FS S5500 DHCP-nuhkimise konfiguratsioon
DHCP-nuhkimise konfiguratsioon
DHCP-nuhkimise konfiguratsiooniülesanded
DHCP-snooping eesmärk on takistada võlts-DHCP-serveril DHCP-teenust pakkumast, hinnates DHCP-pakette, säilitades seose MAC-aadressi ja IP-aadressi vahel. L2-lüliti saab läbi viia DAI-funktsiooni ja IP-allika valvamise funktsiooni vastavalt MAC-aadressi ja IP-aadressi seostele. DHCP-nuhkimine on peamiselt mõeldud DHCP-pakettide jälgimiseks ja MAC-IP sidumisloendi dünaamiliseks haldamiseks. L2-lüliti filtreerib paketid, mis ei vasta MAC-IP sidumissuhtele, et vältida ebaseaduslike kasutajate võrgurünnakuid.
- DHCP-nuhkimise lubamine/keelamine
- DHCP-nuhkimise lubamine VLAN-is
- Liidese määramine DHCP-d usaldavale liidesele
- DAI lubamine VLAN-is
- Liidese seadistamine ARP-usalduslikule liidesele
- Lähte-IP-aadressi jälgimise lubamine VLAN-is
- Liidese seadistamine sellisele, mida IP-allika aadressi jälgimine usaldab
- TFTP-serveri konfigureerimine DHCP-nuhkimise sidumise varundamiseks
- Konfigureerimine a file nimi DHCP-snooping siduva varukoopia jaoks
- Intervalli konfigureerimine DHCP-nuhkimise sidumise varundamiseks
- Sidumissuhte käsitsi konfigureerimine või lisamine
- DHCP-nuhkimise jälgimine ja hooldamine
- Examples DHCP-nuhkimise konfigureerimiseks
DHCP-nuhkimise lubamine/keelamine
Käivitage järgmised käsud globaalses konfiguratsioonirežiimis.
|
Käsk |
Eesmärk |
| ip dhcp-relee nuhkimine | Lubab DHCP nuhkimise. |
| ip dhcp-relee nuhkimine puudub | Taastab vaikeseaded. |
Seda käsku kasutatakse DHCP nuhkimise lubamiseks globaalses konfiguratsioonirežiimis. Pärast selle käsu käivitamist jälgib lüliti kõiki DHCP-pakette ja moodustab vastava sidumissuhte.
Märkus: kui klient saab enne selle käsu käivitamist lüliti aadressi, ei saa lüliti vastavat sidumissuhet lisada.
DHCP-nuhkimise lubamine VLAN-is
Kui DHCP-nuhkimine on VLAN-is lubatud, kontrollitakse seaduslikult kõiki VLAN-i umbusaldatavatest füüsilistest portidest vastuvõetud DHCP-pakette. Seejärel tühistatakse VLAN-i umbusaldatavatest füüsilistest portidest saadud DHCP-vastuspaketid, mis takistab võltsitud või valesti konfigureeritud DHCP-serveril aadresside levitamise teenuseid pakkumast. Kui DHCP päringu paketi puhul umbusaldatavatest portidest pärit riistvaraaadressi väli DHCP päringupaketis ei ühti selle paketi MAC-aadressiga, peetakse DHCP päringupaketti võltspaketiks, mida kasutatakse DHCP DOS-i rünnakupaketina. ja siis lüliti kukutab selle maha. Käivitage järgmised käsud globaalses konfiguratsioonirežiimis.
|
Käsk |
Eesmärk |
| Ip dhcp-relee nuhkimine vlan vlan_id | Võimaldab VLAN-is DHCP-nuhkimist. |
| no ip dhcp-nuhkimisvlan vlan_id | Keelab DHCP-nuhkimise VLAN-is. |
Liidese määramine DHCP-usaldusliideseks
Kui liides on määratud DHCP-d usaldavaks liideseks, siis sellelt liideselt vastuvõetud DHCP-pakette ei kontrollita.
Käivitage järgmised käsud füüsilise liidese konfiguratsioonirežiimis.
|
Käsk |
Eesmärk |
| dhcp nuhkiv usaldus | Määrab liidese DHCP-d usaldavaks liideseks. |
| ei mingit dhcp nuhkivat usaldust | Jätkab liidese loomist DHCP umbusaldatava liidesega. |
Liides on vaikimisi umbusaldatav liides.
DAI lubamine VLAN-is
Kui dünaamiline ARP-seire viiakse läbi kõigis VLAN-i füüsilistes portides, lükatakse vastuvõetud ARP-pakett tagasi, kui selle paketi allika MAC-aadress ja lähte-IP-aadress ei ühti konfigureeritud MAC-IP sidumissuhtega. Liidese sidumise seost saab dünaamiliselt siduda DHCP-ga või käsitsi konfigureerida. Kui füüsilises liideses pole ühtegi MAC-aadressi IP-aadressiga seotud, keeldub lüliti kõigi ARP-pakettide edastamisest.
|
Käsk |
Eesmärk |
| ip arp kontroll vlan vlanid | Lubab dünaamilise ARP-seire VLAN-i kõigis umbusaldatavates portides. |
| ip arp kontroll vlan puudub vlanid | Keelab dünaamilise ARP-seire VLAN-i kõigis umbusaldatavates portides. |
Liidese seadistamine ARP-usaldusliideseks
ARP-seire pole nendel usaldusväärsetel liidestel lubatud. Vaikimisi on need liidesed umbusaldatavad. Käivitage liidese konfiguratsioonirežiimis järgmised käsud.
|
Käsk |
Eesmärk |
| arp kontrolli usaldus | Määrab liidese ARP-usalduslikuks liideseks. |
| arp kontrolli usaldus puudub | Jätkab liidese loomist ARP-i umbusaldava liidesega. |
Allika IP-aadressi jälgimise lubamine VLAN-is
Kui lähte-IP-aadressi jälgimine on VLAN-is lubatud, lükatakse kõigist VLAN-i füüsilistest portidest vastuvõetud IP-paketid tagasi, kui nende lähte-MAC-aadressid ja lähte-IP-aadressid ei ühti konfigureeritud MAC-IP-sidussuhtega. Liidese sidumise seost saab dünaamiliselt siduda DHCP-ga või käsitsi konfigureerida. Kui füüsilises liideses pole ühtegi MAC-aadressi IP-aadressiga seotud, keeldub lüliti kõigi füüsiliselt liideselt saadud IP-pakettide edastamisest. Käivitage järgmised käsud globaalses konfiguratsioonirežiimis.
|
Käsk |
Eesmärk |
| ip kontrolli allika vlan vlanid | Võimaldab allika IP-aadressi kontrolli kõikidel VLAN-i umbusaldusväärsetel liidestel. |
| ip puudub, kontrolli allika vlan vlanid | Keelab allika IP-aadressi kontrolli kõigis VLAN-i liidestes. |
Liidese seadistamine sellisele, mida IP-allika aadressi jälgimine usaldab
Allikaaadressi kontrollimine pole liideses lubatud, kui liidesel on usaldusväärne allika IP-aadress. Käivitage liidese konfiguratsioonirežiimis järgmised käsud.
|
Käsk |
Eesmärk |
| ip-allika usaldus | Määrab liidese usaldusväärse allika IP-aadressiga liidese. |
| IP-allika usaldus puudub | Jätkab liidese loomist sellega, mille IP-aadress on umbusaldatav. |
TFTP-serveri konfigureerimine liidese sidumise varundamiseks
Pärast lüliti konfiguratsiooni taaskäivitamist kaob eelnevalt konfigureeritud liidese sidumine. Sel juhul pole sellel liidesel siduvat seost. Pärast lähte-IP-aadressi jälgimise lubamist keeldus lüliti kõigi IP-pakettide edastamisest. Kui TFTP-server on liidese sidumise varundamiseks konfigureeritud, varundatakse sidumissuhe serverisse TFTP-protokolli kaudu. Pärast lüliti taaskäivitamist laadib lüliti automaatselt alla sidumisloendi TFTP-serverist, tagades võrgu normaalse töö. Käivitage järgmised käsud globaalses konfiguratsioonirežiimis.
|
Käsk |
Eesmärk |
| ip dhcp-relay nuhkimine andmebaasi agent IP-aadress | Konfigureerib liidese sidumise varundamiseks mõeldud TFTP-serveri IP-aadressi. |
| no ip dhcp-relay nuhkimine andmebaasi agent | Tühistab liidese sidumise varundamiseks mõeldud TFTP-serveri. |
Konfigureerimine a File Liidese sidumise varukoopia nimi
Liidese sidumise suhte varundamisel vastav filenimi salvestatakse TFTP serverisse. Sel viisil saavad erinevad lülitid varundada oma liidese sidumissuhteid samasse TFTP-serverisse.
Käivitage järgmised käsud globaalses konfiguratsioonirežiimis
|
Käsk |
Eesmärk |
| ip dhcp-relee nuhkimine db-file nimi | Konfigureerib a file liidese sidumise varukoopia nimi. |
| no ip dhcp-relee nuhkimine db-file | Tühistab a file liidese sidumise varukoopia nimi. |
Liidese sidumise varukoopia kontrollimise intervalli konfigureerimine
MAC-IP sidumise suhe liidesel muutub dünaamiliselt. Seetõttu peate kontrollima, kas sidumissuhet värskendatakse pärast teatud ajavahemikku. Kui sidumissuhet värskendatakse, tuleb see uuesti varundada. Vaikimisi on intervall 30 minutit
|
Käsk |
Eesmärk |
| ip dhcp-relee nuhkimine kirjuta nr | Seadistab liidese sidumise varukoopia kontrollimise intervalli. |
| no ip dhcp-relay nuhkimine kirjutada | Jätkab liidese sidumise varukoopia kontrollimise intervalli vaikesätetega. |
Liidese sidumise käsitsi konfigureerimine
Kui host ei saa aadressi DHCP kaudu, saate lisada sidumisüksuse lüliti liidesele, et võimaldada hostil võrgule juurdepääs. Vastavast sidumisloendist üksuste kustutamiseks saate käivitada IP-allika sidumiseta MAC IP. Pange tähele, et käsitsi konfigureeritud sidumisüksustel on kõrgem prioriteet kui dünaamiliselt konfigureeritud sidumisüksustel. Kui käsitsi konfigureeritud sidumisüksusel ja dünaamiliselt konfigureeritud sidumisüksusel on sama MAC-aadress, värskendab käsitsi konfigureeritud sidumisüksus dünaamiliselt konfigureeritud. Liidese sidumisüksus võtab kordumatu indeksina MAC-aadressi. Käivitage järgmised käsud globaalses konfiguratsioonirežiimis.
|
Käsk |
Eesmärk |
| IP-allika sidumine MAC IP liides nimi | Konfigureerib liidese sidumise käsitsi. |
| IP-allika sidumine puudub MAC IP | Tühistab liidese sidumise üksuse. |
L2 Switch DHCP-pakettide edastamine
Järgmist käsku saab kasutada DHCP-pakettide edastamiseks määratud DHCP-serverisse, et realiseerida DHCP-relee. Selle käsu negatiivset vormi saab kasutada DHCP-relee väljalülitamiseks.
Märkus: seda käsku saab kasutada ainult DHCP-relee lubamiseks L2-lülititel, samas kui L3-lülititel teostab DHCP-relee DHCP-server. Käivitage järgmised käsud globaalses konfiguratsioonirežiimis
|
Käsk |
Eesmärk |
| ip dhcp-relee agent | Lubab DHCP relee. |
| ip dhcp-relee abistaja aadress aadress vlan vlan-id | Seadistab relee sihtkoha aadressi ja VLAN-i. |
DHCP-nuhkimise jälgimine ja hooldamine
Käivitage järgmised käsud EXEC-režiimis
|
Käsk |
Eesmärk |
| näita ip dhcp-relee nuhkimist | Kuvab teavet DHCP-nuhkimise konfiguratsiooni kohta. |
| näita ip dhcp-relee nuhkimisköitmist | Kuvab liidese tõhusad aadresside sidumise üksused. |
| näita ip dhcp-relee nuhkimine siduv kõik | Kuvab kõik siduvad üksused, mis on loodud DHCP nuhkimisega. |
| [ ei ] siluda ip dhcp-relee [ nuhkimine | siduv |
sündmus ] |
Lubab või keelab DHCP-relee nuhkimise lüliti. |
Järgnevalt kuvatakse teave DHCP nuhkimiskonfiguratsiooni kohta.
switch#show ip dhcp-relay snooping ip dhcp-relay nuhkimine vlan 3 ip arp kontroll vlan 3 DHCP Nuhkimine usaldusliides: FastEthernet0/1 ARP Kontrolli liidest: FastEthernet0/11 switch#show ip IP dhcp-relay Hardware timedderoadrelee aadressid ei jää Tüüp VLAN-liides 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 FastEthernet0/3 Järgnevalt kuvatakse kogu sidumisteave dhcp-relee nuhkimise kohta switch#show ip dhcp-relay snooping aadress aadressi sidumine kõik aadressi Hard-relay snooping aadress Tüüp VLAN-liides 00-e0-0f-32-1c-59 192.2.2.1 lõpmatu MANUAL 1 FastEthernet0/2 00-e0-0f-26-23-89 192.2.2.101 86400 DHCP_SN 3 0 FastEthernet järgmine teave näitab the/3d hc2p -relee nuhkimine. switch#debug ip DHCP-nuhkimispakett DHCPR: võta vastu l3 pakett vlan 3-st, diID: 277 DHCPR: DHCP pakett len 0 DHCPR: lisa side liidesele FastEthernet3/2 DHCPR: saada pakett jätka DHCPR: võta vastu l3 pakett vlan 1-st, diID : 300 DHCPR: DHCP pakett len 2 DHCPR: paketi saatmine jätka DHCPR: 3 paketi vastuvõtmine vlan 3-st, diID: 289 DHCPR: DHCP pakett len 2 DHCPR: paketi saatmine jätka DHCPR: 3 paketi vastuvõtmine vlan 1-st, diID: 300 DHCPR: DHCP pakett len 0 DHCPR: värskenduse sidumine liidesel FastEthernet3/192.2.2.101 DHCPR: IP-aadress: 86400, rendiaeg XNUMX sekundit DHCPR: paketi saatmine jätka
ExampDHCP-nuhkimise konfiguratsioonist
Võrgu topoloogia on näidatud joonisel 1.
- Lubage DHCP nuhkimine VLAN-is 1, mis ühendab privaatvõrgu A. Switch_config# ip dhcp-relay nuhkimine Switch_config#ip dhcp-relay nuhkimine vlan 1
- Luba DHCP nuhkimine VLAN 2-s, mis ühendab privaatvõrku B. Switch_config# ip dhcp-relay nuhkimine Switch_config# ip dhcp-relay nuhkimine vlan 2
- Määrab liidese, mis ühendab DHCP-serveri DHCP-d usaldava liidesega. Switch_config_f0/1# dhcp nuhkimisusaldus
Dokumendid / Ressursid
 |
FS S5500 DHCP-nuhkimise konfiguratsioon [pdfKasutusjuhend S5500 DHCP-nuhimise konfiguratsioon, DHCP-nuhimise konfiguratsioon, nuhkimise konfiguratsioon, 48T8SP |
