這里我們主要講解了思科交換機配置DHCP的相關內容。我們對網(wǎng)絡拓撲先進行一下了解，然后對于其在進行一下說明，之后對于配置的代碼和命令再進行一下解析。

思科交換機配置DHCP一、網(wǎng)絡拓撲

思科交換機配置DHCP二、說明

1、拓撲說明：匯聚層交換機為CATALYST4506，核心交換機為CATALYST6506，接入層交換機為CATALYST2918。4506上啟用IP DHCP SNOOPING和DAI以及IPSG，4506上連和下連的端口均配置為TRUNKING；6506上配置VLAN路由和DHCP服務器；2918配置基于端口的VLAN。

2、DHCP SNOOPING就像一個工作在非信任端口（連接主機或網(wǎng)絡設備）和信任端口（連接DHCP SERVER或者網(wǎng)絡設備）之間的防火墻，其DHCP SNOOPING BINDING DATABASE中保存著非信任端口下所連設備的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息，但不保存信任端口所連設備的信息；在交換機上開啟IP DHCP SNOOPING后，接口將工作在二層橋接狀態(tài)，截取和保護通往二層VLAN的DHCP消息；在VLAN上開啟IP DHCP SNOOPING后，交換機將工作在同一個VLAN域內的二層橋接狀態(tài)。

3、思科交換機在全局配置模式下開啟IP DHCP SNOOPING后，所有端口默認處于DHCP SNOOPING UNTRUSTED模式下，非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY報文將被丟棄；信任端口正常接收轉發(fā)，不進行監(jiān)測。

4、交換機在RELOAD或重啟后會丟失DHCP SNOOPING BINDING數(shù)據(jù)庫，因此要將此表保存在交換機的FLASH或者保存在一個TFTP服務器中，使交換機在RELOAD或重啟后可以從中讀取信息，重新形成DHCP SNOOPING BINDING數(shù)據(jù)庫。比如下面這條命令：renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

5、思科交換機在全局配置模式下開啟IP DHCP SNOOPING后，所有的DHCP RELAY INFORMATION OPTION功能全部關閉。

6、根據(jù)思科的英文資料來看，說一個匯聚層交換機開啟DHCP SNOOPING后，當其下連一個具有嵌入DHCP option-82 information的邊緣交換機，且下連端口為非信任端口時，匯聚層交換機將丟棄從此端口接收到的具有option-82 information的DHCP報文；但當在匯聚層交換機上開啟IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后，此時下連邊緣交換機的端口雖然仍為非信任端口，但可以正常從此端口接收具有option-82 information的DHCP報文。

根據(jù)上面的分析，我理解如下，不知道對不對：思科交換機在全局配置模式下開啟IP DHCP SNOOPING后，所有端口默認處于DHCP SNOOPING UNTRUSTED模式下，但DHCP SNOOPING INFORMATION OPTION功能默認是開啟的，此時DHCP報文在到達一個SNOOPING UNTRUSTED端口時將被丟棄。因此，必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令（默認關閉），以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報文。建議在交換機上關閉DHCP INFORMATION OPTION，即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

7、對于允許手工配置IP地址等參數(shù)的客戶端，可以手工添加綁定條目到DHCP SNOOPING BINDING數(shù)據(jù)庫中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a，IP地址為222.25.77.100，接入端口為GIG1/1，租期時間為600秒的綁定條目。

8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎上，形成IP SOURCE BINDING表，只作用在二層端口上。啟用IPSG的端口，會檢查接收到所有IP包，只轉發(fā)與此綁定表的條目相符合的IP包。默認IPSG只以源IP地址為條件過濾IP包，如果加上以源MAC地址為條件過濾的話，必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。

9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎的，也區(qū)分為信任和非信任端口，DAI只檢測非信任端口的ARP包，可以截取、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關系條目不符的ARP包。如果不使用DHCP SNOOPING，則需要手工配置ARP ACL。

思科交換機配置DHCP三、配置

1、2918

Switch# configure terminal //全局配置模式

Switch(config)# interface range fa0/1 - 12

Switch(config-if-range)# switchport access vlan 100

Switch(config-if-range)# interface range fa0/13 - 24

Switch(config-if-range)# switchport access vlan 200

Switch(config-if-range)# interface gig0/1 //上連4506的端口

Switch(config-if)# //這里可不做配置，也可手工配置TRUNK

2、4506

Switch# configure terminal

Switch(config)# vtp version 2

Switch(config)# vtp mode client

Switch(config)# vtp domain gzy

Switch(config)# vtp password gzy123

Switch(config)# vlan 100

Switch(config)# vlan 200

Switch(config)# ip dhcp snooping //開啟交換機的dhcp snooping功能

Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中開啟dhcp snooping功能

Switch(config)# no ip dhcp snooping information option //禁止在DHCP報文中嵌入和刪除option 82信息

Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

//將dhcp snooping database保存在tftp服務器（IP地址192.168.200.1）的snooping.dat文件中

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中開啟DAI功能

Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP檢測ARP包是否合法

Switch(config)# interface gig1/1 //上連6506的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip arp inspection trust

Switch(config-if)# interface gig2/2 //下連2918的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip arp inspection limit none

Switch(config-if)# ip verify source vlan dhcp-snooping

Switch(config-if)# end

Switch(config)# copy run start

思科交換機配置DHCP四、備注

寫到后面越來越懶了，基本上就是這樣了。6506上的配置不寫了，很簡單。因為2918不支持上述功能，因此只能在4506上做，但這樣就只能在4506下連2918的端口上來啟用這些功能，在2918上發(fā)生的欺騙就無法防止了。沒辦法，思科的做法很奇怪?，F(xiàn)在很多國內廠家的接入層交換機都可以實現(xiàn)這些功能，比如Quidway、H3C、神洲數(shù)碼、銳捷等。由于水平有限，寫的不對的地方請高手指正。