思科交换机dhcp配置命令介绍【详细讲解】

这里主要讲解思科交换机的dhcp配置命令及相关内容。我们先了解一下网络拓扑，然后解释一下，再分析一下配置的代码和命令。

Cisco交换机配置DHCPI.网络拓扑

思科交换机配置DHCPII。描述

1.拓扑描述:汇聚层交换机是CATALYST4506，核心交换机是CATALYST6506，接入层交换机是CATALYST2918。406上启用IPDHCPSNOOPING和DAI和IPSG，4506上下游端口配置为中继；在606上配置VLAN路由和DHCP服务器；918配置基于端口VLAN。

2.DHCP窥探就像防火墙一样，工作在不可信端口(连接到主机或网络设备)和可信端口(连接到DHCP服务器或网络设备)之间。它的DHCPSNOOPING绑定数据库保存MAC地址、IP地址、租用时间、绑定类型、VLAN号和接口信息，但是不保存连接到可信端口的设备的信息；在交换机上开启IPDHCPSNOOPING后，接口将工作在二层桥接状态，拦截和保护发往二层VLAN的DHCP报文；在VLAN上打开IPDHCP侦听后，交换机将在同一个VLAN域中以第2层桥接状态工作。

3.Cisco交换机在全局配置模式下启动IPDHCPSNOOPING后，所有端口默认为DHCPSNOOPING不可信模式，不可信端口收到的DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY报文将被丢弃；信任端口正常接收和转发，无需监控。

4.重新加载或重启交换机后，DHCP侦听绑定数据库将会丢失。因此，该表应该保存在交换机的闪存中或TFTP服务器中，以便交换机在重新加载或重启后可以从中读取信息，并再次形成DHCPSNOOPING绑定数据库。例如，以下命令:renewIPDHCPsnoopdataTFTP://192.169.200.1/snooping.dat。

5.Cisco交换机在全局配置模式下打开IPDHCP侦听后，所有DHCP中继信息选项功能都将关闭。

6.根据思科的英文资料，据说在汇聚层交换机开启DHCPSNOOPING后，当其下方连接了一个内嵌DHCPoption-82信息的边缘交换机，且下游端口为不可信端口时，汇聚层交换机会丢弃从该端口接收到的带有option-82信息的DHCP报文；但是，当汇聚层交换机上的IPDHCPsnoopinginformationoptionallow-untrusted功能打开时，虽然连接到边缘交换机的端口仍然是一个不可信端口，但它可以正常地从该端口接收带有option-82信息的DHCP消息。

根据以上分析，我理解如下。不知道对不对:Cisco交换机在全局配置模式下开启IPDHCPSNOOPING后，所有端口默认都是DHCPSNOOPING不可信模式，但是默认开启了DHCPSNOOPING信息选项功能。此时，当DHCP消息到达一个不可信的监听端口时，它们将被丢弃。因此，必须在4506中配置IPDHCP侦听信息选项allow-untrustedcommand(默认为off),以允许4506从DHCP侦听不可信端口接收带有选项82的DHCP请求消息。建议关闭交换机上的DHCP信息选项，即在全局配置模式下没有IPDHCP窥探信息选项。

7.对于允许手动配置参数(如IP地址)的客户端，您可以手动将绑定条目添加到DHCP侦听绑定数据库。IPsnoopingbinding00d0.2bd0.d80a222.25.77.100100接口GIG1/1expiry600表示手动添加一个绑定条目，MAC地址为00d0.2BD0.d80a，IP地址为222.25.77.100，接入端口为GIG1/1，租期为600秒。

8.IPSG(IPSOURCEGUARD)是一个基于DHCPSNOOPING功能的IP源绑定表，只在二层端口上工作。启用IPSG的端口将检查所有收到的IP数据包，并且只转发与此绑定表中的条目匹配的IP数据包。默认情况下，IPSG仅根据源IP地址过滤IP数据包。如果增加了以源MAC地址为条件的过滤，必须开启DHCP监听信息选项82功能。

9.DAI，动态ARP检查，也是基于DHCPSNOOPING绑定数据库，分为可信和不可信端口。DAI只检测不可信端口的ARP报文，可以拦截、记录和丢弃与SNOOPING绑定中IP地址到MAC地址映射条目不一致的ARP报文。如果不使用DHCP侦听，需要手动配置ARPACL。

思科交换机配置DHCPIII。配置

1、2918

开关#配置终端//全局配置模式

交换机(配置)#接口范围fa0/1-12

交换机(配置if范围)#交换机端口接入vlan100

交换机(config-if-range)#接口范围fa0/13-24

交换机(配置中频范围)#交换机端口接入vlan200

交换机(config-if-range)#interfaceg0/1//连接到4506端口

Switch(config-if)#//您可以手动配置TRUNK，而不是在这里配置。

2、4506

开关#配置终端

交换机(配置)#vtp版本2

交换机(配置)#vtp模式客户端

交换机(配置)#vtp域gzy

交换机(配置)#vtp口令gzy123

交换机(配置)#vlan100

交换机(配置)#vlan200

switch(config)#IPdhcpsnooping//打开交换机的DHCPsnooping功能

交换机(配置)#IPdhcp侦听VLAN100，200//在VLAN100和200中打开dhcp侦听

switch(config)#noIPDHCPsnoopinginformationoption//禁止在DHCP报文中嵌入和删除option82信息

交换机(配置)#ipdhcp侦听数据库TFTP://192.168.200.1/snooping.dat

//将dhcp侦听数据库保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中

交换机(配置)#IPARP检查VLAN100，200//在VLAN100和200中打开DAI功能

交换机(配置)#IPARP检查验证src-MACIP//使用源MAC和IP检查ARP数据包是否合法

交换机(配置)#接口gig1/1//连接到6506端口

交换机(配置-if)#交换机端口中继封装dot1q

交换机(配置-if)#交换机端口模式中继

交换机(配置-if)#ipdhcp侦听信任

交换机(配置-if)#iparp检查信任

交换机(config-if)#interfacegig2/2//下行端口2918

交换机(配置-if)#交换机端口中继封装dot1q

交换机(配置-if)#交换机端口模式中继

交换机(配置-if)#iparp检查限制无

交换机(配置-if)#ip验证源vlandhcp侦听

开关(配置-if)#结束

开关(配置)#复制运行开始

思科交换机配置DHCPIV。评论

我越来越懒，基本就是这样。606上的配置没有写。很简单。因为2918不支持以上功能，所以只能在4506上做，但之后这些功能只能在4506下连接2918的端口上启用，无法防止2918上的作弊。没办法。思科的做法很奇怪。现在国内很多厂商的接入层交换机都可以实现这些功能，比如魁地奇、H3C、神州数码、锐捷等等。由于水平有限，请高手指正。