溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
配置思路
1.使能DHCP Snooping功能。
2.配置接口的信任狀態,以保證客戶端從合法的服務器獲取IP地址。
3.使能ARP與DHCPSnooping的聯動功能,保證DHCP用戶在異常下線時實時更新綁定表。
4.使能根據DHCP Snooping綁定表生成接口的靜態MAC表項功能,以防止非DHCP用戶***。
5.使能對DHCP報文進行綁定表匹配檢查的功能,防止仿冒DHCP報文***。
6.配置DHCP報文上送DHCP報文處理單元的最大允許速率,防止DHCP報文泛洪***。
7.配置允許接入的最大用戶數以及使能檢測DHCP Request
操作步驟
1.使能DHCP Snooping功能。
[SwitchC] dhcp enable
[SwitchC]dhcp snooping enable
2.使能用戶側接口的DHCP Snooping功能。
[SwitchC] dhcp snooping enable vlan 1 to 100(或直接在接口啟用如下)
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable
3.配置接口的信任狀態:將連接DHCP Server的接口狀態配置為“Trusted”。接dhcp的端口和交換機級聯端口需要配置
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3]dhcp snooping trusted
4.使能ARP與DHCPSnooping的聯動功能。
[SwitchC]arp dhcp-snooping-detect enable
5.使能對DHCP報文進行綁定表匹配檢查的功能。
[SwitchC] interface gigabitethernet0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable
6.配置DHCP報文上送DHCP報文處理單元的最大允許速率為10pps。
[SwitchC] dhcp snooping check dhcp-rate enable
[SwitchC] dhcp snooping check dhcp-rate 10
7.配置接口允許接入的最大用戶數。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 2
8.配置丟棄報文告警和報文限速告警功能。
# 使能丟棄報文告警功能,并配置丟棄報文告警閾值。以GE0/0/1接口為例,GE0/0/2的配置相同
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC] dhcp snooping alarm dhcp-rate enable
[SwitchC] dhcp snooping alarm dhcp-rate threshold 10
[SwitchC] dhcp snooping check user-bind enable
[SwitchC] dhcp snooping check mac-address enable 使能檢查DHCPRequest報文頭中MAC地址的功能
驗證配置結果
display dhcp snooping configuration 查看DHCP Snooping的配置信息。
display dhcp snooping interface 查看接口下的DHCP Snooping運行信息。
reset dhcpsnooping user-bind vlan | interface | * 復位DHCPSnooping綁定表
dhcp snoopinguser-bind autosave file-name 備份DHCPSnooping綁定表。
arp anti-attackcheck user-bind enable
arp anti-attackcheck user-bind alarm enable
arp anti-attackcheck user-bind alarm threshold 10
arp anti-attackcheck user-bind check-item mac-address
ip source checkuser-bind enable 啟用ip源防護
ip source checkuser-bind check-item { ip-address |mac-address | vlan }* 配置IP報文檢查項
ip source checkuser-bind alarm enable 使能IP報文檢查告警功能。
ip source checkuser-bind alarm threshold threshold 配置IP報文檢查告警閾值缺省100。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
