DHCP监听技术

当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机（接入交换机）相连时：●如果边界交换机是连接到汇聚交换机的信任端口，那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息，但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。●如果边界交换机是连接到汇聚交换机的非信任端口，那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。但在IOS12.2（25）SE版本之后，汇聚交换机可以通过在全局模式下配置一条ipdhcpsnoopinginformationallow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息，并且也为这些信息建立DHCP监听绑定表条目。在配置汇聚交换机下联口时，将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。四、DHCPSnooping的配置Switch(config)#ipdhcpsnooping//打开DHCPSnooping功能Switch(config)#ipdhcpsnoopingvlan10//设置DHCPSnooping功能将作用于哪些VLANSwitch(config)#ipdhcpsnoopingverifymac-address//检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻击，该功能默认即为开启Switch(config-if)#ipdhcpsnoopingtrust//配置接口为DHCP监听特性的信任接口，所有接口默认为非信任接口Switch(config-if)#ipdhcpsnoopinglimitrate15//限制非信任端口的DHCP报文速率为每秒15个包（默认即为每秒15个包）如果不配该语句，则showipdhcpsnooping的结果里将不列出没有该语句的端口，可选速率范围为1-2048建议：在配置了端口的DHCP报文限速之后，最好配置以下两条命令Switch(config)#errdisablerecoverycausedhcp-rate-limit//使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复Switch(config)#errdisablerecoveryinterval30//设置恢复时间；端口被置为err-disable状态后，经过30秒时间才能恢复Switch(config)#ipdhcpsnoopinginformationoption//设置交换机是否为非信任端口收到的DHCP报文插入Option82，默认即为开启状态Switch(config)#ipdhcpsnoopinginformationoptionallow-untrusted//设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文Switch#ipdhcpsnoopingbinding000f.1fc5.1008vlan10192.168.10.131interfacefa0/2expiry692000//特权模式命令；手工添加一条DHCP监听绑定条目；expiry为时间值，即为监听绑定表中的lease（租期）Switch(config)#ipdhcpsnoopingdatabaseflash:dhcp_snooping.db//将DHCP监听绑定表保存在flash中，文件名为dhcp_snooping.dbSwitch(config)#ipdhcpsnoopingdatabaset将DHCP监听绑定表保存到tftp服务器；192.168.2.5为tftp服务器地址，必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹；保存后的文件名为dhcp_snooping.db，当更改保存位置后会立即执行“写”操作。Switch(config)#ipdhcpsnoopingdatabasewrite-delay30//指DHCP监听绑定表发生更新后，等待30秒，再写入文件，默认为300秒；可选范围为15-86400秒Switch(config)#ipdhcpsnoopingdatabasetimeout60//指DHCP监听绑定表尝试写入操作失败后，重新尝试写入操作，直到60秒后停止尝试。默认为300秒；可选范围为0-86400秒说明：实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间，然后执行写入操作，如果写入操作失败（比如tftp服务器不可达），接着就等待timeout的时间，在此时间段内不断重试。在timeout时间过后，停止写入尝试。但由于监听绑定表已经发生了改变，因此重新开始等待write-delay时间执行写入操作……不断循环，直到写入操作成功。Switch#renewipdhcpsnoopingdatabaseflash:dhcp_snooping.db//特权级命令；立即从保存好的数据库文件中读取DHCP监听绑定表。五、显示DHCPSnooping的状态Switch#showipdhcpsnooping//显示当前DHCP监听的各选项和各端口的配置情况Switch#showipdhcpsnoopingbinding//显示当前的DHCP监听绑定表Switch#showipdhcpsnoopingdatabase//显示DHCP监听绑定数据库的相关信息Switch#showipdhcpsnoopingstatistics//显示DHCP监听的工作统计Switch#clearipdhcpsnoopingbinding//清除DHCP监听绑定表；注意：本命令无法对单一条目进行清除，只能清除所有条目Switch#clearipdhcpsnoopingdatabasestatistics//清空DHCP监听绑定数据库的计数器Switch#clearipdhcpsnoopingstatistics//清空DHCP监听的工作统计计数器六、DHCPSnooping的实例1、单交换机（DHCP服务器和DHCP客户端位于同一VLAN）