整体拓扑
背景:
生产环境中,最基础的网络安全配置就是DHCP动态IP获取的问题,由于个人家用路由器价格便宜,很多用户为了自身上网方便,在办公室的内网接入线路桥接一个家用路由,但是这种路由器的内网口配置自动开启DHCP功能,如果将有线网接入线路,接到了家用路由设备的内网口(LAN)口,则会造成内网环境中有多个DHCP SERVER,从而冲突,影响网络。全网配置DHCP SNOOPING功能,则即便出现了这种情况。会屏蔽所有的家用路由设备的DHCP。从而增加了整体网络稳定性。
提示下面两张小图是为了加深理解,最终配置还是在整体拓扑网络的设备上配置。
DHCP Relay(DHCP中继)介绍
简单拓扑:
DHCP RelayAgent(也叫做DHCP中继代理)是一个小程序,实现在不同子网和物理网段之间处理和转发dhcp信息的功能。
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。
DHCP snooping配置
本章组网示意图:
配置注意:
DHCP SERVER配置注意:
DHCP服务器的位置一般放置在核心交换机,无线控制器,单独的DHCP服务器。
演示锐捷核心交换机DHCP服务器配置
演示H3C无线控制器 DHCP服务器配置
DHCP snooping配置注意:
DHCP snooping在所有交换设备间进行配置。
全局模式开启SNOOPING,则所有接口就默认是非信任端口。
连接DHCP服务器的接口要设置成信任端口。
在核心交换机上配置DHCP服务器,不用配置信任端口。
DHCP Relay (DHCP中继)配置
H3C DHCP server 配置
要有互联VLAN4094
Inter vlan 4094
Ip add 172.16.2.1 24
dhcp server ip-pool 40
gateway-list 192.168.40.254
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.114.114
Ip route 0.0.0.0 0 172.16.2.254
锐捷DHCP Relay配置
ip helper-address 172.16.2.1
Inter vlan 4094
Ip address 172.16.2.254 255.255.255.0
锐捷DHCP server配置
Service dhcp
ip dhcp pool vlan60
network 192.168.60.0 255.255.255.0
dns-server 114.114.114.114
default-router 192.168.60.254
H3C DHCP server 配置
要有相应的VLAN接口地址
dhcp server ip-pool 40
gateway-list 192.168.40.254
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.114.114
锐捷DHCP snooping 配置
全局模式
ip dhcp snooping
接口模式
interface gigabitEthernet 2/0/7
ip dhcp snooping trust
H3C DHCP snooping 配置
全局模式
dhcp-snooping
接口模式
interface gigabitEthernet 2/0/7
Dhcp-snooping trust
标签:snooping,05,ip,配置,192.168,dhcp,DHCP,SNOOPING From: https://blog.csdn.net/king01299/article/details/142298365