当DHCP客户机和DHCP服务器不在同一个网段时,由DHCP中继传递DHCP报文。增加DHCP中继功能的好处是不必为每个网段都设置DHCP服务器,同一个DHCP服务器可以为很多个子网的客户机提供网络配置参数,即节约了成本又方便了管理。这就是DHCP中继的功能。
通过设置 DHCP Snooping防止恶意用户伪装DHCP Server。
实验拓扑图如下所示
在交换机A上划分两个基于端口的VLAN:VLAN10,VLAN100。
交换机B恢复出厂设置,不作任何配置。服务器的地址为10.1.157.1/24,DHCP服务器的地址池中的地址范围为:192.168.10.2/24-192.168.10.100/24。
| VLAN |
IP |
端口成员 |
| 10 |
192.168.10.1/24 |
1 |
| 100 |
10.1.157.100/24 |
24 |
操作步骤:
步骤1:在交换机A上创建vlan10和vlan100。并根据表添加相应端口。
步骤2:在交换机A上根据表给交换机VLAN10和VLAN100设置IP地址。
步骤3:在交换机A上配置DHCP中继。
switchA(Config)#service dhcp //启用dhcp服务
switchA(Config)#ip forward-protocol udp bootps //转发udp协议
switchA(Config)#interface vlan 10 //进入vlan10接口
switchA(Config-If-Vlan10)#ip helper-address 10.1.157.1 //指定dhcp服务器地址
第四步:验证实验,其它客户端上可以获取到IP地址。
第五步:在交换机B上通过设置 DHCP Snooping防止恶意用户伪装DHCP Server。
SwitchB(Config)#ip dhcp snooping enable
SwitchB(Config)#ip dhcp snooping binding enable
SwitchB(Config)#interface ethernet 0/0/1-2
SwitchB(config-if-port-range) #ip dhcp snooping trust
//DHCP服务器连接端口需设置为Trust
SwitchB(config-if-port-range)#exit
DHCP Snooping功能:
实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。
1 功能优点:被动侦听,自动绑定,对信息点数量没有要求,适用于IP地址动态分配环境下广泛实施。
2 功能缺点:IP地址静态环境下,需要手工添加绑定关系,配置量较大。