Cisco 解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

科学技术创新2020.30如何解决无线局域网内伪造DHCP 服务器攻击How to solve the attack of forging DHCP server in WLAN唐磊（重庆三峡职业学院信息化建设办公室，重庆404155）1概述我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达，请稍后认证”，无法认证上网。

使用ping 命令检查网络连通性，发现该办公楼的网关地址正常连通，但获取的DNS 地址为192.168.1.1，导致无法通过认证。

手动配置计算机的IP 地址为192.168.1.250，网关地址为192.168.1.1，在浏览器中输入http://192.168.1.1，可以访问无线路由器的管理界面（如图1所示）。

将计算机的DNS 地址配置为61.128.128.68，能正常认证上网，因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP 服务器攻击所致。

图1路由器管理界面2问题原因分析产生上述问题的原因是：客户机通过广播方式发送DHCP 请求寻找DHCP 服务器，DHCP 服务器接收到客户机的IP 租约请求时，同时提供IP 租约给客户机。

客户机收到IP 租约时，同时发送DHCPREQUEST 消息。

当DHCP 服务器收到消息后，同时完成DHCP 分配。

由于局域网中同时存在多个DHCP 服务器，所有DHCP 服务器都收到计算机发送的DHCP 请求，互相争夺DHCP 提供权，导致计算机获取到伪装DHCP 服务器的IP 地址，从而无法上网。

3解决方法对于伪造DHCP 服务器，本文采用的解决方法步骤如下：第一步：在故障电脑上命令提示符中输入arp -a 命令，在出现的IP 地址与物理地址列表信息中，查找到IP 地址192.168.1.1的物理地址为be-5f-f6-01-a8-12，此物理地址为路由器所对应的硬件MAC 地址。

如图2所示。

第二步：使用telnet 命令登录AC ，通过display wlan client |in be5f-f601-a812命令查看该无线路由器接入的AP ，命令执行如下：be5f-f601-a812N/A e-4f-410-sh...2192.168.1.12001再次使用命令display wlan ap all address |in e-4f-410-sh ，可知该无线路由器通过名称为e-4f-410-shiwai 的摘要：随着科技的飞速发展，传统的有线局域网（LAN ）已无法跟上科技发展的步伐，而无线局域网（WLAN ）给人们生活带来便利。

一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR 字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC 地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:现在用户真是不省心，自己改个IP地址;私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。

单靠交换机能管吗, 测试工程师:能～很多交换机上的小功能都可帮大忙。

测试实况:IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。

思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。

Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。

思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。

另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。

华硕虽然不能调整速率，但是也会限制DHCP请求的数量。

DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。

该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

在基于TCP,IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。

在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

• 51•随着网络规模扩大和拓扑结构的适当调整，IP地址更多的是以动态分配形式为主。

不过实际生活中存在许多的IP地址盗用、ARP 病毒攻击等现象，究其原因就是用户比较多、地理位置较为分散以及随机性太强，进而造成网络安全管理工作的巨大困扰。

本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。

21世纪以来，互联网技术日益更新，在为人们带来许多生活便利的同时，还隐藏着网络安全的隐患。

我们急需对网络安全情况引起重视，在享受网络的便利同时提高防范心理。

那么，如何解决这一安全问题呢？要始终坚持“安全第一，预防为主”的指导策略，做好前期防范工作和事中援救事宜，根据预测、分析与防治工作出具应急预案，将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上，提高应急处置能力，最大限度地减少网络安全危机的发生及其不良后果。

1 网络安全日常管理日常管理是网络安全工作的基础，改进平时的管理，必须不断增强安全防范意识：网络管理员和所有员工都要高度重视网络安全，时刻保持警觉，决不松懈，共同为网络筑起一道“防护墙”。

其日常管理有以下基本规则。

（1）要确保内部局域网和外网严格执行物理隔离。

对局域网中的每一个用户来说，在进入到局域网之前，系统必须进行补丁下载，并且在进入到局域网之前对病毒进行杀毒。

每台PC都要经过实名认证，并将IP地址和MAC地址相关联。

（2）要安装杀毒软件：每个网络服务器、电脑等设施对有关杀毒软件的配备上是具有必要性的，使用者在固定周期内进行软件升级和杀毒操作。

在紧急情况下，客户使用端口会被迫进行升级与杀毒操作。

（3）要做好密码设置工作：指定计算机设备，如局域网中连接外网的计算机服务器、门户网、网络服务器、远程服务器等，必须设置不同的登录密码，这一密码最好的设置是由数字、26个英文字母及标点符号构成，长度为12位数，定期删除和更换设备的登录密码。

cisco 设置dhcp服务器推荐文章怎么配置思科3620dhcp 热度： cisco3550如何配置DHCP中继热度： cisco dhcp服务器设置方法热度： cisco dhcp服务器设置热度： cisco3550怎么配置dhcp 热度：配置DHCO服务器是每个网管必须掌握的技术，那么cisco 重设置dhcp服务器？店铺整理了相关资料，供您参考。

拓扑如下：第一步：查看设备是否支持IOS DHCP Server功能一般的Cisco路由器或访问服务器，以及少部分安装有路由交换模块或多层交换功能卡的交换机都具有IOS DHCP Server功能。

如果还没有确认你的设备是否具备这一功能，那么，你可以按如下方法在命令行界面(CLI)下进行快速检测，步骤如下：2960>enablePassWord?2960#config t'进入配置模式Enter configuration commands? one per line.End with CNTL/Z.2960?config?#ip dhcp ?如果出现的是下面的信息，那么很遗憾，你的设备不支持IOS DHCP Server功能：% Unrecognized command如果支持DHCP Server功能，应该显示如下：anzhenoffice(config)#ip dhcp?dhcp dhcp-client dhcp-server第二步：在交换机上进行配置1.设置DHCP数据库代理DHCP数据库代理是用于存储DHCP绑定信息的一台主机，它可以是FTP、TFTP或者是RCP服务器。

当然，如有必要，你可以配置多个DHCP数据库代理。

同样，不配置DHCP数据库代理也是允许的，但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。

如果你不想配置数据库代理，你只要取消掉地址冲突日志的记录功能即可，操作命令如下：2960>enablePassword?'输入交换机的特权口令2960#config terminal'进入配置模式Enter configuration commands? one per line.End with CNTL/Z.2960?config?#no ip dhcp conflict logging '取消地址冲突记录日志2.设置不能用于动态分配的IP地址在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。

我校1＃学生公寓，PC拥有数量大约1000台。

采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。

由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP 分配的IP地址冲突。

以上两方面，均造成了该公寓楼大量主机无法正常访问网络。

经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic AR P Inspection两项技术，以保证网络的正常运行。

该公寓网络设备使用情况如下，接入层为××台 2950交换机上联至堆叠的4台 3750，再通过光纤上联至汇聚层的 3750交换机。

同时汇聚层的 3750交换机还兼做DHCP服务器。

部署过程 首先按如下过程配置DHCP Snooping 1 configure terminal 2 ip dhcp snooping 在全局模式下启用DHCP Snooping 3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping 4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled. 5 interface GigabitEthernet1/0/28，进入交换机的第28口 6 ip dhcp snooping trust 将第28口设置为受信任端口 7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限 9 end 退出 完成配置后，可用如下命令观察DHCP Snooping运行状况： show ip dhcp snooping 得到如下信息： Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs： Insertion of option 82 is enabled Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- GigabitEthernet1/0/22 yes unlimited GigabitEthernet1/0/24 yes unlimited GigabitEthernet1/0/27 yes unlimited GigabitEthernet1/0/28 no 500 show ip dhcp snooping binding，得到如下信息： MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ----------- 00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/2 8 00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28 00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28 10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28 00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28 00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28 00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28 00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28 接下来配置Dynamic ARP Inspection 1 show cdp neighbors 检查交换机之间的连接情况 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID ap Gig 1/0/23 149 T AIR-AP1230Fas 0 hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1 1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25 2 configure terminal 进入全局配置模式 3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection 4 interface GigabitEthernet1/0/28 进入第28端口 5 ip arp inspection trust 将端口设置为受信任端口 The switch does not check ARP packets that it receives from the other switc h on the trusted interface. It simply forwards the packets. 6 end 配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况 show arp access-list [acl-name] Displays detailed information about ARP ACL s. show ip arp inspection interfaces [interface-id] Displays the trust state a nd the rate limit of ARP packets for the specified interface or all interfaces. Interface Trust State Rate (pps) Burst Interval --------------- ----------- ---------- -------------- Gi1/0/21 Untrusted 15 1 Gi1/0/22 Trusted None N/A Gi1/0/23 Untrusted 15 1 Gi1/0/24 Trusted None N/A Gi1/0/25 Untrusted 15 1 Gi1/0/26 Untrusted 15 1 Gi1/0/27 Trusted None N/A Gi1/0/28 Untrusted None N/A show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switc h, for a specified VLAN, or for a range of VLANs. yql-2#-3750#sh ip arp inspection vlan 103 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 103 Enabled Active Vlan ACL Logging DHCP Logging ---- ----------- ------------ 103 Deny Deny 注意事项： DHCP Snooping l 在配置DHCP Snooping以前，必须确认该设备作为DHCP服务器。

IPSec与DHCP安全：保护动态分配的IP地址引言：在今天的数字时代，网络安全成为了世界各地组织和个人的重要问题。

随着计算机和网络的普及，IPSec（Internet Protocol Security）和DHCP（Dynamic Host Configuration Protocol）这两个技术变得越来越重要。

本文将探讨IPSec和DHCP的安全问题，并提供保护动态分配的IP地址的解决方案。

IPSec的概述：IPSec是一种用于保护IP数据包的安全协议，它提供了数据加密、认证和完整性保护的功能。

通过使用IPSec，可以确保数据在传输过程中不被窃听、篡改或伪造。

IPSec可以在网络层实现对数据的保护，因此可以保护整个网络交互过程中的数据。

DHCP的概述：DHCP是一种用于自动分配IP地址的协议。

在以前的网络中，IP地址需要手动配置，但这种方法不仅繁琐，而且难以管理。

DHCP通过自动分配IP地址、子网掩码、默认网关和DNS服务器等网络配置信息，使网络管理员的工作更加简化。

DHCP的安全性是保护动态分配的IP地址的重要方面。

IPSec的安全问题：虽然IPSec具有强大的安全功能，但在实际应用中存在一些安全问题。

其中之一是密钥管理的问题。

IPSec使用一对密钥来进行加密和解密，但如何安全地管理这些密钥是一个挑战。

此外，攻击者可能会尝试通过分析IPSec数据包来获取有关网络的信息。

解决IPSec安全问题的方法：为了解决密钥管理问题，可以使用密钥管理协议（Key Management Protocol，简称KMP）来安全地管理IPSec中使用的密钥。

KMP使用公钥密码学技术来提供密钥协商和分发的安全性。

此外，使用VPN（Virtual Private Network）可以将传输的数据进一步加密，确保数据的安全性。

DHCP的安全问题：DHCP在自动分配IP地址时存在一些安全问题。

攻击者可以利用DHCP服务器的漏洞，伪造IP地址或篡改网络配置信息。

cisco路由器上怎么配置DHCP服务cisco路由器上配置DHCP服务器的案例：例如某单位使用3620作为IOSDHCPServer，它和内网相连的fastethernet0端口的IP地址为192.168.1.4，二层机采用两台2950，三层机采用一台Cisco3550。

在整个网络中有二个VLAN，为简化描述，假设每个VLAN都采用24位网络地址，其中VLAN1的IP地址为192.168.1.254，VLAN2的IP地址为192.168.2.254。

在Cisco设备上实现IOSDHCPServer功能以使各VLAN中的主机自动获得IP地址。

如图：配置DHCP地址池、附加信息以及租约期限首先登陆到Cisco3640器上：ghq>enablePassword(输入器的特权口令)ghq#configterminal(进入配置模式)Enterconfigurationcommandsoneperline.EndwithCNTL/Z.ghq?config#ipdhcppoolglobal(配置一个根地址池，global是地址池的名称，你可以采用有意义的字符串来表示)ghqdhcp-config#network192.168.0.0255.255.0.0(动态分配的地址段)ghq?dhcp-config#(为客户机配置域后缀) ghq?dhcp-config#dns-server192.168.1.1(为客户机配置DNS)ghq?dhcp-config#netbios-name-server192.168.1.1(为客户机配置wins服务器)ghq?dhcp-config#netbios-node-typeh-node(为客户机配置h节点模式)ghq?dhcp-config#lease30(地址租用期为30天)ghq?dhcp-config#ipdhcppoolvlan1(为VLAN1配置地址池，本池是global池的子池，将从global继承域后缀、DNS服务器、wins服务器等参数)ghq?dhcp-config#network192.168.1.0255.255.255.0(VLAN1动态分配192.168.1这个网段内可以被分配的地址，没有被排除的地址)ghq?dhcp-config#default-router192.168.1.254(为客户机配置默认的网关，即VLAN1的IP地址)ghq?dhcp-config#ipdhcppoolvlan2(为VLAN2配置地址池，本池是global池的子池，将从global继承域后缀、DNS服务器、wins服务器等可继承的参数)ghq?dhcp-config#network192.168.2.0255.255.255.0ghq?dhcp-config#default-router192.168.2.254设置不能用于动态分配的IP地址在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。

CISCO DHCP技术应用大全DHCP基本知识点1 DHCP协议在RFC2131种定义，使用udp协议进行数据报传递，使用的端口是67以及68。

2 DHCP最常见的应用是，自动给终端设备分配ip地址，掩码，默认网关，但是DHCP也同样可以给终端设备自动配置其他options，比如DNS server, 域名（比如）,time zones, NTP servers 以及其他的配置内容，更有些厂家，利用自己开发的第3放软件，把自己的一些配置信息，利用dhcp协议来实现对终端设备的自动配置。

3 DHCP服务的系统最基本的构架是client/server模式，并且如果client 和server不再同一个2层网络内（即广播可以到达的网络范围），则必须要有能够透过广播报文的中继设备，或者能把广播报文转化成单播报文的设备（cisco的ios就引经了这种功能）There are three distinct element types in a DHCP network. There must be a client and a server. If these two elements are not on the same Layer 2 network, there also must be a proxy, which usually runs on the router. The proxy is needed because the client device initially doesn't know its own IP address, so it must send out a Layer 2 broadcast to find a server that has this information. The router must relay these broadcasts to the DHCP server, then forward the responses back to the correct Layer 2 address so that the right end device gets the right configuration information.4 CISCO的路由器（IOS12.0 T1以后），可以配置为dhcp的中继设备，DHCP的客户端设备，也可以配置为DHCP的服务器。

cisco dhcp服务器设置网络交换机的设置方法那是比较多的，要视具体情况而定，有不少网友不知道cisco dhcp服务器怎么设置?下面店铺为大家讲解具体设置方法，供你参考!cisco dhcp服务器设置具体操作配置DHCP服务器实例网络环境：一台2811路由，一台2950交换机，一台3560交换机，三台自动获取IP地址的PC。

划分三个vlan1,vlan2,vlan3。

拓扑如下配置命令及步骤如下：第一步：配置路由成为DHCP服务器1、设置地址池 /*有几个VLAN要设几个地址池，我们有3个vlan 所以要设3个地址池*//*第一个地址池*/Switch(Config)#ip dhcp pool test01/*建立地址池，test01为名称~~名字可自己设置Switch(Config-pool)#network 192.168.1.0 255.255.255.0/*此处为设置要分配的子网，可根据自己喜好设置Switch(Config-pool)#Default-router 192.168.1.254/*此处为设置上面分配子网IP的网关，此处和下面要设置的vlan ip相关联，你想让哪个vlan分配什么IP子网段就要把vlan的IP地址设成该子网的网关Switch(Config-pool)#lease 30/*租期为30天，可自己改Switch(Config-pool)#exit/*第二个地址池*/Switch(Config)#ip dhcp pool test02Switch(Config-pool)#network 192.168.2.0 255.255.255.0Switch(Config-pool)#Default-router 192.168.2.254Switch(Config-pool)#lease 30Switch(Config-pool)#exit/*同上/*第三个地址池*/Switch(Config)#ip dhcp pool test03Switch(Config-pool)#network 192.168.3.0 255.255.255.0Switch(Config-pool)#Default-router 192.168.3.254Switch(Config-pool)#lease 30Switch(Config-pool)#exit/*同上PS：Switch(Config-pool)#domain-name XXXX/*此命令是为客户机配置域后缀，XX为域后缀~比如，这里不使用该命令Switch(Config-pool)#Dns-server x.x.x.x/*这是设置DNS服务器地址，我们在这里不使用该命令Switch(Config-pool)#netbios-name-server x.x.x.x/*为客户机配置wins服务器地址，我们在这里不使用该命令Switch(Config-pool)#netbios-node-type h-node/*为客户机配置h节点模式，我们在这里不使用该命令Switch(Config-pool)#ip dhcp pool XXX/*此命令为在当前地址池下创建一个子地址池，这个子地址池将继承域后缀、DNS服务器、wins服务器等可继承的参数，一个地址池可以设置多个子池，这样可以减少很多麻烦，我们在这里不使用该命令2、设置DHCP保留不分配的地址/*可以理解为设置不分配的IP 地址，这里可以根据环境情况来设置，也可不设置，在此我只是举例以说明命令作用*/Switch(Config)Ip Dhcp Excluded-address 192.168.1.2 192.168.1.10/* ip 192.168.1.2至192.168.1.10这9个IP地址服务器不分配出去Switch(Config)Ip Dhcp Excluded-address 192.168.2.2 192.168.2.10/*同上 192.168.2.2至192.168.2.10不分配Switch(Config)Ip Dhcp Excluded-address 192.168.3.2 192.168.3.10/*同上 192.168.3.2至192.168.3.10不分配PS：一般要把网关地址设成不分配~~比如我们刚才设的子网网关192.168.1.2543、设置连接端口IPSwitch(Config)#fastEthernet 0/4Switch(Config-if)#switchport address 192.168.4.2 255.255.255.0Switch(Config-if)#no shutdownSwitch(Config-if)#exit4、配置路由表Switch(Config)#ip route 192.168.1.0 255.255.255.0 192.168.4.1/*要送到192.168.1.0网段的数据发往192.168.4.1 ip地址Switch(Config)#ip route 192.168.2.0 255.255.255.0 192.168.4.1Switch(Config)#ip route 192.168.3.0 255.255.255.0 192.168.4.1Switch(Config)#ip route 192.168.4.0 255.255.255.0 192.168.4.1Switch(Config)#exitSwitch#show ip route/*会看到路由表上已经更新：PS：这里使用的时静态路由~~但是本人推荐用动态路由~这里只是因为需要设置的IP段比较少所以才选用静态路由设置但是一般情况下是不会选择静态路由的，特别是IP段特别多得时候，不然设置很麻烦~所以推荐使用动态路由!命令如下Switch(Config)#router ripSwitch(Config-router)#network x.x.x.x /* x.x.x.x为地址段~~如192.168.1.05、开启DHCP服务Switch(Config)#Service DhcpSwitch(Config)#ip dhcp relay information option/*这个命令现在很少使用了，个人感觉可有可无，因为已经设置helper-address了(下面的三层交换机里设置)，但是保险起见打吧- -第二步：配置三层交换机35601、创建VLAN：Switch>enSwitch#configure terminalSwitch(config)#vlan 2Switch(config-vlan)#vlan 3Switch(config-vlan)#exit2、设置vlan的IP 以及相关参数Switch(config)#interface vlan 1Switch(config-if)#ip add 192.168.1.254 255.255.255.0Switch(config-if)#ip helper-address 192.168.4.2Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip add 192.168.2.254 255.255.255.0 //IP地址要和DHCP设置子网的网关一样，Switch(config-if)#ip helper-address 192.168.4.2 否则PC无法获取IP地址且无法通信Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan 3Switch(config-if)#ip address 192.168.3.254 255.255.255.0Switch(config-if)#ip helper-address 192.168.4.2 //此处为设置指定dhcp服务器的地址，Switch(config-if)#no shutdown 表示通过Ethernet0向该服务器发送DHCP请求包3、设置各个连接端口参数Switch(Config)#Interface fastEthernet 0/4Switch(Config)#switchport trunk encapsulation dot1q //二层交换机和三层不一样，必须先设置数据封装格式Switch(Config)#switchport mode trunk //对应二层交换机，形成trunk口实现多vlan通信Switch(Config)#Interface fastEthernet 0/1Switch(config-if)#no switchport //使端口开启三层功能，可以理解为变成路由端口Switch(config-if)#ip address 192.168.4.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#ip routing //开启路由功能4、设置路由表Switch(Config)#router rip //进入动态路由模式Switch(Config-router)#network 192.168.1.0 //自动学习192.168.1.0网段地址Switch(Config-router)#network 192.168.2.0 //同上Switch(Config-router)#network 192.168.3.0Switch(Config-router)#network 192.168.4.0Switch(Config-router)#exit/*配置动态路由后，记得要在特权模式下查看路由表，确保要学的IP地址都已学到第三步：配置二层交换机29501、创建VLAN：Switch1>enSwitch1#configure terminalSwitch1(config)#vlan 2Switch1(config-vlan)#vlan 3Switch1(config-vlan)#exit2、设置端口全局参数Switch1(Config)#Interface Range fastEthernet 0/1 - 3/*注意：哪些端口连接PC就设置哪个端口，如果设置的端口是连接交换机或者路由的就有可能造成环路Switch1(Config-if-range)#switchport mode access/*此处把端口设成为portfast模式~即不在不再使用STP的算法，也就是说端口从堵塞直接变为转发3、将端口添加到VLAN2，3中(PS：所有端口默认VLAN1~~这个都知道吧~~)Switch1(Config)#interface fastethernet 0/2Switch1(Config)#switchport access Vlan 2Switch1(Config)interface fastethernet 0/3Switch1(Config-if-range)#switchport access vlan 34、将F0/4端口设成trunk模式Switch1(Config)#interface fastethernet 0/4Switch1(Config)#switchport mode trunk第四步：设置PC机1、这步很简单只要吧PC 设成自动获取IP就好，如下图2、更新DHCP打开开始菜单>运行>输入CMD然后回车，出现命令窗口>输入ipconfig/renew,然后你就可以看到服务器分给这台PC的ip地址了：PS：到这里就结束了~~本章讲得是用路由做DHCP~但其实只要有三层交换机就可以了~~不需要用路由~~在三层交换机做DHCP中继和在路由上配置命令是一样的店铺分享了cisco dhcp服务器设置的解决方法，希望大家喜欢。

网络设备功‎能最大化思‎科路由器一‎专多能（做DHCP‎和DNS服‎务器）Cisco‎路由器以功‎能强大、负载能力强‎而著称，当然其价格‎也不菲。

挖掘其潜能‎，让其更好地‎服务于网络‎，这也是网络‎管理人员应‎该考虑的问‎题。

下面考试大‎列举两例C‎i sco路‎由器的特殊‎应用，就当是为大‎家提供一个‎思路吧。

一、让cisc‎o路由器具‎有DHCP‎功能DHCP服‎务器大大地‎简化了网络‎管理人员的‎工作，一般情况下‎大家都是搭‎建基于Wi‎n dows‎/linux‎等基于系统‎平台的应用‎级别的DH‎C P服务器‎。

其实，在有Cis‎c o路由器‎的网络中，我们完全不‎必重新搭建‎新的DHC‎P服务器，只需将ci‎s co路由‎器配置成一‎个DHCP‎服务器，是它具有路‎由和DHC‎P的双重功‎能。

下面考试,大就在真是‎的网络环境‎中进行测试‎，有一台ci‎s co路由‎器我们要将‎其配置成一‎个DHCP‎服务器，为了简化操‎作考试,大将用另外‎一台cis‎c o路由器‎作为客户端‎从该路由器‎获取IP地‎址。

1、将路由器配‎置成DHC‎P配置的命令‎及其解释如‎下：dhcp#confi‎g ure termi‎n al//进入全局模‎式dhcp(confi‎g)#servi‎c e dhcp//启用dhc‎p服务dhcp(confi‎g)#no ip dhcp confl‎i ct loggi‎n g//关闭dhc‎p日志记录‎dhcp(confi‎g)#ip dhcp pool ctoci‎o//配置dhc‎p服务器的‎名称为ct‎o ciodhcp(dhcp-confi‎g)#netwo‎r k 192.168.2.0 255.255.255.0//配置dhc‎p服务器可‎分配的网段‎dhcp(dhcp-confi‎g)#defau‎l t-route‎r 192.168.2.1//配置默认网‎关为192‎.168.2.1dhcp(dhcp-confi‎g)#dns-serve‎r 192.168.2.1//配置dns‎为192.168.2.1dhcp(dhcp-confi‎g)#exit//退出dhc‎p配置模式‎dhcp(confi‎g)#ip dhcp exclu‎d ed-addre‎s s 192.168.2.2 192.168.2.10//配置dhc‎p排除分配‎的地址dhcp(confi‎g)#exit//退出全局模‎式dhcp(confi‎g)#show run//查看路由配‎置2、客户端获取‎I P在另外一个‎和R1相连‎的R2上，如果要为某‎个端口设置‎I P地址，通过下面的‎命令就可从‎R1的DH‎C P服务器‎中获取IP‎地址。

局域网中的宽带路由器私自为 DHCP 分配 IP 导致无法上网故障文章导读：我们单位的住宅小区是通过雷 科通的易线宽产品进行的双向网改造：组 网方式是利用雷科通设备+有线电视分支 分配网络将互联网信号送至楼幢内，再通 过楼幢内交换机+五类线入户，这样就可 以有效的保护已有的投资，终端 PC 用户 设置为自动获取 IP 地址模式，通过前端 机房的 DHCP 服务器获取 IP 地址、子网掩 码、网关、DNS 服务器等信息，总体来说， 这套设备运行是稳定的，DHCP 服务器我 们是通过 LINUX 平台实现的，也没什么问 题，但是最近一段时间老是用户反映上不 去网。

我们单位的住宅小区是通过雷科通的易 线宽产品进行的双向网改造：组网方式是利用雷科通设备+有线电视分 支分配网络将互联网信号送至楼幢内，再通 过楼幢内交换机+五类线入户，这样就可以 有效的保护已有的投资，终端 PC 用户设置 为自动获取 IP 地址模式，通过前端机房的 DHCP 服务器获取 IP 地址、子网掩码、网关、 DNS 服务器等信息，总体来说，这套设备运 行是稳定的，DHCP 服务器我们是通过 LINUX 平台实现的，也没什么问题，但是最近一段 时间老是用户反映上不去网。

我们跟踪了一下故障，发现故障现象也很 明显，即上不去网的用户家里微机获得了一 个以 192.168.1 打头的 IP 地址，网关为 192.168.1.1，这明显是通过一台宽带路由 器获得的 IP 地址，随后我们在该用户微机 的浏览器上登录 192.168.1.1 这个地址，即 打开了一台宽带路由器的管理界面，好在这 台路由器的用户名/密码是默认的 admin/admin，我们登陆进去，将该路由器 的 DHCP 功能关闭，进行完以上操作后小区 的网络又稳定了一段时间，但是前几天又有用户反映说是上不去网了，我们查了一下， 故障现象跟上次的一样，但是由于这次路由 器被更改了登陆密码，所以我们不能通过关 闭该路由器的 DHCP 功能来解决问题了，这 次到了彻底解决问题的时候了，一定要在局 域网中揪出这台私自为用户分配 IP 地址的 宽带路由器，才有可能保证局域网的安全稳 定运行，下面是我们的操作步骤。

如何设置Cisco路由器DHCP上网推荐文章cisco怎么设置用户名和密码热度：路由器设置端口映射方法是什么热度：双路由器时设置连接方法和单路由器一样吗热度：路由器UPNP是什么怎么设置热度：Linksys无线路由器怎么样设置热度：Cisco依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那你知道如何设置Cisco路由器DHCP上网吗?下面是店铺整理的一些关于如何设置Cisco路由器DHCP上网的相关资料，供你参考。

DHCP是什么?DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段，在RFC 2131中有详细的描述。

DHCP有3个端口，其中UDP67和UDP68为正常的DHCP服务端口，分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client，而不用于DHCPv4，是为DHCP failover服务，这是需要特别开启的服务，DHCP failover是用来做“双机热备”的。

DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。

当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。

DHCP具有以下功能：1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。

Cisco实验：【DHCP配置】客户端跨⽹段通过DHCP服务器⾃动获取动态IP和固定IP地址模拟环境：R1为路由器e0/0接⼝和e0/1接⼝分别连接两个⽹段，e0/0连接⽤户区域，e0/1连接服务器区域；⽤户区域中SW1为接⼊层交换机，连接⼀台PC（R2模拟）和⼀台打印机（R5模拟）；服务器区域中连接⼀台DHCP服务器（R3模拟）；要求实现PC通过DHCP服务器⾃动获取动态IP地址，打印机通过DHCP服务器获取固定IP地址。

R2 模拟PC 获取100.1.1.0/24段内地址R5 模拟打印机获取100.1.1.200/24固定地址SW1 接⼊层交换机R1 路由器 e0/0：100.1.1.1/24；e0/1：13.1.1.1/24R3 模拟DHCP服务器 13.1.1.3/24*Cisco路由器模拟成PC，关闭路由选择协议 no ip routing，*指定⽹关 ip default-gateway x.x.x.xR1配置信息：Router>enableRouter#configure terminalRouter(config)#hostname R1R1(config)#interface ethernet 0/1R1(config-if)#ip address 13.1.1.1255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface ethernet 0/0R1(config-if)#ip address 100.1.1.254255.255.255.0R1(config-if)#no shutdownR1(config-if)#ip helper-address 13.1.1.3//⽹关接⼝设置中继，实现将⽤户⽹段内的DHCP请求中继到服务器⽹段的DHCP服务器获取地址R3配置信息（DHCP Server）：Router>enableRouter#configure terminalRouter(config)#hostname ServerServer(config)#interface ethernet 0/0Server(config-if)#ip address 13.1.1.3255.255.255.0Server(config-if)#no shutdownServer(config)#service dhcp //开启DHCP服务Server(config)#ip dhcp pool CCIE //创建名为CCIE的地址池Server(dhcp-config)#network 100.1.1.0255.255.255.0//指定⽹段地址池为100.1.1.0/24Server(dhcp-config)#default-router 100.1.1.254//指定⽹关Server(dhcp-config)#dns-server 100.1.1.254//指定DNS服务器Server(dhcp-config)#domain-name //指定域名Server(dhcp-config)#lease 1030//修改租期，天时分，默认为1天Server#show run | section dhcp //查看DHCP配置信息ip dhcp pool CCIEnetwork 100.1.1.0255.255.255.0default-router 100.1.1.254dns-server 100.1.1.254domain-name lease 1030Server(config)#ip dhcp excluded-address 100.1.1.254100.1.1.254//排除范围地址不参与分配，从低地址-⾼地址的⼀个范围Server(config)#ip dhcp pool PrinterServer(dhcp-config)#host 100.1.1.200255.255.255.0//指定主机地址池Server(dhcp-config)#default-router 100.1.1.254Server(dhcp-config)#dns-server 100.1.1.254Server(dhcp-config)#domain-name Server(dhcp-config)#lease 300Server(dhcp-config)#client-identifier 01aa.bbcc.0050.00//指定客户端的ID，⽤于识别该地址分配到指定的设备；01+MAC地址⼩数点前移Server#show run | section dhcpip dhcp excluded-address 100.1.1.254ip dhcp pool CCIEnetwork 100.1.1.0255.255.255.0default-router 100.1.1.254dns-server 100.1.1.254domain-name lease 1030ip dhcp pool Printerhost 100.1.1.200255.255.255.0client-identifier 01aa.bbcc.0050.00default-router 100.1.1.254dns-server 100.1.1.254domain-name lease 3Server(config)#no ip routing //关闭路由协议，模拟成终端设备Server(config)#ip default-gateway 13.1.1.1//设置设备⽹关R2配置信息（PC）：Router>enableRouter#configure terminalRouter(config)#hostname PCPC(config)#no ip routing //关闭路由协议，模拟成终端设备PC(config)#interface ethernet 0/0PC(config-if)#ip address dhcp //DHCP获取地址PC(config-if)#no shutdownR5配置信息（Printer）：Router>enableRouter#configure terminalRouter(config)#hostname PrinterPrinter(config)#no ip routing //关闭路由协议，模拟成终端设备Printer(config)#interface ethernet 0/0Printer(config-if)#ip address dhcp client-id ethernet 0/0//DHCP⾃动获取地址，获取时出⽰连接接⼝的客户端ID⽤于匹配主机地址池中客户端ID Printer(config-if)#no shutdown。

开启Cisco交换机DHCP Snooping功能教程你还在为不知道开启Cisco交换机DHCP Snooping功能教程而烦恼么?接下来是小编为大家收集的开启Cisco交换机DHCP Snooping功能教程教程，希望能帮到大家。

开启Cisco交换机DHCP Snooping功能教程一、IP地址盗用IP地址的盗用方法多种多样，其常用方法主要有以下几种：1、静态修改IP地址对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。

如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址盗用。

由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。

2、成对修改IP-MAC地址对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。

针对绑定技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。

现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。

如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址某些攻击程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的 IP地址(或IP-MAC地址对)，以达到IP欺骗。

二、IP Source Guard技术介绍IP源防护(IP Source Guard，简称IPSG)是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。

IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

交换机内部有一个IP源绑定表(IP Source Binding Table)作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系所接收到的是DHCP数据包其余数据包将被交换机做丢弃处理。