大家好,欢欢来为大家解答以上问题,思科交换机配置命令详解,思科交换机配置命令很多人还不知道,现在让我们一起来看看吧!
这里主要讲解思科交换机的dhcp配置命令及相关内容。我们先了解一下网络拓扑,然后解释一下,再分析一下配置的代码和命令。
Cisco交换机配置DHCP I .网络拓扑
思科交换机配置DHCP II。描述
1.拓扑描述:汇聚层交换机是CATALYST4506,核心交换机是CATALYST6506,接入层交换机是CATALYST2918。406上启用IP DHCP SNOOPING和DAI和IPSG,4506上下游端口配置为中继;在606上配置VLAN路由和DHCP服务器;918配置基于端口VLAN。
2.DHCP窥探就像防火墙一样,工作在不可信端口(连接到主机或网络设备)和可信端口(连接到DHCP服务器或网络设备)之间。它的DHCP SNOOPING绑定数据库保存MAC地址、IP地址、租用时间、绑定类型、VLAN号和接口信息,但是不保存连接到可信端口的设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,拦截和保护发往二层VLAN的DHCP报文;在VLAN上打开IP DHCP侦听后,交换机将在同一个VLAN域中以第2层桥接状态工作。
3.Cisco交换机在全局配置模式下启动IP DHCP SNOOPING后,所有端口默认为DHCP SNOOPING不可信模式,不可信端口收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收和转发,无需监控。
4.重新加载或重启交换机后,DHCP侦听绑定数据库将会丢失。因此,该表应该保存在交换机的闪存中或TFTP服务器中,以便交换机在重新加载或重启后可以从中读取信息,并再次形成DHCP SNOOPING绑定数据库。比如下面这个命令:renew IP DHCP snoop data TFTP 3360//192 . 169 . 200 . 1/snooping . dat
5.Cisco交换机在全局配置模式下打开IP DHCP侦听后,所有DHCP中继信息选项功能都将关闭。
6.根据思科的英文资料,据说在汇聚层交换机开启DHCP SNOOPING后,当其下方连接了一个内嵌DHCP option-82信息的边缘交换机,且下游端口为不可信端口时,汇聚层交换机会丢弃从该端口接收到的带有option-82信息的DHCP报文;但是,当汇聚层交换机上的IP DHCP snooping information option allow-untrusted功能打开时,虽然连接到边缘交换机的端口仍然是一个不可信端口,但它可以正常地从该端口接收带有option-82信息的DHCP消息。
根据以上分析,我理解如下。不知道对不对:Cisco交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认都是DHCP SNOOPING不可信模式,但是默认开启了DHCP SNOOPING信息选项功能。此时,当DHCP消息到达一个不可信的监听端口时,它们将被丢弃。因此,必须在4506中配置IP DHCP侦听信息选项allow-untrusted command(默认为off ),以允许4506从DHCP侦听不可信端口接收带有选项82的DHCP请求消息。建议关闭交换机上的DHCP信息选项,即在全局配置模式下没有IP DHCP窥探信息选项。
7.对于允许手动配置参数(如IP地址)的客户端,您可以手动将绑定条目添加到DHCP侦听绑定数据库。IP snooping binding 00d0.2bd0.d80a 222.25.77.100 100接口GIG1/1 expiry 600表示手动添加一个绑定条目,MAC地址为00d 0.2 BD 0 . d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期为600秒。
8.IPSG (IP SOURCE GUARD)是一个基于DHCP SNOOPING功能的IP源绑定表,只在二层端口上工作。启用IPSG的端口将检查所有收到的IP数据包,并且只转发与此绑定表中的条目匹配的IP数据包。默认情况下,IPSG仅根据源IP地址过滤IP数据包。如果增加了以源MAC地址为条件的过滤,必须开启DHCP监听信息选项82功能。
9、戴即动态的
思科交换机配置DHCP三、配置
1、2918
Switch# configure terminal //全局配置模式
Switch(config)# interface range fa0/1 - 12
Switch(config-if-range)# switchport access vlan 100
Switch(config-if-range)# interface range fa0/13 - 24
Switch(config-if-range)# switchport access vlan 200
Switch(config-if-range)# interface gig0/1 //上连4506的端口
Switch(config-if)# //这里可不做配置,也可手工配置TRUNK
2、4506
Switch# configure terminal
Switch(config)# vtp version 2
Switch(config)# vtp mode client
Switch(config)# vtp domain gzy
Switch(config)# vtp password gzy123
Switch(config)# vlan 100
Switch(config)# vlan 200
Switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能
Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能
Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文中嵌入和删除option 82信息
Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat
//将dhcp snooping database保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中
Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能
Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法
Switch(config)# interface gig1/1 //上连6506的端口
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust
Switch(config-if)# interface gig2/2 //下连2918的端口
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# ip arp inspection limit none
Switch(config-if)# ip verify source vlan dhcp-snooping
Switch(config-if)# end
Switch(config)# copy run start
思科交换机配置DHCP四、备注
写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功能,比如Quidway、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。
本文讲解完毕,希望对大家有所帮助。