配IP的服务。
· ?一些接入层的端口连接已经打开DHCP分配IP无线路由器的服务。
建议您部署接入层交换机DHCP Snooping功能,越近PC端口控制得越准确。建议每个交换机的端口只连接一个PC,否则,如果交换机在某个端口下串联一个Hub,在Hub几个连接在上面PC如果你碰巧应该的话,Hub下发生DHCP欺骗,因为欺骗报纸都在Hub端口间直接转发,未接入层交换机DHCP Snooping这种欺骗是无法预防的。
二、网络需求
如拓扑图所示,SW二是接入交换机,下挂PC采用DHCP获取IP地址。SW1.部署核心交换机DHCP服务器功能。
本次实验的所有设备都是一个VLAN,是默认的VLAN最简单的网络。三、拓扑图四、配置过程
4.1.核心交换机SW1上配置
4.1.1基础配置默认情况下,将相应的端口添加到交换机中vlan 1
<Huawei>sys
[Huawei]sys sw1
[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 1[sw1-GigabitEthernet0/0/1]port link-type trunk
给vlan1虚拟接口vlanif1设置IP使vlanif1作为vlan1的网关
[sw1]int vlan 1
[sw1-Vlanif1]ip address 192.168.100.254 24[sw1-Vlanif1]ip addr
基于接口地址池的分配IP地址功能
[sw1]dhcp enable
[sw1-Vlanif1]dhcp select interface[sw1]int vlan 1
4.2配置DHCP Snooping功能
4.2.1接入交换机SW2上配置
基础配置默认情况下,将相应的端口添加到交换机中vlan 1
<Huawei>sys
[Huawei]sys sw2
[sw2]int g0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 1
[sw2-GigabitEthernet0/0/1]int g0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 1
[sw2-GigabitEthernet0/0/2]int g0/0/3
[sw2-GigabitEthernet0/0/3]port default vlan 1[sw2-GigabitEthernet0/0/3]port link-type access
在此配置中,默认端口类型为真机access,默认属于vlan1.小伙伴可以不配置g0/0/2口和g试试0/0/3口。但默认的模拟器端口类型是hybrid。但默认的模拟器端口类型是hybrid。
4.3使能全局DHCP Snooping功能仅处理配置设备DHCPv报文,节约设备CPU利用率。
[sw2]dhcp snooping enable ipv4[sw2]dhcp enable
使用户侧接口DHCP Snooping功能
[sw2]int g0/0/2
[sw2-GigabitEthernet0/0/2]dhcp snooping enable
[sw2-GigabitEthernet0/0/3]dhcp snooping enable[sw2]int g0/0/3
配置为信任接口,接入交换机只处理接口收到的接口DHCP服务器响应报文
[sw2-GigabitEthernet0/0/1]dhcp snooping trusted接口的信任状态是非信任。[sw2]int g0/0/1
五、验证接入层交换机SW2上
<sw2>dis dhcp snooping configuration
核心交换机SW1上查看已在地址池中使用的地址池IP地址信息
<sw1>dis ip pool int vlan1 used
正是这个地址PC1获得的地址接入层交换机SW2上执行命令<sw2>dis dhcp snooping user-bind all查看DHCP Snooping绑定表信息。
在vlan1中开启IPSG((IP Source Guard)功能,从而实现IP与MAC的绑定巡查
[sw2-vlan1]ip source check user-bind enable
现在可以Ping通PC1修改MAC地址以后重新获得IP地址从上图中了解不同的PC对应不同的MAC地址。