开启Cisco交换机DHCP Snooping功能

cisco交换机安全配置设定方法你还在为不知道cisco交换机安全配置设定方法而烦恼么?接下来是小编为大家收集的cisco交换机安全配置设定方法教程，希望能帮到大家。

cisco交换机安全配置设定方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard 接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。

一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR 字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC 地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

如何开启Cisco交换机DHCP Snooping的功能如何开启Cisco交换机DHCP Snooping的功能你还在为开启Cisco交换机DHCP Snooping的功能而烦恼么?不用担心，接下来是店铺为大家收集的开启Cisco交换机DHCP Snooping的功能方法，欢迎大家阅读：开启Cisco交换机DHCP Snooping的功能的方法一、IP地址盗用IP地址的盗用方法多种多样，其常用方法主要有以下几种：1、静态修改IP地址对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。

如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址盗用。

由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。

2、成对修改IP-MAC地址对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。

针对绑定技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。

现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。

如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址某些攻击程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的 IP地址(或IP-MAC地址对)，以达到IP欺骗。

二、IP Source Guard技术介绍IP源防护(IP Source Guard，简称IPSG)是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。

IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

开启Cisco交换机DHCP Snooping功能一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

• 51•随着网络规模扩大和拓扑结构的适当调整，IP地址更多的是以动态分配形式为主。

不过实际生活中存在许多的IP地址盗用、ARP 病毒攻击等现象，究其原因就是用户比较多、地理位置较为分散以及随机性太强，进而造成网络安全管理工作的巨大困扰。

本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。

21世纪以来，互联网技术日益更新，在为人们带来许多生活便利的同时，还隐藏着网络安全的隐患。

我们急需对网络安全情况引起重视，在享受网络的便利同时提高防范心理。

那么，如何解决这一安全问题呢？要始终坚持“安全第一，预防为主”的指导策略，做好前期防范工作和事中援救事宜，根据预测、分析与防治工作出具应急预案，将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上，提高应急处置能力，最大限度地减少网络安全危机的发生及其不良后果。

1 网络安全日常管理日常管理是网络安全工作的基础，改进平时的管理，必须不断增强安全防范意识：网络管理员和所有员工都要高度重视网络安全，时刻保持警觉，决不松懈，共同为网络筑起一道“防护墙”。

其日常管理有以下基本规则。

（1）要确保内部局域网和外网严格执行物理隔离。

对局域网中的每一个用户来说，在进入到局域网之前，系统必须进行补丁下载，并且在进入到局域网之前对病毒进行杀毒。

每台PC都要经过实名认证，并将IP地址和MAC地址相关联。

（2）要安装杀毒软件：每个网络服务器、电脑等设施对有关杀毒软件的配备上是具有必要性的，使用者在固定周期内进行软件升级和杀毒操作。

在紧急情况下，客户使用端口会被迫进行升级与杀毒操作。

（3）要做好密码设置工作：指定计算机设备，如局域网中连接外网的计算机服务器、门户网、网络服务器、远程服务器等，必须设置不同的登录密码，这一密码最好的设置是由数字、26个英文字母及标点符号构成，长度为12位数，定期删除和更换设备的登录密码。

IP DHCP Snooping 和 Ip Source Guard、 DAI1.目的为了配合使用公司的dhcp enforcement准入控制组件，强制终端电脑用dhcp来获取IP，并使用内部网络。

为了防止终端用户通过手动设置IP来绕过DHCP，必须在交换机上配合使用IP DHCP Snooping、IP Source Guard、或DAI（dynamic arp inspection）技术，使得手动设置IP的终端电脑无法使用网络。

2.环境如下图其中：3.原理介绍3.1. DHCP Server用于管理分配IP地址从特定的地址池，它可以是一个PC/ROUTER/SWITCH。

3.2. DHCP Relay Agent一个用于在DHCP SERVER与DHCP Client之间转发DHCP Packets的中间三层设备。

它主要应用于DHCP SERVER与Client端在不同的子网时，临时作为一个代理，在它们之间传递数据包。

DHCP Relay Agent的中继转发不同与一般的二层转发，它在收到一个DHCP消息时，会生成一个新的DHCP消息同时发送到外出接口。

3.3. DHCP Snooping一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。

连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到DHCP 监听绑定表中。

DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall 一样。

DHCP Snooping功能与实例详解一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP 服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR （也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

一、实验拓扑重要提示：按正常流程配置后，PC0和PC1并未获得IP，而是在DHCP server (Router0)中加入了ip dhcp relay information trust-all 这条命令后，才正常。

但与实际理论知识讲的不一样。

此命令是为了让DHCP服务器处理GIADDR地址为0.0.0.0（也就是获取IP地址的客户机与DHCPSERVER在同一个广播域不需要中继代理时GIADDR地址为0.0.0.0的情况）。

但从实际情况分析，PC0和PC1属于192.168.2.0网段，而DHCP SERVER是192.168.1.0网段，且实际抓包中继代理地址也不是0.0.0.0，而是192.168.2.1 192.168.2.0网段的网关地址，所以，按理不需要配置这条命令就可以获得IP，但没有成功。

不知道是不是模拟器的原因？需要进一步学习。

另外：1、希望开启端口只允许1个MAC通过，大于1就对端口进行限制，没有成功。

2、希望在接入层交换机增加1条手动MAC-IP的邦定信息，以允许管理员电脑可以手动配置IP地址，没有成功。

3、希望禁止用户手工配置IP地址没有成功。

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法Switch(config)# interface gig1/1 //上连端口Switch(config-if)# switchport trunk encapsulation dot1qSwitch(config-if)# switchport mode trunkSwitch(config-if)# ip dhcp snooping trust //上连接口允许通过所有DHCP 报文Switch(config-if)# ip arp inspection trust //上连接口不检测ARP邦定项Switch(config-if)# interface gig2/2 //下连端口Switch(config-if)# switchport trunk encapsulation dot1qSwitch(config-if)# switchport mode trunkSwitch(config-if)# ip arp inspection limit noneSwitch(config-if)# ip verify source vlan dhcp-snooping//开启源地址验证红色字体是在PT中没有敲出来的命令。

开启Cisco交换机DHCP Snooping功能by lonelywing一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题常见的有：·DHCP Server的冒充·DHCP Server的DOS攻击，如DHCP耗竭攻击·某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR字段来判断客户端的MAC 地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

ip dhcp snooping 配置不当造成PC不能正常获取IP今天去一个客户那里排查一个困扰他们半个月之久的问题，就是网络中一部分VLAN不能自动获取IP地址，上午去到他们那里已经10点多了，天气有点热，客户的网络结构是，思科6509两台做hsrp为核心层，下面的接入层交换机为思科2950，在6509上启用了DHCP服务，为每个VLAN分配IP地址。

现问题就出现在其中的几个VLAN，PC接在这VLAN下就是获取不到IP地址，跟客户沟通知道这几个有问题的VLAN，都接在同一台交换机，看了下6509的配置，没发现什么问题，就是注意到开启了ip dhcp snooping ,问题出现在同一台交换机，那里确定方向了，走，到生产线上，查看问题机器。

来到问题机器，进入里面一看，交换机没做什么配置，但注意到也配置了ip dhcp snooping ,这是时想dhcp snooping 的主要功能是：能够拦截第二层VLAN域内的所有DHCP报文，查看与6509所接的端口，没有启用dhcp snooping trust ，呵呵，这就是问题所在了。

DHCP监听将交换机端口划分为两类：●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口根据以上可知，我在级连接口上启用ip dhcp snooping trust 后，把本地接口接上，马上获取到了IP地地址。

下面是我在网上查到的关于ip dhcp snooping 的东西，总结一下：一、DHCP snooping 技术介绍DHCP监听（DHCP Snooping）是一种DHCP安全特性。

Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。

通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。

目录第1章DHCP配置命令 ............................................................. 1-11.1 DHCP服务器配置命令 ..................................................................... 1-11.1.1 bootfile...................................................................................................... 1-11.1.2 clear ip dhcp binding .............................................................................. 1-11.1.3 clear ip dhcp conflict .............................................................................. 1-21.1.4 clear ip dhcp server statistics ............................................................... 1-21.1.5 client-identifier ........................................................................................ 1-31.1.6 client-name .............................................................................................. 1-31.1.7 debug ip dhcp server .............................................................................. 1-31.1.8 default-router ........................................................................................... 1-41.1.9 dns-server ................................................................................................ 1-41.1.10 domain-name ......................................................................................... 1-41.1.11 hardware-address ................................................................................. 1-51.1.12 host ......................................................................................................... 1-51.1.13 ip dhcp conflict logging ....................................................................... 1-61.1.14 ip dhcp excluded-address .................................................................... 1-71.1.15 ip dhcp pool ........................................................................................... 1-71.1.16 ip dhcp conflict ping-detection enable ............................................... 1-71.1.17 ip dhcp ping packets ............................................................................ 1-81.1.18 ip dhcp ping timeout ............................................................................. 1-81.1.19 lease ....................................................................................................... 1-91.1.20 netbios-name-server ............................................................................. 1-91.1.21 netbios-node-type ...............................................................................1-101.1.22 network-address .................................................................................1-101.1.23 next-server ........................................................................................... 1-111.1.24 option ................................................................................................... 1-111.1.25 service dhcp ........................................................................................1-121.1.26 show ip dhcp binding .........................................................................1-121.1.27 show ip dhcp conflict .........................................................................1-131.1.28 show ip dhcp server statistics ...........................................................1-13第2章DHCP snooping 配置命令 ........................................... 2-12.1 debug ip dhcp snooping packet interface .................................... 2-12.2 debug ip dhcp snooping packet .................................................... 2-12.3 debug ip dhcp snooping update ................................................... 2-12.4 debug ip dhcp snooping event ...................................................... 2-22.5 debug ip dhcp snooping binding .................................................. 2-22.6 ip dhcp snooping ............................................................................ 2-22.7 ip dhcp snooping binding .............................................................. 2-32.8 ip dhcp snooping binding user ..................................................... 2-32.9 ip dhcp snooping binding arp ....................................................... 2-42.10 ip dhcp snooping binding dot1x ................................................. 2-42.11 ip dhcp snooping binding user-control ...................................... 2-52.12 ip dhcp snooping binding user-control max-user ..................... 2-52.13 ip dhcp snooping trust ................................................................. 2-62.14 ip dhcp snooping action .............................................................. 2-72.15 ip dhcp snooping action MaxNum .............................................. 2-72.16 ip dhcp snooping limit-rate .......................................................... 2-82.17 ip dhcp snooping information enable ......................................... 2-82.18 ip dhcp snooping option82 enable .............................................. 2-92.19 enable trustview key ................................................................... 2-102.20 ip user private packet version two ............................................ 2-10 2.21 ip user helper-address ............................................................... 2-11 2.22 show trustview status ................................................................ 2-12 2.23 show ip dhcp snooping .............................................................. 2-12第1章DHCP配置命令1.1 DHCP服务器配置命令1.1.1 bootfile命令：bootfile <filename>no bootfile功能：配置DHCP客户机启动时的导入文件名；本命令的no操作删除配置的导入文件。

CISCO三层交换机怎么配置DHCP功能像网桥那样，交换机将局域网分为多个冲突域，每个冲突域都是有独立的宽带，因此大大提高了局域网的带宽。

CISCO三层交换机怎么配置DHCP服务?利用CISCO三层交换机自带的DHCP功能，可以实现多VLAN的IP地址自动分配，在三层交换机上如何配置DHCP服务呢，下面一起来看看方法步骤1、首先将三层交换机开机，电脑telnet 远程连接，并进入全局模式下2、在全局模式下开启DHCP服务，输入“service dhcp”,然后按回车3、指定不通过DHCP 地址池中分配的地址，也就是排除的地址。

这里排除192.168.1.1到192.168.1.10的地址，输入“ip dhcp excluded-address 192.168.1.1 192.168.1.10"4、配置一个名为“cs”的地址池，输入”ip dhcp pool cs"5、指定要通过DHCP分配的网段和掩码，输入”network 192.168.1.0 255.255.255.0"6、为客户机配置DNS服务器，输入“dns-server 218.2.135.1"7、设置地址租用期为”3“，输入”lease 3"，租期可以根据实际情况做调整8、为客户机配置网关为“192.168.1.1”，输入“default-router 192.168.1.1”9、这样就设置完成了，只要是属于192.168.1.0/24网段的客户机就可以自动获取IP地址了。

这里注意了，如果存在多个VLAN，每个VLAN都需要设置DHCP服务。

相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

cisco 交换机做DHCP大家帮我看看这该怎么做配置：vm1 连接 SW1 F0/10vm2 连接 SW2 F0/12vm3 连接 SW2 F0/13vm4 连接 SW3 F0/10vm5 连接 SW3 F0/11SW1vlan 1 ip 192.168.10.1 255.255.255.0 vlan 2 ip 192.168.20.1 255.255.255.0 vlan 3 ip 192.168.30.1 255.255.255.0 f0/14 f0/15 启用trunk。

SW2vlan 1vlan 2vlan 3f0/14 启用trunk。

SW3vlan 1vlan 2vlan 3f0/15 启用trunk。

DHCPIP： 192.168.10.20GW： 192.168.10.13个地址池：vlan 1 地址范围：192.168.10.100-192.168.10.110 网管： 192.168.10.1vlan 2 地址范围：192.168.20.100-192.168.20.110 网管： 192.168.20.1vlan 3 地址范围：192.168.30.100-192.168.30.110 网管： 192.168.30.11.启动【添加/删除程序】对话框2.单击【添加/删除 Windows 组件】出现【windows 组件向导单击下一步】出现【Windows组件】对话框从列表中选择【网络服务】3. 单击【详细内容】，从列表中选取【动态主机配置协议（DHCP）】如单击【确定】4. 单击【下一步】输入到 Windows2000 Server 的安装源文件的路径，单击【确定】开始安装 DHCP 服务5. 单击【完成】，当回到【添加/删除程序】对话框后，单击【关闭】按钮,安装完毕后在管理工具中多了一个【DHCP】管理器⑪ 添加 DHCP 服务器在安装 DHCP 服务后，用户必须首先添加一个授权的 DHCP 服务器，并在服务器中添加作用域设置相应的 IP 地址范围及选项类型，以便 DHCP 客户机在登录到网络时，能够获得 IP 地址租约和相关选项的设置参数。

思科模拟器：3560交换机实现DHCP功能思科模拟器：交换机实现DHCP功能1、打开Cisco Packet Tracer，点击【交换机】，选择第六个图标3560交换机，按住鼠标左键拖动到工作区。

只有这个交换机及以上级别的才具备DHCP功能，我们之前讲的2960只可以划分Vlan，不支持DHCP服务2、在工作区内拖入3台电脑，用直通线和交换机连接3、打开交换机属性界面，在命令行中输入代码，划分Vlan 10和Vlan 20两个Vlan代码如下：【Switch>enableSwitch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult userdocumentation for configuring VTP/VLAN in config mode.Switch(vlan)#vlan 10 name v10VLAN 10 modified:Name: v10Switch(vlan)#vlan 20 name v20VLAN 20 modified:Name: v20Switch(vlan)#exit4、设置vlan10和Vlan20的默认地址池和网关dns，代码如下：【Switch(config)#ip dhcp pool vlan10 *设置相应的VLANSwitch(dhcp-config)#default-router 192.168.1.254 *设置该地址池的默认网关Switch(dhcp-config)#network 192.168.1.0 255.255.255.0 *设置分配的地址池Switch(dhcp-config)#dns-server 202.1.1.1 *设置该地址池的默认DNS地址。

交换机DHCP-snooping该如何配置交换机DHCP-snooping该如何配置DHCP监听被开启后，交换机限制用户端口(非信任端口)只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文。

下面是YJBYS店铺整理的交换机DHCP-snooping的配置方法，希望对你有帮助!案例需求1.PC可以从指定DHCP Server获取到IP地址;2.防止其他非法的DHCP Server影响网络中的主机。

参考如下如完成配置：DHCP Snooping配置步骤1.进入系统视图system-view2.全局使能dhcp-snooping功能[H3C]dhcp-snooping3.进入端口E1/0/2[H3C] interface Ethernet 1/0/23.将端口E1/0/2配置为trust端口，[H3C-Ethernet1/0/2]dhcp-snooping trustDHCP Snooping配置关键点1.当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的`DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。

信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址;2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文，由E1/0/2端口进入交换机并进行转发，因此需要将端口E1/0/2配置为“trust”端口。

如果交换机上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为“trust”端口。

【交换机DHCP-snooping该如何配置】。

Cisco交换机DHCP Snooping功能详述一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充& 被过滤广告nbsp; ●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP 地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP 服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。