深入分析關于DHCP SNOOPING的設置

雖然dhcp snooping是用來防止非法的dhcp server接入的，但是它一個重要作用是一旦客戶端獲得一個合法的dhcp offer。啟用dhcp snooping設備會在相應的接口下面記錄所獲得IP地址和客戶端的mac地址。這個是后面另外一個技術ARP inspection檢測的一個依據。ARP inspection是用來檢測arp請求的，防止非法的ARP請求。認為是否合法的標準的是前面dhcp snooping時建立的那張表。因為那種表是dhcp server正常回應時建立起來的，里面包括是正確的arp信息。如果這個時候有arp攻擊信息，利用ARP inspection技術就可以攔截到這個非法的arp數據包。其實利用這個方法，還可以防止用戶任意修改IP地址，造成地址沖突的問題。

ip dhcp excluded-address 10.63.150.100 10.63.150.120    不由dhcp分配的地址  
 
!  
ip dhcp pool main      定義地址池  
 
network 10.63.144.0 255.255.255.0       定義地址池做用的網段及地址范圍  
default-router 10.63.144.1      定義客戶端的默認網關  
domain-name nbyzzj.cn        定義客戶端所在域  
dns-server 10.60.12.11        定義客戶端的dns  
lease 7      定義地址租約時間為7天  
 
ip dhcp snooping      打開dhcp snooping功能  
 
ip dhcp snooping vlan 10-12,101-108,315     定義snooping作用的vlan  
ip dhcp snooping database flash:dhcp-snooping.db      將綁定表保存在flash中,避免重啟設備后,重新綁定 

ip arp inspection vlan 10-12,101-108,315    定義arp inspection 作用的vlan,它是根據dhcp snooping binding表做判斷的  
ip arp inspection validate src-mac dst-mac ip     偵測有效客戶端須滿足src-mac dst-mac ip 均無錯  
ip arp inspection log-buffer entries 1024      inspection 日志大小  
ip arp inspection log-buffer logs 1024 interval 300     inspection 日志刷新時間,interval太小會占用大量cpu時間  
!  
!  
!  
errdisable recovery cause udld  
errdisable recovery cause bpduguard  
errdisable recovery cause security-violation  
errdisable recovery cause channel-misconfig  
errdisable recovery cause pagp-flap  
errdisable recovery cause dtp-flap  
errdisable recovery cause link-flap  
errdisable recovery cause gbic-invalid  
errdisable recovery cause l2ptguard  
errdisable recovery cause psecure-violation  
errdisable recovery cause dhcp-rate-limit  
errdisable recovery cause unicast-flood  
errdisable recovery cause vmps  
errdisable recovery cause arp-inspection  
errdisable recovery interval 30 

在開始應用Dynamic ARP Inspection時，交換機會記錄大量的數據包，當端口通過的數據包過多時，交換機會認為遭受DoS攻擊，從而將端口自動errdisable，造成通信中斷。為了解決這個問題，我們需要加入命令errdisable recovery cause arp-inspection

no file verify auto  
 
logging on      當logging關閉時會占用大量cpu資源,一定勿忘打開  
 
no spanning-tree loopguard default      最好不要打開  
 
ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11      手動增加靜態地址的條目  
! 

interface GigabitEthernet1/0/11  
switchport trunk encapsulation dot1q  
switchport mode trunk  
ip arp inspection limit none  
arp timeout 2  
ip dhcp snooping limit rate 100 

由于下連設備,為了避免inspection讓端口errdisable,所以對arp的偵測不做限制,若直接為接入設備, 可使用ip arp inspection limit rate 100

相關命令:

sh logging       查看Dymatic Arp Inspection (DAI) 是否生效.  
sh ip dhcp snooping binding       查看snooping是否生效  
sh ip dhcp binding       看dhcp server 是否生效.  
sh arp       看arp信息是否與 dhcp snooping binding表一致 

下級設備若支持dhcp snooping 可這樣配置：

ip dhcp snooping  
int g0/1      上行端口  
switchport trunk encapsulation dot1q  
switchport mode trunk  
ip dhcp snooping trust      定義此端口為信任端口,從此口來的dhcp server數據有效,可阻止其它dhcp server發送dhcp數據。 

經實驗，對于已存在于綁定表中的mac和ip對于關系的億恩科技主機，不管是dhcp獲得，還是靜態指定，只要符合這個表就可以了。如果表中沒有就阻塞相應流量。

如果使用了dhcp中繼服務，那需要在網關交換機上鍵入如下命令:

方法一：

inter vlan10  
ip dhcp relay information trusted 

方法二：

switch（config）# ip dhcp relay information trust-all 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]