DHCP SNOOPING总结.docVIP

DHCP SNOOPING总结 在cisco设备中的配置在cisco网络环境下，boot request在经过了启用DHCP SNOOPING特性的设备上时，会在DHCP数据包中插入option 82的选项（具体见RFC3046）这个时候，boot request中数据包中的gateway ip address:为全0，所以一旦dhcp relay 设备检测到这样的数据包，就会丢弃。虽然dhcp s nooping是用来防止非法的dhcp server接入的，但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的，防止非法的ARP请求。认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的，里面包括是正确的arp信息。如果这个时候有arp攻击信息，利用ARP inspection技术就可以拦截到这个非法的arp数据包。其实利用这个方法，还可以防止用户任意修改IP地址，造成地址冲突的问题。ip dhcp excluded-address 00 20? ? 不由dhcp分配的地址!ip dhcp pool main? ?? ?定义地址池? ???network ? ?? ? 定义地址池做用的网段及地址范围? ???default-router ? ?? ?定义客户端的默认网关? ???domain-name ? ?? ???定义客户端所在域? ???netbios-node-type h-node? ???//为客户机配置节点模式（影响名称解释的顺利,如h-node等于先通过wins服务器解释）? ???dns-server 1? ?? ???定义客户端的dns? ???lease 7? ?? ?定义地址租约时间为7天ip dhcp snooping? ?? ?打开dhcp snooping功能ip dhcp snooping vlan 10-12,101-108,315? ???定义snooping作用的vlanip dhcp snooping database flash:dhcp-snooping.db? ?? ?将绑定表保存在flash中,避免重启设备后,重新绑定ip arp inspection vlan 10-12,101-108,315? ? 定义arp inspection 作用的vlan,它是根据dhcp snooping binding表做判断的ip arp inspection validate src-mac dst-mac ip? ???侦测有效客户端须满足src-mac dst-mac ip 均无错ip arp inspection log-buffer entries 1024 inspection 日志大小ip arp inspection log-buffer logs 1024 interval 300? ???inspection 日志刷新时间,interval太小会占用大量cpu时间!!!errdisable recovery cause udlderrdisable recovery cause bpduguarderrdisable recovery cause security-violationerrdisable recovery cause channel-misconfigerrdisable recovery cause pagp-flaperrdisable recovery cause dtp-flaperrdisable recovery cause link-flaperrdisable recovery cause gbic-invaliderrdisable recovery cause l2ptguarderrdisable recovery cause psecure-violationerrdisable recovery cause dhcp-rate-limiterrdisable recovery cause unicast-flooderrdisable recovery cause vmpserrdisable recovery cause arp-inspectionerrdisable recovery interval 30在开始应用Dynamic ARP Inspec