实例解析局域网防止私开DHCP服务器

　　我校1＃学生公寓，PC拥有数量大约1000台。采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP分配的IP地址冲突。以上两方面，均造成了该公寓楼大量主机无法正常访问网络。

网管联盟bitsCN@com

　　经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术，以保证网络的正常运行。

网管u家u.bitscn@com

　　该公寓网络设备使用情况如下，接入层为××台 2950交换机上联至堆叠的4台 3750，再通过光纤上联至汇聚层的 3750交换机。同时汇聚层的 3750交换机还兼做DHCP服务器。 网管u家u.bitscn@com

　　部署过程 网管下载dl.bitscn.com

　　首先按如下过程配置DHCP Snooping

　　1 configure terminal

中国网管联盟bitsCN.com

　　2 ip dhcp snooping 在全局模式下启用DHCP Snooping

网管网www_bitscn_com

　　3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping

　　4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.

网管联盟bitsCN@com

　　5 interface GigabitEthernet1/0/28，进入交换机的第28口

　　6 ip dhcp snooping trust 将第28口设置为受信任端口

　　7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限

　　9 end 退出

　　完成配置后，可用如下命令观察DHCP Snooping运行状况： 网管联盟bitsCN@com

　　show ip dhcp snooping 中国网管联盟bitsCN.com

　　得到如下信息： 网管论坛bbs_bitsCN_com

　　Switch DHCP snooping is enabled

　　DHCP snooping is configured on following VLANs：
　103

网管下载dl.bitscn.com

　　Insertion of option 82 is enabled 中国网管联盟bitsCN.com

　　Verification of hwaddr field is enabled

　　Interface Trusted Rate limit (pps) 网管bitscn_com

　　------------------------ ------- ----------------

　　GigabitEthernet1/0/22 yes unlimited

　　GigabitEthernet1/0/24 yes unlimited 网管联盟bitsCN@com

　　GigabitEthernet1/0/27 yes unlimited

中国网管联盟bitsCN.com

　　GigabitEthernet1/0/28 no 500

　　show ip dhcp snooping binding，得到如下信息：

　　MacAddress IpAddress Lease(sec) Type VLAN Interface

中国网管论坛bbs.bitsCN.com

　　------------------ --------------- ---------- ------------- ---- ----------------------------------------------------------- 网管网www_bitscn_com

　　00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/28 网管网www_bitscn_com

中国网管论坛bbs.bitsCN.com