DHCP SNOOPING網絡拓撲說明
對于搞組網的朋友來說,DHCP SNOOPING這個家伙大家肯定不會陌生。那么這里我們就針對這個知識點來進行一下講解和說明。那么這里我們主要講解一下網絡拓撲。
一、網絡拓撲
二、說明
1、拓撲說明:匯聚層交換機為CATALYST4506,核心交換機為CATALYST6506,接入層交換機為CATALYST2918。4506上啟用IP DHCP SNOOPING和DAI以及IPSG,4506上連和下連的端口均配置為TRUNKING;6506上配置VLAN路由和DHCP服務器;2918配置基于端口的VLAN。
2、DHCP SNOOPING就像一個工作在非信任端口(連接主機或網絡設備)和信任端口(連接DHCP SERVER或者網絡設備)之間的防火墻,其DHCP SNOOPING BINDING DATABASE中保存著非信任端口下所連設備的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息,但不保存信任端口所連設備的信息;在交換機上開啟IP DHCP SNOOPING后,接口將工作在二層橋接狀態,截取和保護通往二層VLAN的DHCP消息;在VLAN上開啟IP DHCP SNOOPING后,交換機將工作在同一個VLAN域內的二層橋接狀態。
3、思科交換機在全局配置模式下開啟IP DHCP SNOOPING后,所有端口默認處于DHCP SNOOPING UNTRUSTED模式下,非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY報文將被丟棄;信任端口正常接收轉發,不進行監測。
4、交換機在RELOAD或重啟后會丟失DHCP SNOOPING BINDING數據庫,因此要將此表保存在交換機的FLASH或者保存在一個TFTP服務器中,使交換機在RELOAD或重啟后可以從中讀取信息,重新形成DHCP SNOOPING BINDING數據庫。比如下面這條命令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。
5、思科交換機在全局配置模式下開啟IP DHCP SNOOPING后,所有的DHCP RELAY INFORMATION OPTION功能全部關閉。
6、根據思科的英文資料來看,說一個匯聚層交換機開啟DHCP SNOOPING后,當其下連一個具有嵌入DHCP option-82 information的邊緣交換機,且下連端口為非信任端口時,匯聚層交換機將丟棄從此端口接收到的具有option-82 information的DHCP報文;但當在匯聚層交換機上開啟IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后,此時下連邊緣交換機的端口雖然仍為非信任端口,但可以正常從此端口接收具有option-82 information的DHCP報文。
根據上面的分析,我理解如下,不知道對不對:思科交換機在全局配置模式下開啟IP DHCP SNOOPING后,所有端口默認處于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默認是開啟的,此時DHCP報文在到達一個SNOOPING UNTRUSTED端口時將被丟棄。因此,必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默認關閉),以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報文。建議在交換機上關閉DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。
7、對于允許手工配置IP地址等參數的客戶端,可以手工添加綁定條目到DHCP SNOOPING BINDING數據庫中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a,IP地址為222.25.77.100,接入端口為GIG1/1,租期時間為600秒的綁定條目。
8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎上,形成IP SOURCE BINDING表,只作用在二層端口上。啟用IPSG的端口,會檢查接收到所有IP包,只轉發與此綁定表的條目相符合的IP包。默認IPSG只以源IP地址為條件過濾IP包,如果加上以源MAC地址為條件過濾的話,必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。
9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎的,也區分為信任和非信任端口,DAI只檢測非信任端口的ARP包,可以截取、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關系條目不符的ARP包。如果不使用DHCP SNOOPING,則需要手工配置ARP ACL。
